2020 fue un año récord para los pagos de ransomware ($ 692 millones), y 2021 probablemente será más alto cuando todos los datos estén disponibles, Chainalysis recientemente reportado. Además, con el estallido de la guerra entre Ucrania y Rusia, se espera que crezca también el uso del ransomware como herramienta geopolítica, no solo para robar dinero.
Sin embargo, una nueva ley estadounidense podría detener esta creciente ola de extorsión. El presidente de los Estados Unidos, Joe Biden, recientemente firmado promulgó la Ley de Fortalecimiento de la Ciberseguridad Estadounidense, o el proyecto de ley Peters, que exige que las empresas de infraestructura informen al gobierno sobre ataques cibernéticos sustanciales dentro de las 72 horas y dentro de las 24 horas si realizan un pago de ransomware.
¿Porque es esto importante? El análisis de Blockchain ha demostrado ser cada vez más efectivo para interrumpir las redes de ransomware, como se vio en el caso Colonial Pipeline el año pasado, donde el Departamento de Justicia pudo recuperar 2,3 millones de dólares del total que una empresa de oleoductos pagó a una red de ransomware.
Pero, para mantener esta tendencia positiva, se necesitan más datos y deben proporcionarse de manera más oportuna, particularmente las direcciones criptográficas de los malhechores, ya que casi todos los ataques de ransomware involucrar Criptomonedas basadas en blockchain, generalmente Bitcoin (BTC).
Aquí es donde la nueva ley debería ayudar porque, hasta ahora, las víctimas de ransomware rara vez denuncian la extorsión a las autoridades gubernamentales u otros.
“Será muy útil”, dijo a Cointelegraph Roman Bieda, jefe de investigaciones de fraude en Coinfirm. “La capacidad de ‘marcar’ inmediatamente monedas, direcciones o transacciones específicas como ‘riesgosas’ […] permite a todos los usuarios detectar el riesgo incluso antes de cualquier intento de lavado”.
“Absolutamente ayudará en el análisis de los investigadores forenses de blockchain”, dijo a Cointelegraph Allan Liska, analista senior de inteligencia de Recorded Future. “Si bien los grupos de ransomware a menudo cambian las billeteras para cada ataque de ransomware, ese dinero eventualmente regresa a una sola billetera. Los investigadores de Blockchain se han vuelto muy buenos conectando esos puntos”. Han podido hacer esto a pesar de mezclar y otras tácticas utilizadas por los anillos de ransomware y sus lavadores de dinero confederados, agregó.
Siddhartha Dalal, profesor de práctica profesional en la Universidad de Columbia, estuvo de acuerdo. El año pasado, Dalal fue coautor de un artículo noble “Identificación de actores de ransomware en la red de Bitcoin” que describía cómo él y sus colegas investigadores pudieron usar algoritmos de aprendizaje automático de gráficos y análisis de cadenas de bloques para identificar a los atacantes de ransomware con “85% de precisión de predicción en el conjunto de datos de prueba”.
Si bien sus resultados fueron alentadores, los autores afirmaron que podrían lograr una precisión aún mayor mejorando aún más sus algoritmos y, lo que es más importante, “obteniendo más datos que son más confiables”.
El desafío para los modeladores forenses aquí es que están trabajando con datos muy desequilibrados o sesgados. Los investigadores de la Universidad de Columbia pudieron aprovechar 400 millones de transacciones de Bitcoin y cerca de 40 millones de direcciones de Bitcoin, pero solo 143 de estas eran direcciones de ransomware confirmadas. En otras palabras, las transacciones sin fraude superaron con creces a las transacciones fraudulentas. Con datos tan sesgados como este, el modelo marcará muchos falsos positivos u omitirá los datos fraudulentos como un porcentaje menor.
Bieda de Coinfirm proporcionó un ejemplo de este problema en una entrevista el año pasado:
“Digamos que desea crear un modelo que extraiga fotos de perros de un tesoro de fotos de gatos, pero tiene un conjunto de datos de entrenamiento con 1000 fotos de gatos y solo una foto de perro. Un modelo de aprendizaje automático ‘aprendería que está bien tratar todas las fotos como fotos de gatos, ya que el margen de error es [only] 0.001.’”
Dicho de otra manera, el algoritmo “simplemente adivinaría ‘gato’ todo el tiempo, lo que haría que el modelo fuera inútil, por supuesto, incluso si obtuvo una puntuación alta en precisión general”.
Se le preguntó a Dalal si esta nueva legislación de EE. UU. ayudaría a expandir el conjunto de datos públicos de Bitcoin y direcciones criptográficas “fraudulentas” necesarias para un análisis blockchain más efectivo de las redes de ransomware.
“No hay dudas al respecto”, dijo Dalal a Cointelegraph. “Por supuesto, más datos siempre son buenos para cualquier análisis”. Pero aún más importante, por ley, los pagos de ransomware ahora se revelarán dentro de un período de 24 horas, lo que permite “una mejor oportunidad de recuperación y también posibilidades de identificar servidores y métodos de ataque para que otras víctimas potenciales puedan tomar medidas defensivas para protegerlos”, agregó. Eso es porque la mayoría de los perpetradores usan ese mismo malware para atacar a otras víctimas.
Una herramienta forense infrautilizada
En general, no se sabe que las fuerzas del orden se benefician cuando los delincuentes usan criptomonedas para financiar sus actividades. “Puede usar el análisis de blockchain para descubrir toda su cadena de suministro de operaciones”, dijo Kimberly Grauer, directora de investigación de Chainalysis. “Puede ver dónde compran su alojamiento a prueba de balas, dónde compran su malware, su filial con sede en Canadá”, etc. “Puede obtener mucha información para estos grupos” a través del análisis de blockchain, agregó en una reciente mesa redonda de Chainalysis Media en la ciudad de Nueva York.
Pero, ¿realmente ayudará esta ley, que aún llevará meses implementar? “Es positivo, ayudaría”, respondió en el mismo evento Salman Banaei, codirector de políticas públicas de Chainalysis. “Lo defendimos, pero no es como si estuviéramos volando a ciegas antes”. ¿Haría que sus esfuerzos forenses fueran significativamente más efectivos? “No sé si nos haría mucho más efectivos, pero esperaríamos alguna mejora en términos de cobertura de datos”.
Todavía hay detalles por resolver en el proceso de elaboración de normas antes de que se implemente la ley, pero ya se ha planteado una pregunta obvia: ¿Qué empresas deberán cumplir? “Es importante recordar que el proyecto de ley solo se aplica a ‘entidades que poseen u operan infraestructura crítica'”, dijo Liska a Cointelegraph. Si bien eso podría incluir decenas de miles de organizaciones en 16 sectores, “este requisito solo se aplica a una pequeña fracción de organizaciones en los Estados Unidos”.
Pero, tal vez no. Según a Bipul Sinha, director ejecutivo y cofundador de Rubrik, una empresa de seguridad de datos, los sectores de infraestructura citados en la ley incluir servicios financieros, TI, energía, salud, transporte, fabricación e instalaciones comerciales. “En otras palabras, casi todo el mundo”, escribió en una publicación de Fortune. artículo recientemente.
Otra pregunta: ¿Se deben informar todos los ataques, incluso los que se consideran relativamente triviales? La Agencia de Seguridad de Infraestructura y Ciberseguridad, donde las empresas informarán, comentó recientemente que incluso los actos pequeños podrían considerarse denunciables. “Debido al riesgo inminente de ciberataques rusos […] cualquier incidente podría proporcionar migas de pan importantes que conduzcan a un atacante sofisticado”, el New York Times reportado.
¿Es correcto suponer que la guerra hace más urgente la necesidad de tomar acciones preventivas? Después de todo, el presidente Joe Biden, entre otros, ha planteado la probabilidad de ciberataques de represalia por parte del gobierno ruso. Pero, Liska no cree que esta preocupación se haya resuelto, al menos no todavía:
“Los ataques de ransomware de represalia después de la invasión rusa de Ucrania no parecen haberse materializado. Como gran parte de la guerra, hubo una mala coordinación por parte de Rusia, por lo que los grupos de ransomware que podrían haber sido movilizados no lo fueron”.
Aún así, casi las tres cuartas partes de todo el dinero obtenido a través de ataques de ransomware se destinaron a piratas informáticos vinculados a Rusia en 2021. según a Chainalysis, por lo que no se puede descartar un aumento en la actividad a partir de ahí.
No es una solución independiente
Los algoritmos de aprendizaje automático que identifican y rastrean a los actores de ransomware que buscan el pago de blockchain, y casi todo el ransomware está habilitado para blockchain, sin duda mejorarán ahora, dijo Bieda. Pero las soluciones de aprendizaje automático son solo “uno de los factores que respaldan el análisis de blockchain y no una solución independiente”. Todavía existe una necesidad crítica “de una amplia cooperación en la industria entre las fuerzas del orden, las empresas de investigación de blockchain, los proveedores de servicios de activos virtuales y, por supuesto, las víctimas de fraude en blockchain”.
Dalal agregó que aún quedan muchos desafíos técnicos, principalmente como resultado de la naturaleza única del pseudoanonimato, y explicó a Cointelegraph:
“La mayoría de las cadenas de bloques públicas no tienen permiso y los usuarios pueden crear tantas direcciones como quieran. Las transacciones se vuelven aún más complejas ya que existen tumblers y otros servicios de mezcla que pueden mezclar dinero contaminado con muchos otros. Esto aumenta la complejidad combinatoria de identificar a los perpetradores que se esconden detrás de múltiples direcciones”.
¿Más progreso?
No obstante, las cosas parecen estar moviéndose en la dirección correcta. “Creo que estamos logrando un progreso significativo como industria”, agregó Liska, “y lo hemos hecho relativamente rápido”. Varias empresas han estado haciendo un trabajo muy innovador en esta área, “y el Departamento del Tesoro y otras agencias gubernamentales también están comenzando a ver el valor en el análisis de blockchain”.
Por otro lado, mientras que el análisis de blockchain claramente está avanzando, “se está ganando tanto dinero con el ransomware y el robo de criptomonedas en este momento que incluso el impacto que este trabajo está teniendo palidece en comparación con el problema general”, agregó Liska.
Si bien Bieda ve progreso, aún será un desafío lograr que las empresas denuncien el fraude de blockchain, especialmente fuera de los Estados Unidos. “Durante los últimos dos años, más de 11 000 víctimas de fraude en blockchain llegaron a Coinfirm a través de nuestro sitio web Reclaim Crypto”, dijo. “Una de las preguntas que hacemos es: ‘¿Ha denunciado el robo a la policía?’ – y muchas víctimas no lo habían hecho”.
Dalal dijo que el mandato del gobierno es un paso importante en la dirección correcta. “Esto seguramente cambiará las reglas del juego”, dijo a Cointelegraph, ya que los atacantes no podrán repetir el uso de sus técnicas favoritas, “y tendrán que moverse mucho más rápido para atacar múltiples objetivos. También reducirá el estigma asociado a los ataques y las posibles víctimas podrán protegerse mejor”.