Crimeware y ciberamenazas financieras en 2024

En Kaspersky, hacemos un seguimiento constante del panorama de las ciberamenazas financieras, que incluye tanto las amenazas para instituciones financieras como para los bancos, así como las amenazas con motivación financiera, como el ransomware, dirigidas a una gama más amplia de sectores. Como parte de nuestro Boletín de Seguridad Kaspersky, intentamos predecir cómo evolucionarán estas ciberamenazas en el próximo año para ayudar a particulares y empresas a estar preparados para hacerles frente. En este artículo, primero evaluaremos nuestras predicciones del año pasado, y luego intentaremos pronosticar qué tendencias tendrán lugar en 2024.

Revisión de las predicciones del año pasado (2023): aciertos y errores

1. Web3 y el auge de las amenazas:

   Se cumplió. La predicción sugería que la Web3, liderada por los sectores del juego y el entretenimiento, seguiría ganando impulso y se enfrentaría a amenazas cada vez mayores. Destacaba la creciente popularidad de las criptomonedas y anticipaba un aumento de las estafas con criptomonedas. La predicción afirmaba, y estaba en lo cierto, que los usuarios se habían vuelto más conscientes de los problemas de las criptomonedas y que no sería fácil que cayesen en estafas primitivas. Sin embargo, según la firma de ciberseguridad Certik, los robos de criptomonedas sí que estuvieron en aumento, con casi mil millones de dólares perdidos por estafas, clausuras inesperadas y exploits a lo largo de 2023, lo que hace que esta predicción haya dado en el clavo.

2. Cargadores (loaders) de malware en el mercado clandestino:

   Se cumplió. La predicción anticipaba que los cargadores de malware se convertirían en una mercancía importante en el mercado clandestino de los ciberdelincuentes. Afirmaba, con razón, que los atacantes prestarían más atención a los descargadores y droppers para evadir la detección. La aparición de ASMCrypt y la evolución de las técnicas para bajar cargas útiles sin que las detecten confirmaron la predicción. Esta tendencia se alinea con el creciente interés por los cargadores maliciosos, lo que hace que esta predicción se haya cumplido.

3. Aumento de los marcos de pruebas de penetración del tipo “equipo rojo”:

   No se cumplió. La predicción sugería que los ciberdelincuentes desplegarían más marcos de pruebas de penetración del tipo “equipo rojo” para sus actividades maliciosas, con ejemplos como Cobalt Strike y Brute Ratel C4. Sin embargo, el análisis indica que no se observaron otros avances similares más allá de estas herramientas, lo que hace que la predicción sea falsa. Esto sugiere que la tendencia de los ciberdelincuentes de utilizar marcos de pruebas de penetración podría no haber sido tan generalizada como se esperaba en 2023.

4. Métodos de pago del ransomware:

   No se cumplió. La predicción de que Bitcoin dejaría de ser el principal método de pago de ransomware debido a las sanciones y cambios normativos resultó ser falsa. Aunque el panorama financiero y la normativa han evolucionado, Bitcoin sigue siendo el método preferido para pagar los rescates de ransomware. El uso de criptomonedas combinado con el uso de sistemas mezcladores fue el método preferido por la mayoría de los principales grupos de RaaS.

5. Grupos de ransomware y actividad destructiva:

   Se cumplió. La predicción de que los grupos de ransomware abandonarían los intereses financieros para concentrarse en actividades más destructivas, entre ellas las demandas políticas, se confirmó en 2023. Ejemplos como CryWiper, un wiper que se hace pasar por ransomware, o el ransomware Roadsweep, que hace irrecuperables los archivos de las víctimas, confirman esta tendencia, que marca un cambio en sus motivaciones y tácticas.

En resumen, la mayoría de las predicciones para 2023 fueron bastante acertadas. Anticiparon correctamente las crecientes amenazas en el espacio Web3 y de criptomonedas, el protagonismo de los cargadores de malware en el mercado clandestino y los cambios en las motivaciones del ransomware. Sin embargo, el pronóstico de que aumentarían los marcos de pruebas de penetración de “equipo rojo” no se materializó como se esperaba, ya que hubo pocos casos de esta tendencia más allá de Cobalt Strike y Brute Ratel C4. Tampoco se cumplió la predicción de que los operadores de ransomware usarían cada vez menos Bitcoin y más otros métodos de pago. Mas bien, para impedir que se les hiciera seguimiento, los ciberdelincuentes recurrieron a mezcladores de Bitcoin que ofuscaban sus transacciones.

Predicciones de ciberseguridad financiera para 2024

El año 2024 se perfila como un periodo difícil para la ciberseguridad financiera, en el que los ciberdelincuentes emplearán tácticas y tecnologías cada vez más sofisticadas para explotar las vulnerabilidades del sector financiero. Este informe esboza varias predicciones clave que se basan en tendencias y amenazas emergentes, como el creciente uso de la IA, el aumento del fraude en los sistemas de pago directo, la adopción global de Sistemas de Transferencia Automatizada (ATS), la internacionalización de los troyanos bancarios brasileños, la evolución de las tácticas del ransomware, etc.

1. Aumento de los ciberataques lanzados mediante IA:

   En 2024, se espera que el sector financiero se enfrente a un repunte de los ciberataques que aprovechan las herramientas de aprendizaje automático. Los ciberdelincuentes emplearán IA generativa para falsificar anuncios , correos electrónicos y otros medios de comunicación legítimos, con el fin de hacer más difícil distinguir el contenido auténtico del fraudulento. Este enfoque basado en la inteligencia artificial dará lugar a una proliferación de campañas de menor calidad, ya que la barrera de entrada para los ciberdelincuentes disminuirá y aumentarán las posibilidades de engaño.

2. Esquemas fraudulentos dirigidos a los sistemas de pago directo

   Con la creciente popularidad de sistemas de pago directo como PIX en Brasil, FedNow en EE.UU. y UPI en la India, los ciberdelincuentes explotarán estas plataformas para crear esquemas fraudulentos. Es de esperar que aparezcan programas maliciosos diseñados para explotar los nuevos sistemas de pago directo. Además, los troyanos bancarios para móviles explotarán cada vez más estos sistemas como medio rápido y eficaz de convertir en dinero en efectivo las ganancias mal habidas.

3. Adopción mundial de sistemas automatizados de transferencia (ATS)

   Los sistemas sistemas automatizados de transferencia (ATS) son una técnica bastante nueva, que consiste en que un malware bancario realiza transacciones fraudulentas cuando el usuario se conecta a la aplicación bancaria. Aunque ahora los ATS móviles están activos en algunas familias de malware brasileñas, la adopción global de la banca móvil y de los sistemas de transferencia A2A los hará expandirse más allá de las fronteras brasileñas. Los troyanos bancarios móviles adoptarán técnicas de ATS para recibir el dinero en efectivo de forma rápida, dejando de centrarse en Brasil. Este cambio facilitará a los ciberdelincuentes de todo el mundo la explotación de estos sistemas con fines de lucro.

4. Resurgimiento de los troyanos bancarios brasileños

   Debido a que muchos ciberdelincuentes de Europa del Este han pasado a concentrarse en el ransomware, los troyanos bancarios brasileños llenarán el vacío dejado por los troyanos bancarios para sistemas de escritorio. Familias como Grandoreiro ya se han expandido al extranjero y lanzado ataques a más de 900 bancos en 40 países. Su ambición es convertirse en el nuevo ZeuS, y esta tendencia no es exclusiva de Grandoreiro, ya que otras familias comparten aspiraciones similares.

5. Selección del objetivo del ransomware

   Los grupos de ransomware serán más selectivos a la hora de elegir objetivos para maximizar sus posibilidades de recibir pagos o exigir rescates más elevados. Este enfoque estratégico dará lugar a ataques más selectivos y perjudiciales contra instituciones y organizaciones financieras.

6. Paquetes de código abierto con puertas traseras

   Una tendencia preocupante en 2024 será el aumento de los paquetes de código abierto que contienen puertas traseras. Los ciberdelincuentes explotarán las vulnerabilidades de los programas informáticos de código abierto más utilizados, poniendo en peligro la seguridad y pudiendo provocar filtraciones de datos y pérdidas económicas.

7. Disminución de los exploits de día cero, aumento de los de 1 día

   Los delincuentes reducirán su dependencia de las vulnerabilidades de día cero y, en su lugar, recurrirán a los exploits de un día. Este cambio podría estar impulsado por la creciente escasez de exploits de día cero y la creciente demanda de métodos de ataque más fiables y accesibles.

8. Explotación dedispositivos y servicios mal configurados

   Predecimos un aumento de la explotación y el abuso de dispositivos y servicios mal configurados que son accesibles al público cuando no deberían serlo. Los ciberdelincuentes aprovecharán estos puntos débiles para obtener acceso no autorizado y lanzar ataques.

9. Composición fluida de los grupos afiliados

   En el ecosistema ciberdelictivo los grupos afiliados mostrarán una estructura más fluida, con miembros que con frecuencia se pasarán de un grupo a otro o trabajarán para varios grupos al mismo tiempo. Esta adaptabilidad dificultará a las fuerzas de seguridad el seguimiento y la lucha eficaz contra la ciberdelincuencia.

10. Adopción de lenguajes menos populares o multiplataforma

    Los ciberdelincuentes utilizarán con mayor frecuencia lenguajes de programación menos populares y multiplataforma como Golang y Rust para desarrollar malware y explotar vulnerabilidades. Esta tendencia, ejemplificada por la aparición de MarioLocker escrito en Golang en Colombia, hará más difícil detectar y mitigar las ciberamenazas.

11. Surgimiento de grupos hacktivistas

    Los conflictos sociopolíticos harán que se pongan en boga de grupos de hacktivistas centrados en interrumpir el trabajo de infraestructuras y servicios críticos. Estos grupos supondrán una gran amenaza para las instituciones financieras y otras organizaciones vitales para el funcionamiento de la sociedad.

El panorama de la ciberseguridad financiera en 2024 se caracterizará por la evolución de las amenazas, el aumento de la automatización y la persistencia de los ciberdelincuentes. Para afrontar estos retos de forma proactiva, las instituciones y organizaciones financieras deberán adaptar estrategias de ciberseguridad y proteger sus activos y datos confidenciales. La colaboración entre los sectores público y privado será esencial para combatir los crecientes riesgos de ciberseguridad financiera en el próximo año.