Un grupo de investigadores de distintas instituciones realizó un estudio sobre el impacto de los ataques con virus ransomware, rastreando las cantidades robadas a través de la red de Bitcoin.
El documento, titulado Pagos a Ransomware en el Ecosistema Bitcoin, establece que entre los años 2013 y 2017 los virus diseñados para la extorsión cibernética recolectaron cerca de 23.000 BTC, que para este momento equivalen a más de $200 millones de dólares.
Según especifican los investigadores, pertenecientes a las firmas GoSecure Research, el Instituto Austriaco de Tecnología y la Universidad de Montreal, Canadá, el método de investigación se basó en la obtención directa de datos acerca de las transacciones de bitcoins relacionadas a las 35 familias identificadas de virus ransomware.
Para esto, utilizaron la plataforma de análisis y estadísticas de criptomonedas GraphSense, rastreando las direcciones de Bitcoin asociadas a todos los tipos de ransomware y, de ser posible, determinando por cuáles medios los fondos fueron extraídos o convertidos en dinero fiduciario. De esta forma pudieron establecer qué pagos se hicieron y cómo evolucionaron en el tiempo. El estudio determina que el monto mínimo recolectado es de 22.967,54 BTC, que hoy, con el precio del bitcoin en más de $9100, supera los 209,6 millones de dólares.
El siguiente gráfico muestra las 15 familias de ransomware que obtuvieron la mayor cantidad de dinero y el número de direcciones utilizadas para las transacciones:
Con respecto a estos datos, aclaran que no consideran estos montos como la rentabilidad neta de esos ransomware, debido a la alta volatilidad del precio de bitcoin puesto que «dicha afirmación asumiría que los atacantes habría retirado inmediatamente los pagos de las víctimas, el cuál podría no ser el caso».
Sobre todo, creemos que el método presentado en este documento nos lleva a nuevas estadísticas para cada familia de ransomware. Las direcciones de pago fueron diferenciadas de las recolectoras en los datos, permitiendo medir mejor el impacto financiero sin contar dos veces la misma cantidad. Además, nos permitimos rastrear el flujo monetario de los pagos de ransomware e identificar su destino, así como las casas de cambio y servicios de juegos y apuestas […] Nuestro método es reproducible y puede ser repetido en otras familias de ransomware con los datos propios.
Pagos a Ransomware en el Ecosistema Bitcoin
Sin embargo, los investigadores reconocen algunas limitantes en su metodología. En primer lugar, ya que se basa en la recolección manual de direcciones Bitcoin, éstas necesitan aumentar en cantidad para así tener un espectro más amplio de lo que abarcan las familias. Para atender esta limitante, dicen, el impacto financiero fue reflejado en el monto mínimo, para así no asegurar erróneamente que una cifra represente el total de los pagos efectuados a ese ransomware.
En segundo lugar, aseguran que el anonimato de muchos grupos de direcciones evitan asociarlas a agentes del mundo real, aunque confían que progresivamente esos datos se irán conociendo. También mencionan los servicios de mezcla de criptomonedas, los cuales permiten unir criptomonedas provenientes de diferentes direcciones en una sola transacción.
Los investigadores acotan que muchas transacciones pudieran haberse realizado bajo el método de anonimización CoinJoin, propuesto por Gregory Maxwell, que permite realizar varios pagos en un solo grupo de transacciones, confundiendo las salidas y entradas de la dirección Bitcoin e imposibilitando su rastreo preciso o asociación a una sola identidad. Sin embargo, aclaran que implementar este método para recolectar rescates es difícil, pues crea retrasos en los pagos y requiere de conocimiento técnico al respecto.
Al respecto de esta investigación, el economista Tuur Demeester afirmó haber escuchado estimados de $850 millones de dólares en 2016 solamente, pero que posiblemente este monto se refería al «daño infligido» en lugar de referirse a «extorsión recolectada».
That’s extremely low indeed. I’ve heard estimates of up to $850M for 2016 alone, but those were possibly referring to "damage inflicted" rather than to "ransom collected". #ransomware https://t.co/K0Ev7Ot1Dd
— Tuur Demeester (@TuurDemeester) 20 de abril de 2018
Durante los últimos años los virus tipo ransomware han ido ganando popularidad. Se han perpetrado ataques de alcance global y contra instituciones privadas o estatales indiscriminadamente. Sin embargo, el activismo en contra de este crimen ha logrado reducir su impacto, como bien cita el estudio, gracias a herramientas de defensa desarrolladas y difundidas por la comunidad, como la iniciativa No More Ransom!
Imagen destacada de tonsnoei / stock.adobe.com