El panorama del ransomware experimentó un cambio extraordinario en 2024, marcando un descenso del 35,82 % en los pagos efectuados por las víctimas en comparación con el año anterior. Este cambio evidente es un reflejo de la intensificación de la colaboración internacional para combatir el cibercrimen, junto con la decidida actuación de las fuerzas del orden y la resistencia creciente de empresas y particulares a ceder ante las demandas de rescate de los ciberdelincuentes.
Durante ese año, las transacciones hacia grupos de ransomware rondaron los 813,55 millones de dólares, significativamente menos que los 1.250 millones de dólares registrados en 2023. Esta notable caída no solo representa el primer descenso desde 2022, sino que también indica un cambio fundamental en la dinámica del cibercrimen. Aunque los primeros seis meses de 2024 vieron un ligero aumento del 2,38 % en los pagos, las cifras se desplomaron en un 34,9 % en la segunda mitad del año, señalando la eficacia de las estrategias de mitigación recientes.
El impacto de la acción policial fue crucial. Una operación conjunta entre la Agencia Nacional del Crimen del Reino Unido y el Buró Federal de Investigaciones de EE. UU. tuvo como resultado el desmantelamiento de la infraestructura de LockBit, una de las variantes de ransomware más activas. Esto llevó a una dramática caída del 79 % en los pagos asociados a LockBit durante la segunda mitad de 2024. Además, la desaparición de ALPHV/BlackCat a principios de año dejó un vacío en el ecosistema que fue rápidamente ocupado por varias entidades más pequeñas con demandas menos costosas.
La resistencia de las víctimas jugó también un papel importante. De acuerdo con las empresas de respuesta a incidentes, solo el 30 % de las negociaciones terminan con el pago del rescate, y la diferencia entre las sumas demandadas y los montos efectivamente pagados creció hasta un 53 % en el segundo semestre de 2024. Muchas organizaciones optaron por apoyarse en copias de seguridad y herramientas de desencriptado, en lugar de pagar a los delincuentes.
No obstante, el número total de ataques de ransomware continuó en aumento. Las filtraciones de datos revelaron que más organizaciones fueron listadas como víctimas en 2024 que en años anteriores, aunque muchas de estas inclusiones eran falsas o exageradas. Esto fue demostrado por investigaciones que mostraron listados repetidos de ataques pasados o el impacto de los incidentes magnificado.
El año también fue testigo de la aparición de nuevas variantes de ransomware como Akira y Fog, que se centraron en explotar vulnerabilidades en VPNs para infiltrarse en redes empresariales. Además, la estructura de los grupos de ransomware se reconfiguró, dando lugar a una proliferación de operaciones más pequeñas, segmentando el mercado criminal en ataques de diferentes niveles de impacto económico.
La amenaza persistente de actores vinculados a Irán continuó en aumento. Investigaciones de blockchain han establecido conexiones entre amenazas aparentemente distintas, desvelando patrones de rebranding y vínculos entre diversas cepas de ransomware.
En conclusión, 2024 representó un punto de inflexión significativo en la lucha contra el ransomware. Sin embargo, la adaptabilidad de los grupos criminales sigue siendo un desafío. La continua evolución de tácticas de extorsión y el uso generalizado de criptomonedas para actividades ilícitas indican que la amenaza persiste. La clave para mitigar aún más el impacto del ransomware radica en la colaboración sostenida entre gobiernos, empresas y expertos en ciberseguridad, complementada con un aumento en la concienciación y preparación ante posibles ataques futuros.
