{"id":20895,"date":"2021-01-21T08:29:31","date_gmt":"2021-01-21T14:29:31","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=20895"},"modified":"2021-01-21T08:29:31","modified_gmt":"2021-01-21T14:29:31","slug":"rc3-bitcoin-ransom-tracing","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/rc3-bitcoin-ransom-tracing\/20895\/","title":{"rendered":"Las huellas del ransomware"},"content":{"rendered":"

Mientras m\u00e1s entendamos el modus operandi<\/em> y la magnitud operativa de los cibercriminales, mayor ser\u00e1 la eficacia con la que podamos combatirlos. En el caso del ransomware<\/em>, evaluar el \u00e9xito y las ganancias de un grupo criminal dado en general no es tarea f\u00e1cil. Los proveedores de seguridad a menudo se enteran de dichos ataques al observar y comunicarse con sus clientes, lo cual en esencia significa que a menudo vemos tentativas fallidas. Por su parte, las v\u00edctimas de ransomware<\/em> tienden a quedarse callados (especialmente si pagaron el rescate).<\/p>\n

Por consiguiente, son escasos los datos confiables sobre los ataques exitosos. Sin embargo, en el Remote Chaos Communication Congress (RC3) de 2020, un equipo de investigadores present\u00f3 un m\u00e9todo un tanto curioso para analizar las campa\u00f1as de los cibercriminales de principio a fin, basado en las huellas que dejan las criptomonedas.<\/p>\n

Analistas en la Universidad de Princeton, la Universidad de Nueva York, y la Universidad de California, en San Diego, as\u00ed como empleados de Google y Chainalysis, realizaron el estudio en 2016 y 2017. Han pasado algunos a\u00f1os, pero su m\u00e9todo a\u00fan puede aplicarse.<\/p>\n

\u00a0<\/p>\n

M\u00e9todo de investigaci\u00f3n<\/h2>\n

Los criminales tienen miedo de que el dinero deje rastros, por lo cual el cibercrimen moderno prefiere las criptomonedas (Bitcoins, en particular), la cual pr\u00e1cticamente no est\u00e1 regulada y asegura el anonimato. Por otra parte, la criptomoneda se encuentra disponible para cualquiera, y las transacciones hechas con ella no pueden cancelarse.<\/p>\n

Sin embargo, aqu\u00ed es relevante otra caracter\u00edstica importante del Bitcoin: todas las transacciones de Bitcoin son p\u00fablicas. Eso significa que es posible rastrear los flujos financieros y echar un ojo a la magnitud del funcionamiento interno de la econom\u00eda cibercriminal. Y eso es exactamente lo que los investigadores hicieron.<\/p>\n

Algunos atacantes, no todos, generan una direcci\u00f3n \u00fanica del monedero de BTC para cada v\u00edctima, as\u00ed que los investigadores primero recopilaron los monederos destinadas a los pagos de rescate. Encontraron algunas de las direcciones en los mensajes p\u00fablicos sobre la infecci\u00f3n (muchas v\u00edctimas publicaron en l\u00ednea las capturas de pantalla del mensaje de rescate), y obtuvieron otros ejecutando el ransomware<\/em> en m\u00e1quinas de prueba.<\/p>\n

Despu\u00e9s, los investigadores rastrearon la trayectoria de las criptomonedas despu\u00e9s de que se transfirieran al monedero, que en algunos casos requiri\u00f3 que ellos mismos hicieran micropagos de Bitcoin. Bitcoin permite el copago<\/em>, mediante el cual los fondos de diversos monederos se transfieren a uno, lo que le permiti\u00f3 a los cibercriminales consolidar los pagos de rescate de varias v\u00edctimas. Pero dicha operaci\u00f3n requiere que un autor intelectual tenga las claves a m\u00faltiples monederos<\/a>. Por lo tanto, rastrear dichas operaciones permite ampliar la lista de v\u00edctimas y encontrar simult\u00e1neamente la direcci\u00f3n del monedero principal hacia donde se transfieren los fondos.<\/p>\n

Tras estudiar los flujos financieros que pasan por los monederos por un per\u00edodo de dos a\u00f1os, los investigadores se hicieron una idea de los ingresos de los cibercriminales y los m\u00e9todos para el lavado de fondos.<\/p>\n

\u00a0<\/p>\n

Conclusiones principales<\/h2>\n

El hallazgo clave de los investigadores en ese periodo de dos a\u00f1os fue que 19,750 v\u00edctimas transfirieron aproximadamente $16 millones de d\u00f3lares a los operadores de los cinco tipos m\u00e1s comunes de ransomware<\/em>. Es verdad que la figura no es totalmente exacta (es improbable que hayan rastreado todas las transacciones), pero proporciona una cifra aproximada de la magnitud de la actividad de los cibercriminales hace algunos a\u00f1os.<\/p>\n

Resulta interesante que cerca del 90% del ingreso provenga de las familias de Locky<\/a> y Cerber<\/a> (dos de las ciberamenazas m\u00e1s activas en ese tiempo). Adem\u00e1s, el infame WannaCry<\/a> gan\u00f3 m\u00e1s que unos cientos de miles de d\u00f3lares (aunque mucho expertos clasifican este malware<\/em> como borrador, mas no ransomware<\/em>).<\/p>\n

Ganancias estimadas de los creadores del ransomware m\u00e1s diseminado en 2016 y 2017. <a href=\"https:\/\/media.ccc.de\/v\/rc3-11566-tracking_ransomware_end-to-end\">Fuente<\/a>

Ganancias estimadas de los creadores del ransomware m\u00e1s diseminado en 2016 y 2017. Fuente<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Result\u00f3 de mayor inter\u00e9s investigar cu\u00e1nto tomaron de esas ganancias los cibercriminales, y c\u00f3mo lo hicieron. Para ello, los investigadores utilizaron el mismo m\u00e9todo de an\u00e1lisis de transacciones para ver en qu\u00e9 monederos de los cibercriminales aparec\u00edan transacciones conjuntas donde participaban los ya conocidos monederos de los servicios en l\u00ednea de cambio de divisas digitales. No todos los fondos se pueden rastrear de esta manera, por supuesto, pero el m\u00e9todo les permiti\u00f3 determinar que los cibercriminales retiraron dinero mediante BTC-e.com y BitMixer.io (posteriormente, las autoridades clausuraron ambos servicios de cambio: como habr\u00e1s imaginado, se dedicaban al lavado de fondos il\u00edcitos).<\/p>\n

Desgraciadamente, el sitio de RC3 no permite ver la presentaci\u00f3n en video por completo, pero el texto \u00edntegro del informe <\/a>\u00a0s\u00ed est\u00e1 disponible<\/u>.<\/p>\n

\u00a0<\/p>\n

C\u00f3mo protegerte del ransomware<\/em><\/h2>\n

Las enormes ganancias del ransomware<\/em> han provocado que los cibercriminales sean m\u00e1s audaces. Un d\u00eda se consideran Robin Hoods modernos al invertir en obras de caridad<\/a>, pero al siguiente lanzan una campa\u00f1a de anuncios<\/a> para seguir acosando a sus v\u00edctimas. En este estudio, los investigadores intentaron localizar los puntos de presi\u00f3n que detendr\u00edan los flujos financieros y sembrar\u00edan la duda en las mentes de los cibercriminales acerca de la rentabilidad del nuevo ransomware<\/em>.<\/p>\n

El \u00fanico m\u00e9todo verdaderamente eficaz para combatir el cibercrimen es evitar una infecci\u00f3n. Por lo tanto, te recomendamos seguir al pie de la letra las siguientes reglas:<\/p>\n