Un nuevo estudio advirtió esta semana que la industria financiera de América Latina todavía sufre de un tipo de ciberataque específico: el ransomware. Se trata de un tipo de programa malicioso (malware) que cifra la información para que se vuelva inaccesible a sus propios dueños, para luego demandar un rescate a cambio. Y que ha sido un dolor de cabeza para empresas, estados y entidades de todo el mundo durante el último lustro.
El ransomware tiene una historia. Si bien sus orígenes se ubican a fines de los 80, recién durante la última década pasó a ser un negocio cibercriminal. Tan prolífico que estos grupos de ransom tienen miembros dedicados a cifrar la información, las finanzas y hasta lo que llaman “soporte técnico”: un chat donde se abren las negociaciones para, en el mejor de los casos para la víctima, bajar el monto solicitado. Incluso han construido marcas con nombres muy reconocidos en el ambiente
Si bien durante 2024 hubo varias disrupciones de operaciones importantes, como el caso de los grupos LockBit y BlackCat (ALPHV), es una amenaza activa. A pesar de que dejó de estar en el foco de los medios de comunicación, 2025 ya tuvo varios casos, algunos que circularon en redes sociales y otros que llegaron a las portadas de los diarios.
Pero, como toda crisis, el ransomware también fue una oportunidad: “En cierto modo, el ransomware fue una bendición, porque forzó a los usuarios a tener una mejor ciber-higiene”.
Quien habla es Mark Ryland, líder de un equipo de expertos en seguridad en la nube dentro de Amazon Web Services (AWS), la división de computación en la nube de Amazon. Es adjunto del “CISO”, un puesto que grandes empresas y gobiernos empiezan a considerar para sus operaciones: Chief Information Security Officer, es decir, quien responde ante un incidente de ciberseguridad pero también se encarga de diseñar la política de accesos, la gestión de las cuentas y las prácticas que, a fin de cuentas, hacen a la seguridad de una empresa.
Y es precisamente ese mapa el que hace la diferencia a la hora de sufrir un ataque o tener que responder: entender qué medidas hay que tomar para prevenir un ransomware, tener claro que hay que estar preparados para cuando ocurra y tener una política de “seguridad desde el diseño”, como ser, que un sistema no permita elegir “1234” como contraseña.
Ryland habló de todo esto con Clarín en re:Inforce, evento centrado en ciberseguridad de AWS, en Filadelfia (EE.UU.), para explicar qué está sucediendo con las tendencias actuales en materia de ciberataques.
Ransomware: un problema latente
─¿Cómo te ponés al día con los avances tecnológicos, con la velocidad con la que ocurren?
─Creo que si tenés una curiosidad natural, te impulsa a tratar de entender un poco mejor qué es lo que está pasando. Gran parte de mi trabajo es hablar con un público no técnico sobre tecnología, por ese motivo, tengo que estar al tanto de las herramientas nuevas que se están usando para sentirme cómodo a la hora de resumir o simplificar ideas. Y esto lo digo porque hay simplificaciones que son engañosas y otras que sí son buenas. Es un poco un arte, también.
─Las tendencias, como la inteligencia artificial en la actualidad, ¿no se exageran, también?
─El hype cycle de Gartner [ciclo de entusiasmo] siempre es un factor a tener en cuenta cuando sale una nueva tecnología. Yo tiendo a ser bastante escéptico para cualquier tecnología que se vende como la solución a todos nuestros problemas. De hecho, desvío un poco el tema, pero fui escéptico con la blockchain. Nunca pensé que fuera a resolver todo lo que decían que iba a resolver, como por ejemplo rastrear el envío de una mercadería de una punta del país a otra.
─Se exageraron sus usos.
─La verdad que sí, porque para eso ya teníamos bases de datos que funcionan muy bien: la blockchain no fue nada de lo que dijo que iba a ser, sí es buena para las criptomonedas, la moneda digital, pero no mucho más. Casi todos los usos por fuera de eso fueron sinsentidos, y recuerdo a IBM, Accenture, Gartner, todas hablando de la blockchain y vendiendo proyectos de consultorías a compañías para que usen la blockchain para hacer algo que podrían haber hecho con una base de datos común y corriente.
─Durante los últimos años, el ransomware fue el tópico número uno en la industria de la ciberseguridad. ¿En qué estado se encuentra actualmente?
─Los reportes señalan que dejó de crecer como tendencia, pero bajo ningún punto de vista es un tema terminado. La sensación general -y los números- es que al menos no se está incrementando.
─¿Qué dirías que le enseñó a la industria el ransomware?
─Voy a decir algo ligeramente controversial. En cierto modo, el ransomware fue una bendición, porque forzó a los usuarios a tener una mejor “ciber-higiene”. El problema de fondo es que, en realidad, durante muchos años nos manejamos con sistemas fáciles de hackear, la diferencia es que antes no había una industria cibercriminal que lo monetizara. Un atacante podía entrar, pero, ¿para qué hacerlo si no había forma de monetizarlo?
─¿Pero creés que algo cambió a partir del ransomware?
─Bueno, creo que fue un rito de iniciación terrible, un peaje que la industria tuvo que pagar. Fue doloroso atravesarlo, pero creo que -en general- las compañías se volvieron más fuertes en mejorar lo básico, desde trabajar la educación con testeos de phishing internos, fortalecer sus perímetros y firewalls, hacer mejores backups. Más compañías y agencias de gobierno tomaron conciencia del problema y, por ejemplo, empezaron a restringir accesos a usuarios para que no tengan permisos para borrar un backup, ni siquiera los administradores con más privilegios.
─O sea que, paradójicamente, tuvo un efecto positivo en la industria.
─Y, creo que hay más concientización. También los directivos de las empresas comenzaron a entender que no se trata de una opción la ciberseguridad. CEOs y altos cargos se empezaron a preguntar “¿qué hacemos con el ransomware?”. Las empresas nunca fueron buenas en parchear sistemas (actualizarlos) y entrenar usuarios. Y a partir de los casos de ransomware, se empezó a mejorar. Reconozco que fue en un modo extraño, pero las crisis que el ransomware generó también creó las oportunidades para mejorar las prácticas y los sistemas.
BlackCat Ransomware, uno de los grupos de cibercriminales más conocidos del mundo. Ilustración Midjourney (IA)─Hace dos años charlamos sobre cómo los atacantes usan la infraestructura de AWS para alojar campañas de phishing. ¿Cómo evolucionó este problema, pudieron resolverlo?
─Bueno, eso sigue siendo un problema pero nos volvimos mejores en las detecciones y bloqueos de esas cuentas. Ahí es donde entra la IA y el machine learning, que nos ayuda a distinguir mejor entre una campaña legítima y una maliciosa. El peligro siempre está latente: puedo tener una bicicletería y querer mandarles correos a mis clientes contando las novedades que llegaron, pero siempre existe la posibilidad de que comprometan mi cuenta y abusar de mi plataforma para enviar spam.
─Hay una filosofía de “diseño seguro” que, desde la industria, se empuja. ¿Qué significa?
─En el escenario actual, usar tecnología que ya viene con estándares de seguridad incorporados es, idealmente, lo mejor. Pensalo así: si soy una startup que fabrica, por ejemplo, una tostadora inteligente, lo más probable es que no quiera —o no pueda— invertir mucho en ciberseguridad. Pero si un proveedor me entrega una solución que ya es segura por diseño, la voy a usar. Incluso, hasta la puedo marketinear: “actualizaciones automáticas”, “contraseñas seguras”, etc. Esto eleva la seguridad en general, a eso se refiere el secure by design (diseño seguro) y, adoptar esa mentalidad, siempre va a ser estar un paso por delante en un ecosistema que se mueve día a día.
Beneficios y peligros reales de la IA
Usos maliciosos de la IA. Foto: Shutterstock─Antes decías que dudabas de los usos y alcances de la blockchain. ¿Con la IA te pasó algo similar?
─Al principio sí, me parece que había mucho “rebranding” de algo que ya conocíamos. Definitivamente es una tecnología que trae algo nuevo y recién ahora estamos viendo sus aplicaciones, no es el mismo caso de la blockchain que te contaba. Pero sí tengo que distinguir entre lo útil y lo que no lo es. Esta semana me reuní con reguladores de Gobierno en Washington y siempre les digo que bajen un poco sus expectativas respecto de qué esperan de la IA. Definitivamente va a tener un gran impacto en nuestros trabajos, pero creo que todavía la gente tiene que tener un buen juicio a la hora de decidir si un output es útil o no.
─¿En qué sentido?
─Bueno, pongamos un ejemplo. Si le pido a una IA que me escriba una propuesta de marketing pero nunca en mi vida me dediqué a ese rubro, difícilmente me vaya a servir lo que la IA me pueda dar. Si no puedo juzgar para qué sirve, entonces quizás nos empezamos a quedar sin expertos que puedan decidir si algo sirve o no. Hay un riesgo en su uso.
─Stephen Schmidt, jefe de seguridad de Amazon, dijo la semana pasada en otra conferencia que los cibercriminales están usando la IA para mejorar sus ataques. “No hay bots atacándose entre sí”, aseguró. ¿Es así?
─Es un buen resumen de la situación, sí. Agregaría que los que defienden sistemas también la están aprovechando, para programar, revisar su código, correr pruebas de penetración de sistemas, mejorar los tiempos de respuesta. La IA sirve muchísimo para ordenar información que ya tenés, también, entonces te ayuda mucho a detectar patrones o formas de ataque que, quizás, no hubieses detectado. La IA es buena para capturar la semántica, por ese motivo es muy buena para ayudar no sólo a los atacantes sino también a los que defienden sistemas. Si se la usa bien, es una herramienta muy poderosa.
─¿Es buena la IA para análisis de malware (virus)?
─Siempre que la use un experto, sí. Esa es la respuesta. Nuestros equipos la están usando para analizar familias similares de malware, sirve para entender similitudes y diferencias. Y la verdad, están obteniendo buenos resultados.
─La tendencia ahora es la de hablar de “agentes” en la industria, es decir, una IA que además de analizar, “toma decisiones”. ¿En qué lugar está la ciberseguridad en esta discusión?
─Ese es el siguiente paso del uso de la IA en análisis de amenazas, que tome acciones. Si programo una IA para que analice, luego puedo pedirle que arregle un bug (error en el sistema),
─¿Esto ya ocurre?
─Está en proceso. Un ejemplo concreto es un concurso que está organizando DARPA, la Agencia de Proyectos de Investigación Avanzada de Defensa de EE.UU. Están impulsando una competencia que se va a anunciar oficialmente en Black Hat, con premios importantes (el primer puesto, por ejemplo, se lleva medio millón de dólares). La consigna es desarrollar un sistema capaz de analizar proyectos de código abierto, detectar vulnerabilidades y corregirlas de manera automática. Lo interesante es que, una vez que los equipos entregan su sistema, DARPA lo prueba con proyectos distintos a los usados durante el entrenamiento, para evaluar su capacidad.
─O sea que sirve para cargas fuertes de trabajo
─Sin dudas, para, por ejemplo, programar tareas tediosas, actualizar automáticamente, etc. Ahorra tiempo.
─¿Qué lado negativo o problemático le ves a estos desarrollos de inteligencia artificial?
─Hay un lado oscuro, sin dudas. Por ejemplo, los phishing están volviéndose mucho más sofisticados. Uno de los fenómenos que más me llama la atención es lo que se llama “pig butchering”: estafas prolongadas donde los atacantes se hacen pasar por alguien de confianza para ganar acceso a dinero o información. Este tipo de engaños está creciendo de forma alarmante, y, por supuesto, se potencia por herramientas de IA. Muchos de estos actores operan desde lugares como Malasia o Filipinas, en condiciones casi de esclavitud, y por la IA pueden comunicarse perfectamente en inglés, incluso simulando voces fake y reproduciéndolas.
─La clonación de voz y los deepfakes son problemas que no parecen tener solución.
─Sí, sin dudas, hoy ya es posible recibir un mensaje de voz que suene exactamente como tu jefe, pidiéndote que transfieras plata o accedas a ciertos sistemas. Y si no estás entrenado para dudar de todo esto, podés caer perfectamente en este engaño. Por eso es fundamental que los usuarios reciban un tipo de capacitación mucho más avanzada.
─¿Cómo?
─Yo creo que no alcanza con decir «no hagas clic en links sospechosos», necesitamos entrenamientos con simulaciones, incluso en realidad virtual si es necesario, para que la gente sepa que siempre tiene que confirmar por otro canal cualquier pedido que implique cambiar el estado de un sistema o transferir dinero.
─¿Qué consejo le darías al usuario de a pie para mantener una higiene básica en ciberseguridad?
─Aunque te llegue un mensaje de alguien que suene exactamente como un conocido, sea un colega, tu jefe o tu mamá, siempre pensá dos veces y chequeá por otro medio antes de actuar: antes de dar clic en “aceptar”, antes de abrir un link o, incluso, antes de sumar un nuevo destinatario en tu agenda y dar clic en “transferir”. Dudá, siempre.
