¿Cómo funciona la técnica de la doble extorsión?

La doble extorsión es una evolución sofisticada de los ataques de ransomware diseñada para maximizar la presión sobre las víctimas y asegurar el beneficio económico de los ciberdelincuentes. A diferencia del ransomware tradicional, que solo bloqueaba el acceso a la información, esta técnica añade la amenaza de exponer públicamente datos sensibles robados.

¿Cómo funciona el proceso de ataque?

De acuerdo con las fuentes, esta operación sigue un proceso estructurado en cuatro etapas principales:

1. Intrusión inicial: Los atacantes acceden al sistema utilizando técnicas como el phishing, el uso de credenciales filtradas o la explotación de vulnerabilidades de software.
2. Exfiltración de datos: Este es el paso crítico y distintivo. Antes de cifrar cualquier archivo, los delincuentes identifican, recolectan y copian información valiosa, como documentos internos, datos financieros o información personal de clientes.
3. Cifrado de archivos: Una vez que ya tienen una copia de los datos en su poder, activan el ransomware para bloquear el acceso a los archivos y sistemas originales de la víctima.
4. Chantaje (Doble Extorsión): Los delincuentes exigen ahora un pago por dos conceptos distintos: primero, para entregar la clave que libera los archivos cifrados; y segundo, para no revelar la información robada en Internet.

El uso de sitios de filtración (Leak Sites)

Para aumentar la eficacia del chantaje, muchos grupos de ransomware utilizan sitios web especializados conocidos como DLS (Data Leak Sites). En estas páginas, publican una lista de sus víctimas y, si no se realiza el pago, comienzan a divulgar la información robada, ya sea de forma parcial para demostrar que es real o de forma total. Esto genera un daño reputacional y legal masivo, haciendo que incluso si la empresa tiene copias de seguridad para restaurar sus sistemas, la amenaza de la filtración siga siendo crítica.

Ejemplos reales y consecuencias

Las fuentes destacan casos donde esta técnica ha causado impactos devastadores:

• Insomniac Games: Tras negarse a pagar el rescate, se filtraron terabytes de datos de la empresa.
• Ashley Madison: Se exigió el cierre del servicio y, ante la negativa, se divulgó información sensible y financiera de millones de usuarios.
• Adobe: La exposición de millones de cuentas derivó en acuerdos millonarios con los clientes afectados.

Medidas de prevención

Para combatir esta amenaza, no basta con tener respaldos de la información. Se recomienda una estrategia de seguridad en capas:

• Autenticación Multifactor (MFA): Fundamental para evitar accesos no autorizados incluso si las credenciales han sido robadas.
• Gestión de parches: Mantener el software actualizado para cerrar vulnerabilidades que sirven como puerta de entrada.
• Soluciones de seguridad robustas: Herramientas como ESET LiveGuard Advanced o ESET Ransomware Shield pueden detectar y detener procesos sospechosos antes de que ocurra la exfiltración o el cifrado.
• Concienciación: Capacitar a los empleados para identificar intentos de ingeniería social y phishing.

Contar con una funcionalidad de remediación de ransomware, presente en soluciones como ESET HOME Security Ultimate, permite restaurar archivos automáticamente si el cifrado logra iniciarse, aunque la prevención del robo inicial de datos sigue siendo la prioridad absoluta.