Las redes de ciberdelincuentes brasileñas roban cada vez más datos y piden rescate por ellos, aprovechándose de las fuerzas de seguridad, que tienen dificultades para hacer frente a la explosión de los delitos informáticos.
Los incidentes de ciberseguridad alcanzaron máximos históricos mensuales en enero y abril de este año, según la agencia federal de ciberseguridad de Brasil.
Entre los objetivos más recientes se encuentran instituciones financieras clave con una capacidad de ciberseguridad superior a la de la empresa brasileña promedio. El 1 de julio, un grupo llamado RansomHub empezó a filtrar información robada del Sistema de Cooperativas Financieras de Brasil (Sistema de Cooperativas Financeiras do Brasil, Sicoob), una semana después de que Sicoob anunciara que había sido atacado y que sus datos estaban secuestrados.
El número de incidentes de ciberseguridad en los primeros meses de 2024 rompió récords
Número de incidentes registrados por el gobierno (enero 2020 – junio 2024)
Brasil, cuya economía es cada vez más grande y está cada vez más conectada a Internet, se ha convertido en uno de los principales objetivos de los ciberdelincuentes dentro y fuera del país.
Casi la mitad de los ataques detectados por el gobierno brasileño en lo que va de 2024 implicaron algún tipo de filtración de datos. La banca, la salud, la educación y muchos otros sectores están ahora en Internet, por lo que los datos son cada vez más valiosos y vulnerables.
Una de las mayores amenazas es el software de robo, un programa malicioso —o malware— diseñado para robar los datos de acceso y otras credenciales de los usuarios. Según SOCRadar, una empresa de inteligencia sobre amenazas cibernéticas, Brasil es el país con más ataques de software de robo de credenciales del mundo.
Otra estrategia consiste en utilizar programas de secuestro informático, también llamados ransomware, para bloquear los datos de una organización con una codificación indescifrable. Las víctimas pagan para recuperar el acceso o, como en el caso de Sicoob, los datos se filtran.
“Hoy los datos son oro”, asegura Daniela Dupuy, fiscal de ciberdelincuencia y directora del Observatorio en Cibercrimen y Evidencia Digital en Investigaciones Criminales (OCEDIC) de Argentina.
Los cibercriminales de Brasil
Los ciberdelincuentes suelen combinar especialidades, ya que cada miembro se dedica a escribir programas maliciosos, crear sitios web falsos o lavar dinero. Operar en línea plantea dificultades adicionales a la hora de identificar a los responsables de los ciberataques, pero los investigadores y las fuerzas de seguridad han podido identificar a varios grupos radicados en Brasil.
Identificar a un grupo requiere recoger rastros digitales hasta que haya suficientes conexiones que demuestren que un grupo específico opera de forma conjunta. El tipo de malware utilizado, las tácticas, los objetivos que persiguen, los nombres de usuario y el horario de operaciones se analizan para encontrar identificadores únicos que caractericen a un grupo, un proceso que puede llevar años de recopilación y análisis de datos.
Un grupo brasileño notable es UNC5176. Según un informe del Grupo de Análisis de Amenazas (Threat Analysis Group, TAG) de Google y la empresa de ciberseguridad Mandiant, este grupo ha atacado sobre todo entidades financieras de toda América Latina y España.
UNC5176 utiliza un tipo específico de malware llamado troyano URSA o Mispadu. Cuando las víctimas hacen clic en un enlace de un sitio web falso o en un correo electrónico malicioso, el malware se instala. Luego, el programa roba las credenciales de inicio de sesión de los navegadores de las víctimas o crea falsas ventanas emergentes cuando una víctima visita un sitio bancario, engañando al usuario para que introduzca su información financiera, que luego se envía a un servidor en Brasil controlado por la ciberpandilla.
VEA TAMBIÉN: Conti: la organización cibercriminal rusa que sembró el terror en Latinoamérica y se esfumó
Un malware similar llamado Grandoreiro ha estado circulando por todo Brasil. Aunque varios grupos suelen utilizar el mismo software malicioso, Grandoreiro se ha extendido por la región en parte gracias a un grupo conocido como FLUXROOT, según los análisis de TAG y Mandiant.
También está PINEAPPLE, un grupo de ciberdelincuentes que se hace pasar por el servicio tributario federal de Brasil. El grupo ha enviado correos electrónicos falsos que parecen proceder de una dirección oficial del gobierno y ha creado un clon del sitio web del departamento para engañar a las víctimas e instalar software malicioso.
Aunque el mundo de la ciberdelincuencia se asocia a menudo con la dark web, los grupos brasileños suelen operar más en la superficie.
“Brasil siempre ha tenido una comunidad cibercriminal muy particular”, dijo Luke McNamara, jefe adjunto de análisis de Mandiant, a InSight Crime. “Está mucho más basada en Telegram y WhatsApp, lo que creo que también es único porque proporciona un poco más de facilidad para los nuevos miembros”.
Durante 2024, los incidentes cibernéticos en Brasil han sido en su gran mayoría filtraciones de datos
Número de incidentes registrados por el gobierno (enero a mayo de 2024)
Cazando fantasmas
La naturaleza remota de los ciberdelitos permite a los grupos delictivos llegar a las víctimas desde lejos mientras las fuerzas de seguridad se esfuerzan por identificar, localizar y detener a los autores.
La naturaleza transnacional de estos delitos crea importantes obstáculos jurisdiccionales y de cooperación. UNC5176, por ejemplo, ha atacado a víctimas en México y España, desviando sus datos a un servidor en Brasil. Esto exige cooperación entre las fuerzas de seguridad de diferentes continentes y de diferentes organismos gubernamentales que hablan diferentes idiomas y operan bajo diferentes leyes y restricciones.
Incluso cuando los delincuentes y las víctimas se encuentran en el mismo país, las investigaciones pueden tener un componente transnacional. Las empresas utilizan habitualmente servicios en la nube, donde sus datos se almacenan en equipos situados en centros remotos, lo que puede complicar el proceso de obtención de pruebas.
“Las pruebas digitales (…) las tiene el sector privado. Todos ellos tienen sus empresas o sus sedes en el extranjero, y ahí es donde tienen todas las pruebas que un fiscal necesita para investigar”, dijo Dupuy.
VEA TAMBIÉN: El salvaje Oeste digital: Latinoamérica en líos por la criptodelincuencia
La información digital también se registra y elimina constantemente, y los ciberdelincuentes añaden nuevos elementos para ocultar sus huellas.
“Es mucho más fácil que se destruyan totalmente las pruebas electrónicas que las físicas”, afirmó Dupuy.
Brasil se ha esforzado por reforzar su capacidad contra la ciberdelincuencia en los últimos años. En 2022, la Policía Federal puso en marcha una unidad especializada centrada en las ciberamenazas más complejas. Pero sigue estando por detrás de muchos de sus homólogos, y ocupa el penúltimo lugar de los 20 países más importantes en cuanto a políticas de ciberseguridad, según el último Índice de Ciberdefensa del MIT Technology Review.
La prevención es otro problema. Dado que gran parte del software de robo elude los análisis antivirus y se basa en engañar a las víctimas para que instalen el malware, las autoridades tienen pocas opciones para detener las estafas antes de que se hayan propagado.
Al mismo tiempo, la creciente sensibilización frente a la ciberdelincuencia organizada ha empujado a muchas empresas a invertir en protecciones reforzadas. Según el Barómetro de Riesgos de Allianz, las ciberamenazas ocupan ahora el segundo lugar, después del cambio climático, entre los riesgos que amenazan a las empresas en Brasil. Y las empresas están invirtiendo cada vez más en pruebas proactivas de sus defensas de ciberseguridad para buscar vulnerabilidades antes de que los delincuentes las encuentren.