El modelo Ransomware as a Service (RaaS) representa una de las evoluciones más peligrosas en el panorama actual de ciberamenazas. Este paradigma ha transformado radicalmente la forma en que operan los grupos de ciberdelincuentes, porque se ha democratizando el acceso a herramientas de ataque sofisticadas y permitiendo que individuos sin conocimientos técnicos avanzados puedan ejecutar ataques devastadores. Según datos de Chainalysis y Cybersecurity Ventures, la economía del ransomware se ha convertido en una industria criminal estructurada con cadenas de suministro, soporte técnico y modelos de negocio que imitan a las empresas de tecnología legítimas.
La gravedad de esta amenaza radica en su capacidad para escalar exponencialmente el número de ataques, reduciendo drásticamente las barreras de entrada para nuevos atacantes mientras que simultáneamente es cada vez más sofisticado el código malicioso. Lo peor es que se siguen registrando pagos millonarios de rescate con un giro al uso de las criptomonedas y afectando a sectores como la salud, las infraestructuras críticas, los servicios financieros y manufactureros, que implica periodos de recuperación que oscilan sobre los 24 días por incidente.
El Ransomware as a Service (RaaS) es un modelo de negocio criminal basado en suscripción que permite a ciberdelincuentes, incluso sin experiencia técnica, lanzar ataques con este tipo de programa maligno utilizando herramientas preconstruidas y mantenidas por desarrolladores especializados. El modelo opera de manera análoga a las plataformas legítimas de Software as a Service (SaaS), ofreciendo paquetes completos que incluyen el código malicioso, la infraestructura de comando y control, sistemas de procesamiento de pagos y soporte técnico 24/7 para quienes solicitan estas creaciones maliciosas.
El ecosistema RaaS elimina el paso de la escritura de un código malicioso propio. Los programas de RaaS están disponibles para cualquier persona que pueda pagar la suscripción, que ofrece diversas modalidades que van desde una tarifa única de licencia hasta un modelo de participación en los ingresos del rescate.
En el ecosistema RaaS se incluyen múltiples actores especializados que conforman una cadena criminal de mucha eficiencia. En la cúspide se encuentran quienes crean y mantienen el ransomware, sus rutinas de cifrado, la infraestructura de comando y control y los sistemas de procesamiento de pagos y no son los ejecutores directos de los ataques, para este fin reclutan afiliados, que son generalmente, operadores independientes que utilizan el kit de herramientas proporcionado para violar objetivos, desplegar el ransomware y negociar los rescates. En esta cadena son importantes los Initial Access Brokers (IAB), que se encargan de vender credenciales comprometidas, acceso VPN, entre otras cuestiones que conducen hasta la web profunda.
En este modelo ha florecido lo que se ha dado en llamar la democratización del ciberdelito porque se han creado las condiciones para que cualquier persona, independientemente de su preparación técnica, pueda ejecutar ataques de ransomware devastadores. Esta “democratización” se fundamenta en varios mecanismos clave que eliminan las tradicionales barreras de entrada. En primer lugar, los desarrolladores de RaaS proporcionan kits completos «llave en mano» que incluyen un código malicioso probado, herramientas de distribución, plantillas de phishing y sistemas de gestión de víctimas, todo ello con interfaces gráficas intuitivas que no requieren conocimientos de programación.
Ademas los proveedores de RaaS ofrecen documentación detallada, tutoriales paso a paso y foros de soporte donde los afiliados pueden hacer preguntas y recibir respuestas de los diseñadores del ransomware. Muchos incluso proporcionan servicio de atención al cliente 24/7, similar al de cualquier empresa de software legítima. La compra de acceso inicial a través de IAB reduce aún más los requisitos técnicos porque un atacante puede simplemente comprar credenciales ya comprometidas por una fracción del rescate potencial, eliminando la necesidad de desarrollar técnicas de intrusión propias.
El ecosistema RaaS ha desarrollado una infraestructura de soporte completa que permite a los atacantes ejecutar campañas complejas, una infraestructura resistente ante las investigaciones de las autoridades, junto al lavado de los pagos de rescate, dificultando su rastreo.
Algunos grupos RaaS emplean especialistas en negociación lo que muestra el desarrollo de un experticia en los diversos momentos del ataque y que demuestran que actúan como conglomerados delictivos ante las víctimas.
El proceso de creación de un ataque RaaS comienza con la selección y adquisición del servicio. El atacante potencial navega por la internet profunda (zona de confort del ciberdelito) con navegadores como Tor, donde se anuncian este tipo de “servicios” con una amplia y variada información. Tras la selección del proveedor, el atacante crea una cuenta y paga la tarifa inicial, generalmente en criptomonedas y una vez completado el registro, accede a un panel de control donde puede seleccionar el tipo de ransomware, personalizar la nota de rescate, configurar la dirección de pago y acceder a las herramientas de distribución.
Los vectores de ataque más comunes se enmarcan en tres categorías principales: las vulnerabilidades explotadas que representan el 32% de los ataques, aprovechando fallos de seguridad no parcheados en software y sistemas, las credenciales comprometidas constituyen el 29% de los casos, obtenidas mediante compras a IAB o mediante ataques de fuerza bruta y los correos de phishing representan el 24% restante, estos utilizan la ingeniería social para engañar a las víctimas y propiciar la descarga del programa malicioso o revelen credenciales.
Se pudiera mostrar una larga lista de vulnerabilidades explotadas resultante del descuido y la negligencia humana, pero no es objetivo en esta oportunidad.
Una vez que se ha obtenido el acceso inicial, el atacante procede a desplegar el ransomware. El código malicioso incluye rutinas de cifrado que hacen prácticamente imposible la recuperación sin la clave. Aunque la firma Kasperky ha comenzado, desde hace algún tiempo, a proveer de programas para quebrar este tipo de cifrado. Es importante que se conozca que antes de proceder al cifrado, el código maligno realiza reconocimiento del sistema, identificando archivos de alto valor, bases de datos y copias de seguridad accesibles incluso existen variantes con la capacidad de moverse de forma lateral para infectar otras estructuras conectadas en la red.
El cifrado se ejecuta típicamente en segundo plano, sin alertar al usuario. Los archivos objetivo son cifrados y renombrados con extensiones características del ransomware específico. Una vez completado el cifrado, se despliega un mensaje de rescate en las pantallas del usuario con instrucciones detalladas sobre cómo realizar el pago en criptomonedas. Este mensaje incluye típicamente un temporizador de cuenta regresiva que amenaza con aumentar el rescate o destruir permanentemente los datos si no se paga dentro del plazo establecido.
Las operaciones RaaS modernas emplean estrategias de extorsión de múltiples capas que aumentan significativamente la presión sobre las víctimas. La doble extorsión combina el cifrado de archivos con la exfiltración previa de datos sensibles. Los atacantes roban información antes de cifrar los sistemas y amenazan con publicarla si no se paga el rescate. Esta táctica resulta efectiva incluso contra organizaciones con estrategias de copias de seguridad robustas, porque la restauración no previene la exposición de datos.
Existen casos donde se añade un tercer vector de presión: atacar directamente a los clientes, socios o personas allegadas a la víctima. En este orden, instituciones de salud han visto cómo grupos de ransomware contactan pacientes individuales con amenazas de publicar sus registros médicos. También instituciones financieras han enfrentado amenazas de notificación a autoridades regulatorias sobre la existencia de datos comprometidos. Cada capa de extorsión incrementa la probabilidad y el monto del pago, haciendo que la balanza se incline favorablemente a los atacantes.
La práctica ha confirmado que las instituciones financieras, educativas, de salud y de infraestructura crítica son los sectores más atractivos para los atacantes por la alta dependencia de sistemas digitales para operaciones críticas, que junto a las regulaciones estrictas sobre protección de datos y las consecuencias de una interrupción operativa. A estas se suman los limitados presupuestos de seguridad y los vastas áreas de exposición con gran número de usuarios y dispositivos, que aumentan la presión para pagar.
Este modelo ciberdelictivo representa una amenaza existencial para cualquier organización con independencia de sus proporciones, que se ve agravada con la democratización como paradigma que elimina barreras técnicas tradicionales que permiten a cualquier persona ejecutar ataques. Lo sofisticado del código malicioso es un hecho creciente que incrementa la competencia de los desarrolladores para obtener nuevos afiliados que engrosen su red delictiva. Por esto se ha llegado a afirmar que este ciclo de innovación criminal supera constantemente las defensas disponibles en las organizaciones.
La economía del ransomware, crea incentivos económicos que garantizan un suministro continuo de nuevos operadores y afiliados, mientras la estructura modular del modelo RaaS lo hace resiliente a una posible interrupción por las autoridades. Esto hace que se vean grupos reconfigurados y afiliados que migran a plataformas competidoras sin interrupción. Por ello, las organizaciones deben reconocer que el ransomware no es solo un problema tecnológico, sino una amenaza de continuidad de las operaciones que requiere atención ejecutiva, inversión sostenida y colaboración transversal para una defensa efectiva.