El último reporte de Chainalysis revela cambios profundos en el panorama del ransomware durante 2024, marcando un hito: por primera vez desde 2022, los ingresos derivados de estas extorsiones han disminuido, con un descenso del 35% en el volumen total de pagos en comparación con 2023. Este notable retroceso, de $1.25 mil millones a aproximadamente $813.55 millones, se explica por una combinación de medidas más estrictas por parte de las autoridades, una colaboración internacional fortalecida y una creciente renuencia de las víctimas a pagar.
Factores que impulsaron la disminución en los pagos
El reporte destaca varios elementos determinantes que han influido en este descenso:
- Acciones policiales y cooperación internacional: Las operaciones conjuntas de agencias como la National Crime Agency (NCA) del Reino Unido y el FBI han tenido un impacto decisivo, como se evidenció en la caída del 79% en los pagos asociados a grupos como LockBit tras su intervención.
- Resistencia de las víctimas: La mejora en la ciberhigiene y la resiliencia de las organizaciones han llevado a que un mayor número de víctimas opte por métodos alternativos, como la restauración a partir de backups o la negociación para reducir el rescate, en lugar de pagar las demandas iniciales.
- Cambio en el ecosistema criminal: Ante la presión de las autoridades, muchos actores han cambiado de estrategia. Nuevas cepas de ransomware han surgido a partir de códigos rebrandeados, filtrados o adquiridos, demostrando un entorno de amenazas más ágil y adaptativo.
Evolución en las tácticas de los ciberdelincuentes
Aunque el valor extorsionado entre enero y junio de 2024 mostró un pequeño incremento interanual (alrededor del 2.38%), la actividad de pago se desaceleró de manera significativa a partir de julio, evidenciando una reducción del 34.9% en la segunda mitad del año. Este cambio, que supera la disminución observada en ciclos anteriores, resalta cómo la respuesta coordinada de las fuerzas del orden y las nuevas estrategias de defensa han empezado a fracturar el tradicional modelo de extorsión.
El reporte señala que, mientras la cantidad de eventos de ransomware aumentó (como lo evidencian los datos publicados en sitios de filtración), el número de pagos realizados en cadena se redujo. Esta disparidad sugiere que, si bien se han incrementado los intentos de extorsión, las víctimas muestran mayor capacidad para resistir o mitigar el impacto de los ataques.
Análisis de las principales cepas y casos destacados
Entre los grupos estudiados, el reporte profundiza en el desempeño de las principales cepas de ransomware:
- LockBit: Este grupo, que fue severamente golpeado por las acciones coordinadas de la NCA y el FBI, experimentó una caída drástica en los pagos. La interrupción de sus operaciones evidencia el efecto positivo de la cooperación internacional en la lucha contra el cibercrimen.
- Akira y Fog: Mientras que la mayoría de las cepas vieron una reducción en su actividad, Akira destacó por haber intensificado sus ataques en la segunda mitad de 2024. Fog, una cepa emergente desde septiembre, se ha caracterizado por explotar vulnerabilidades críticas, especialmente en entornos empresariales.
- INC/Lynx y actores iraníes: El análisis on-chain permitió identificar vínculos entre diferentes variantes y actores, especialmente aquellos vinculados a Irán, que han aprovechado cambios en la infraestructura del ransomware para rebrandearse o migrar a nuevos modelos de ransomware-as-a-service (RaaS).
Adicionalmente, el reporte destaca el caso de Rostislav Panev, figura clave en el apoyo a LockBit, cuya reciente detención en Israel pone de manifiesto que, a pesar del tiempo transcurrido, la transparencia de la blockchain sigue siendo una herramienta poderosa para las fuerzas del orden en la persecución y desarticulación de redes criminales.
Nuevos métodos de lavado de dinero y gestión de fondos
Otro aspecto relevante del reporte es el cambio en las metodologías de lavado de dinero utilizadas por los cibercriminales. En 2024 se observó una disminución en el uso de mixers, mientras que los actores han incrementado su dependencia de los puentes entre cadenas (cross-chain bridges) y de las bolsas centralizadas (CEXs). Esto, junto con una tendencia a mantener grandes volúmenes de fondos en wallets personales, refleja una mayor cautela entre los delincuentes ante el endurecimiento de las regulaciones y las acciones punitivas contra servicios no-KYC.
El análisis de Chainalysis muestra que, a pesar de la persistencia del ransomware como una amenaza relevante, el ecosistema está experimentando transformaciones profundas. La combinación de mayores medidas de seguridad, la colaboración internacional y la creciente resiliencia de las víctimas está reconfigurando el panorama del cibercrimen. Los actores del ransomware se han visto obligados a evolucionar, adaptando sus tácticas y diversificando sus métodos para seguir operando en un entorno cada vez más hostil.
Para la comunidad cripto y los profesionales de la ciberseguridad, estos hallazgos representan tanto un motivo de cautela como una oportunidad para seguir fortaleciendo las defensas ante un adversario que, aunque más fragmentado, continúa en constante evolución.
Regístrate en Binance y obten un 15% de descuento en tus comisiones de por vida con nuestro enlace
