Internet Organised Crime Threat Assessment (IOCTA) 2024


En 2023, los ataques de ransomware, así como el fraude en línea siguieron siendo las principales amenazas en el mundo de la ciberseguridad en la UE. Este panorama incluyó tanto actores solitarios como redes criminales, operando tanto dentro como fuera de la UE. Aunque se fortalecen los marcos regulatorios, el factor humano sigue siendo el eslabón más débil. Los modelos de estafa multinivel y las tecnologías emergentes como la IA están mejorando la ingeniería social y facilitando el fraude. El uso de deepfakes también está en aumento, especialmente en el fraude generado por IA. 



A continuación, se van a analizar los tipos de amenazas más comunes del 2023:

Criptodivisas y la dark web

En 2023, el uso criminal de criptomonedas se hizo más evidente, con un aumento en las solicitudes de apoyo investigativo recibidas por Europol. Los delitos financieros, principalmente el fraude de inversión y el lavado de dinero, son las áreas donde más se encuentran las criptomonedas. Algunas stablecoins permiten a las agencias de la ley congelar fondos sospechosos, lo que facilita las investigaciones.

Los operadores de ransomware suelen pedir Bitcoin como rescate, aunque a veces exigen otras criptomonedas como Monero. El uso criminal de altcoins está en aumento, con casos que involucran Bitcoin y altcoins casi igualados. Las nuevas normas de la UE sobre transferencias de fondos han ampliado las obligaciones de reporte a los proveedores de servicios de criptoactivos (CASPs), lo que se espera mejore la cantidad de información disponible para las investigaciones en la UE.

Por otro lado, los foros de la dark web son los principales canales para anunciar mercados oscuros (ilícitos), en los cuales la moneda de cambio son las crytocoins. Los administradores limitan el tamaño y la vida útil de sus mercados para evitar la vigilancia digital, mientras mantienen una buena reputación para atraer clientes. En la dark web las criptomonedas continúan siendo atractivas debido a su dificultad para rastrear este tipo de activo.

Ciberataques

Los grupos de ransomware que operan bajo el modelo de Ramsonware-as-a-Service (RaaS) han intentado capitalizar la caída de sus competidores para atraer afiliados. Tras la interrupción de los servicios de Hive, BlackCat/ALPHV promovió su seguridad y no-log policy para atraer a los antiguos afiliados de Hive. Sin embargo, el cierre de sitios de BlackCat/ALPHV en diciembre de 2023 dañó su reputación, y en marzo de 2024, aparentemente cesaron operaciones y estafaron a sus afiliados. Las acciones policiales contra operadores de ransomware afectan su reputación y operación, exponiendo a los afiliados y causando pérdidas de recursos. Esta susceptibilidad ha llevado a algunos afiliados a desarrollar sus propios malwares utilizando herramientas de IA. LockBit, uno de los proveedores de RaaS más famoso, fue desmantelado en febrero de 2024 mediante una acción coordinada de LEAs, dañando severamente su capacidad. LockBit había lanzado nuevas variantes como LockBit Black y LockBit Green, y desarrollaba encryptores para MacOS. Un nuevo grupo RaaS, Akira, asociado al desmantelado grupo Conti, ha surgido como una amenaza creciente.

Los grupos de ransomware han centrado sus ataques principalmente en pequeñas y medianas empresas (SMBs), ya que las grandes empresas han mejorado su ciberseguridad. Los atacantes eligen sus objetivos basándose en el tamaño, la probabilidad de pago y el esfuerzo necesario para comprometer los sistemas, utilizando credenciales robadas o explotando vulnerabilidades en tecnologías accesibles públicamente. Los operadores de ransomware emplean intermediarios de acceso inicial (IABs) especializados en ciertas tecnologías para identificar superficies de ataque viables, influenciando la selección de objetivos. Los operadores continúan utilizando tácticas de extorsión multilayer, donde la amenaza de publicar o subastar datos robados se ha vuelto más efectiva, ya que muchas organizaciones ahora realizan copias de seguridad regularmente.

En 2023, el panorama del malware como servicio (MaaS) experimentó varios cambios. Tras la caída de la infraestructura del malware Qakbot, los atacantes recurrieron rápidamente a otros proveedores establecidos o emergentes de dropper/loaders, como IcedID, SystemBC, Pikabot, DanaBot y Smokeloader. Cobalt Strike se comenzó a usar como puerta trasera y centro de comando y control (C2). Los marcos impulsados por IA, como PentestGPT, también están siendo utilizados con fines maliciosos para facilitar el compromiso inicial de los sistemas de información.

Esquemas de fraude en línea y de pago

En 2023, la amenaza de los robos de cuentas (ATO) ha crecido significativamente, destacándose como una forma clave de Criminal-as-a-Service (CaaS). Los delincuentes siguen accediendo a cuentas en línea, como bancos, correos electrónicos y redes sociales, para tomar fondos y obtener información sensible que luego monetizan. Dado que los bancos están tratando las pérdidas por estafas de credenciales 2FA/MFA como negligencia del titular legítimo, los fraudes dirigidos a cuentas individuales continúan siendo una actividad de bajo riesgo y alto beneficio para los criminales.

Los atacantes utilizan herramientas de administración remota (RAT) y aplicaciones disponibles en tiendas legítimas para generar estos fraudes. Los ataques de Business Email Compromise (BEC), particularmente el fraude dirigido a CEOs, siguen siendo comunes, con correos electrónicos de phishing cada vez más convincentes gracias a modelos de lenguaje generativo (LLMs). Las estafas dirigidas también siguen siendo una amenaza significativa, con herramientas de IA que permiten a los estafadores contactar a más víctimas y perfeccionar sus técnicas de ingeniería social.

¿Qué esperar en el futuro?

La adopción generalizada de herramientas y servicios de IA por parte de los atacantes está generando nuevas amenazas, incluyendo tanto el abuso de herramientas y servicios legítimos como la creación de versiones maliciosas ad hoc. La proliferación de modelos de lenguaje sin filtros emergentes multiplicará los anuncios fraudulentos generados por IA, atrayendo a potenciales víctimas. Los delincuentes podrán usar IA para mejorar métodos criminales y superar barreras idiomáticas, facilitando la manipulación en múltiples idiomas.

Priorizando la prevención de delincuentes, las fuerzas del orden y los legisladores pueden abordar el cibercrimen desde su raíz, creando soluciones sostenibles y a largo plazo para proteger estos entornos. Al enfocarse en las causas que llevan a las personas a involucrarse en este tipo de actividades, como la falta de conciencia, incentivos financieros o factores socioeconómicos, las autoridades pueden reducir efectivamente las tasas de crimen en línea. Invertir en prevención no solo mitiga los riesgos inmediatos, sino que también fomenta una cultura de ciberseguridad, creando un entorno digital más seguro.

Jorge Ezequiel de Francisco, Analista de Ciberseguridad en Zerolynx.