Durante años, las extorsiones por ransomware se han extendido hasta convertirse en una amenaza recurrente para las empresas. Mucho se ha predicado sobre ellas y sus (relativos) remedios. Pero esta plaga que no cesa tiende a adaptarse con otros formatos delictivos, que se analizan en un documento respaldado por Palo Alto Networks – Out of the Crypt: The Evolving Cyberextorsion Economy – entre ellos la exfiltración de datos, eufemismo para decir que se roba la información saltándose el cifrado que precede a la exigencia de rescate. Es significativo que el uso de ransomware haya caído al 78% en los casos de extorsión en 2025, frente a las tasas superiores al 90% de los cuatro años precedentes.

El análisis aborda los temores que despiertan los modelos de IA denominados de frontera, los más sofisticados del momento como vectores de ataques, con especial cuidado en relación con el ransomware. La conclusión es clara, aunque poco sorprendente: los ataques se aceleran porque estos modelos los hacen más fáciles de diseñar y ejecutar. Sistemas como el ya popular Mythos, de Anthropic a priori bien intencionado , son capaces de buscar mucho más rápidamente vulnerabilidades y encadenarlas hasta que un atacante (o un curioso, que puede ser aún peor) consiga penetrar en aplicaciones e infraestructura. El muy polémico modelo ha permitido identificar alrededor de 23.000 fallas potenciales en un millar de proyectos de código abierto. O estas son las identificadas.
También aumenta la velocidad media para completar un chantaje: en escenarios asistidos por la IA, se habría bajado hasta 25 minutos. Un tiempo tan corto que pone en serias dificultades a los expertos en detectarlas por medios convencionales. En otra escala, las exfiltraciones más rápidas se miden en segundos. Lo que se traduce en un dato muy preocupante: Palo Alto Networks ha calculado en tres a cinco meses la ventana entre el lanzamiento de un modelo de frontera y el momento en que un atacante consigue convertirlo en herramienta para el robo de información.
La IA generativa ha facilitado el vishing – telefónica que se basa en simular una voz para ganar la confianza de la victima – lo que está bien demostrado por la existencia de plataformas maliciosas de call center automatizado como ATHR. Esto implica que la barrera de entrada cae y los ciberdelincuentes no necesitan tener tantos conocimientos como sus antecesores. Pero también es un signo de que los actores experimentados completan sus ataques con estos modelos de última generación, con el consiguiente aumento en la escala y la velocidad.
Por sectores, las campañas de robo de datos se dirigen sobre todo a empresas de servicios profesionales, que incluyen contabilidad, finanzas, legal, consultoría o marketing, así como a las del ámbito sanitario y de servicios de consumo, según el documento, que ha sido elaborado por Unit 41, la potente rama de investigación de Palo Alto Networks. Las compañías de tamaño medio son las más castigadas y constituyen el 64% de las víctimas. Y el sector de la construcción ha sufrido un aumento del 44% en casos de extorsión por robo de información.
Es curioso enterarse, gracias a Unit 42, de que el atractivo de estas empresas está fundamentalmente en su documentación presupuestaria, que arroja luz sobre estimaciones de costes y márgenes o bien detalles sobre licitaciones, que pueden ser fuentes indirectas para nuevas fechorías. A esto se sumaría el hecho de que no suelen tener políticas de seguridad que restrinjan el flujo de datos hacia destinatarios externos.
Esta corriente tiene implicaciones que atañen directamente a las entidades que sufren los ataques. Conviene empezar por explorar la raíz del cambio de sesgo de la curva. Unit 42, laboratorio de investigación de Palo Alto Networks , enumera cuatro factores que provocan el aumento del robo de datos simplificado (sic) frente al ransomware. El primero es que las compañías de ciberseguridad han marcado unos cuantos golpes, ya que sus sistemas avanzados de recuperación y de copia de seguridad, les permite restaurar sus sistemas sin verse en el apremio de negociar el rescate.
Otra de las causas que expone el análisis es la mayor eficacia de las defensas en el endpoint —los dispositivos hoy están mejor protegidos que a mediados de la década pasada – y sistemas más precisos para detener automáticamente los ataques. O sea que los ciberdelincuentes lo tienen más difícil para completar la fase de cifrado de datos, un proceso más lento y que provoca ruido en el sistema, con el consiguiente riesgo de ser descubiertos antes de culminarlo. En esto, los modelos de frontera pueden tener un rol positivo.
Al mismo tiempo, la velocidad de exfiltración de datos ha aumentado —y este sería el tercer factor— por lo que los atacantes prefieren saltarse etapas: es una manera de acelerar los tiempos y negociar el rescate presionando con la emergencia que podría paralizar un negocio.
Hay un cuarto factor que Palo Alto Networks describe como determinante: los marcos regulatorios. El RGPD (reglamento de protección de datos) en Europa o las normas de la comisión federal de valores (SEC) en Estados Unidos, exigen a las empresas que informen sobre filtraciones de datos en plazos de 72 horas y cuatro días, respectivamente: de no hacerlo, se exponen a multas por incumplimiento de normativa e incluso a demandas judiciales con el consiguiente daño reputacional aparejado. Un riesgo que se vuelve más importante, si cabe, que los perjuicios económicos por paralización de la empresa víctima. Conocedores de estos plazos, los atacantes aprietan y algunas víctimas – imposible saber cuántas y cuáles – optan por pagar y, si les fuera posible, silenciar el incidente porque así protegen su reputación, que es un activo.
Hay muchos ejemplos de malware que busca la exfiltración de datos sin cifrar la información robada. El grupo de ciberdelincuentes ShinyHunters ha centrado su atención en aplicaciones SaaS e incluso usa vishing (phishing por voz) para infiltrarse en plataformas utilizadas por las empresas. Los hackers de CLOP explotaron una vulnerabilidad en Oracle EBS, mientras que TeamPCP, otra banda por el estilo, apunta a la cadena de suministro de software para distribuir código malicioso en aplicaciones y tratar de robar información confidencial desde la nube.
Palo Alto Networks destaca que los tiempos se han reducido al mínimo. Entre que los atacantes acceden a los sistemas y logran la exfiltración, en algunos casos han pasado solo 39 segundos. Además, se emplean otros elementos de presión. El mencionado ShinyHunters combina el robo de datos con ataques DDoS y con filtraciones a la prensa para aumentar la presión sobre la empresa atacada. También destaca otra práctica en auge, el llamado swatting, que consiste en hacer una llamada a los servicios de emergencia acusando falsamente de un delito. Esto pone en marcha mecanismos que a veces desembocan con la policía acudiendo a la casa o el puesto de trabajo de la víctima.
Una vez desplegado este panorama, el informe recomienda reforzar los controles que vigilan la salida de datos hacia terceros mediante sistemas DLP, de prevención de pérdida de datos. El objetivo es detectar con antelación las infiltraciones y bloquear el robo de información. Para ello se deben monitorizar comportamientos sospechosos, auditar la concesión de tokens OAuth, que dan acceso a sistemas empresariales, las integraciones de aplicaciones de terceros o los permisos de API de plataformas SaaS.
En el análisis se aconseja orquestar políticas de acceso condicionales, que restrinjan las sesiones SaaS en función del dispositivo, la localización y el nivel de riesgo asociado. Implementar métodos de autentificación multifactor, como FIDO2 o llaves de seguridad de hardware, realizar análisis de la composición del software o desplegar controles de verificación de voz para llamadas entrantes son otras de las claves para proteger los entornos empresariales. Más medidas de defensa para atajar una rapidez de ataque cada vez mayor.
[informe de Pablo G. Bejerano]