En la reciente conferencia RSA en San Francisco, los expertos en ciberseguridad de Mandiant, una empresa propiedad de Google, han mostrado una evolución preocupante en las tácticas de extorsión por ransomware. Ahora la extorsión se ha vuelto profundamente personal y psicológica. Esta nueva fase marca un desplazamiento significativo en las estrategias de los cibercriminales, quienes ahora no solo se conforman con secuestrar la información de sus víctimas, sino que también emplean métodos agresivos y directos para presionar a las organizaciones afectadas.

Originalmente, los ataques de ransomware se centraban en cifrar los archivos de las víctimas, bloqueando el acceso hasta que se pagara un rescate. Sin embargo, con el paso del tiempo, estos ataques se han vuelto más sofisticados y maliciosos. Según Charles Carmakal, CTO de Mandiant, los criminales ahora realizan acciones como el «SIM swapping» o suplantación de tarjetas SIM de familiares de ejecutivos, incluyendo a menores, para realizar llamadas que maximicen el impacto emocional y el miedo.

Este enfoque no solo busca desestabilizar la operatividad de una empresa, sino que también apunta directamente al bienestar emocional de sus empleados y sus familias. Estos métodos de manipulación buscan forzar la mano de los ejecutivos a tomar decisiones bajo presión extrema, lo que ha llevado a algunas organizaciones a reconsiderar su estrategia frente a los ataques de ransomware, priorizando la protección de sus empleados sobre otros aspectos operativos o financieros.

Cinco razones clave de la extorsión emocional

El enfoque personalizado y psicológicamente agresivo en los ataques de ransomware se ha convertido en una tendencia alarmante por varias razones clave:

  1. Maximizar el impacto psicológico: Al enfocarse en ataques personales, como la suplantación de identidad de familiares de ejecutivos, los ciberdelincuentes aumentan el impacto emocional del ataque. Esto puede desestabilizar psicológicamente a la víctima, haciendo que sea más probable que ceda a las demandas de rescate por desesperación o miedo a consecuencias personales más graves.
  2. Aumentar la probabilidad de pago: Las empresas podrían estar más dispuestas a pagar rescates cuando los ataques amenazan directamente la seguridad y el bienestar de sus empleados y sus familias. Este enfoque explota la lealtad y el deber moral de los líderes empresariales hacia sus trabajadores, lo que puede persuadirlos a pagar para proteger a su gente en lugar de solo sus datos o sistemas.
  3. Crear urgencia inmediata: Al involucrar personalmente a los empleados o a sus familias, los cibercriminales crean una situación de urgencia que presiona a las empresas a actuar rápidamente. Esto reduce el tiempo que tienen las víctimas para considerar alternativas al pago, como la restauración de sistemas o la consulta con expertos en seguridad.
  4. Explotar vulnerabilidades humanas: Los ataques personales se aprovechan de la natural predisposición humana a responder con rapidez y emoción cuando se ven afectados seres queridos. Esta táctica explota vulnerabilidades emocionales que pueden no estar presentes en ataques más generalizados o técnicos.
  5. Obtener ventaja mediante la intimidación y el miedo: Los ciberdelincuentes saben qué intimidar a individuos específicos dentro de una organización, especialmente aquellos en posiciones de poder, puede ser más efectivo que métodos más impersonales. Esto puede incluir amenazas directas, chantaje o incluso violencia simbólica, como la publicación de información personal sensible.

Impacto más allá de la empresa

El efecto de estas tácticas va más allá de las empresas afectadas. En los últimos años, hemos visto ataques que han impactado con servicios críticos como hospitales y servicios de emergencia, demostrando la cruel disposición de los atacantes para comprometer cualquier elemento que maximice la presión sobre sus víctimas. Este tipo de ataques no solo causa una paralización inmediata, sino que también impone un dilema ético y legal considerable, especialmente cuando las víctimas son instituciones que manejan información sensible de salud.

Estas situaciones colocan a los líderes empresariales y de TI en un conflicto moral y legal profundo, enfrentándose a lo que podría ser el peor día de sus carreras al tener que gestionar estos dilemas.

 

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre