Las amenazas informáticas continuamente se vuelven más sofisticadas, agregando nuevos métodos de propagación e infección en los sistemas. Los códigos maliciosos no son la excepción, lo que se constató durante el año pasado, con las distintas campañas de ransomware.

Debido a las repercusiones de esta amenaza, decidimos hacer un análisis de su impacto en Latinoamérica durante el año pasado, para obtener datos que nos permitan conocer la magnitud del problema. En esta publicación haremos un recuento sobre el crecimiento del ransomware, las familias más detectadas, así como los países con mayor porcentaje de propagación.

Crecimiento cuasi-exponencial del ransomware

Desde las primeras apariciones de las familias de ransomware que operan bajo el principio del cifrado de información, hasta los registros del año pasado, se observa un importante aumento en el número de familias y variantes, que incluso puede considerarse exponencial.

EN 2017, UN TERCIO DEL RANSOMWARE MUNDIAL TUVO ACTIVIDAD EN LATINOAMÉRICA

Las soluciones de seguridad de ESET identifican al ransomware criptográfico como FileCoder. Estas detecciones permiten conocer la evolución de los últimos años, con un marcado crecimiento en 2017. Tan solo el año pasado se identificaron 1190 variantes de familias de FileCoder, que si se comparan con las 744 de 2016; muestran un incremento del 60% de un año contra otro.

Al analizar esta información para Latinoamérica, se observa que, de las 1190 variantes identificadas en el mundo, solo 398 tienen presencia en la región Latinoamericana. En otras palabras, de todo el ransomware que se genera en el orbe, el 33% tuvo actividad en países latinos durante el año pasado.

Aunque los últimos meses han proliferado distintos métodos utilizados por atacantes para obtener ganancias económicas, no se debería descartar que la tendencia al alza en el desarrollo de ransomware continúe.

Perú, el país Latinoamericano con mayor detección de ransomware

En el análisis de los países con la mayor cantidad de detecciones durante el 2017, se observa que Perú encabeza la lista con el 25,1% del total de detecciones de los países latinoamericanos. Esto significa que 1 de cada 4 identificaciones de ransomware en Latinoamérica se realizó en territorio Inca.

DURANTE 2017, 1 DE CADA 4 DETECCIONES DE FILECODER EN LATINOAMÉRICA SE REALIZÓ EN PERÚ

El segundo lugar lo ocupa México con el 19,6% de las detecciones, seguido de Argentina (14,5%), Brasil (14,0%) y Colombia (9,6%). La lista la complementan Chile (5,7%), Ecuador (4,6%), Venezuela (3,2%), Bolivia (2,1%) y Guatemala (1,4%), como los diez países con mayores porcentajes de detección en la región.

Otros países no aparecen en el gráfico debido a que presentan porcentajes por debajo del uno por ciento, tal es el caso de Costa Rica (0,9%), Panamá (0,9%), El Salvador (0,8%), Honduras (0,7%), Nicaragua (0,5%), República Dominicana (0,5%), Uruguay (0,5%) o Paraguay (0,4%).

TeslaCrypt: el ransomware más propagado en Latinoamerica

El análisis también incluye datos sobre la familia de ransomware que tuvo mayor incidencia en los países latinoamericanos durante el 2017. Los resultados muestran algunos datos interesantes.

Por ejemplo, en el top 5 encontramos que TeslaCrypt es el ransomware más detectado en Latinoamérica, con el 21,7% de los registros; seguido de CryptoWall (16,8%), Cerber (12,9%), Crysis(12,3%) y Locky (10,3%).

En el gráfico también se puede observar que el sexto lugar es ocupado por una muestra con importante actividad en la región, llamada CryptProjectXXX (8,8%), y en séptima posición aparece WannaCry (identificado por las soluciones de seguridad de ESET, como WannaCryptor) con el 7,5% de las detecciones. Vale la pena mencionar en el caso de WannaCry que, a pesar de la amplia cobertura mediática, presenta porcentajes inferiores a otras amenazas menos conocidas.

La lista la concluyen Spora (5,2%), CTBLocker (2,8%) y Jaff (1,6%), tal como se muestra en el siguiente gráfico.

Del análisis de los registros de 2017, se destaca también que algunas familias tengan mayor incidencia en algunos países, como es el caso de TeslaCrypt que ocupa el primer lugar de detecciones en países como Argentina, Chile, Colombia, México, El Salvador, Panamá, República Dominicana, Paraguay y Nicaragua. Esto podría explicar el hecho de ser la más detectada en la región.

Sin embargo, otras familias de ransomware encabezan la lista de detecciones en otros países. Por ejemplo, Crysis afecta principalmente a Brasil y Uruguay; Cerber se presenta en primer lugar en Ecuador y Bolivia. Perú registra mayores detecciones de CryptProjectXXX; Venezuela de WannaCryptor; Guatemala de CryptoWall; mientras que Locky se detecta con mayor incidencia en Costa Rica y Honduras.

México, el país donde más familias de ransomware se propagan

Por último, el estudio sobre el estado de ransomware en Latinoamérica durante 2017 se enfocó en conocer los países donde se propagan más familias de ransomware y sus variantes. En este caso, México registra la mayor cantidad de este tipo de malware, con un total de 247, seguido de Brasil (220), Argentina (214), Perú (196) y Colombia (173).

Si se comparan las 247 familias de ransomware (y sus variantes) que se propagan por territorio mexicano, con las 1190 de todo el mundo, se observa que alrededor del 20% de las muestras a nivel global tuvieron presencia en México durante 2017. Otros países como Nicaragua (con la menor cantidad de familias detectadas en la región), son afectados por alrededor del 5% de todas las amenazas de este tipo a nivel global.

El ransomware, una amenaza en constante evolución y crecimiento

Resulta claro que esta amenaza llegó para quedarse y las tendencias no son alentadoras; el ransomware ha venido evolucionando y aumentando, puesto que se trata de una actividad rentable para los atacantes. Por ello, resulta necesario proteger la información y otros activos de los códigos maliciosos de esta naturaleza.

Por ello, se llevó a cabo este análisis en busca de conocer estadísticas del estado del ransomware en los países latinoamericanos. Adicionalmente, se puede revisar la Guía de Ransomware, un documento donde se detallan las características del malware que aplica el secuestro y la extorsión en el ámbito digital.