Extorsión de datos con IA: Una nueva era del ransomware

By Craig Fretwell, Global Head of Security Operations, Rackspace Technology

AI-powered-data-extortion-Rackspace-Technology
A red image with text "Subscribe to the Rackspace Insights Newsletter" with a "Subscribe now" button. A mail icon is positioned to the right of the text.

Entre 2023 y 2024, los pagos por ransomware disminuyeron significativamente. La mejora de las copias de seguridad, la solidez de las prácticas de recuperación y el aumento del escrutinio legal, como las directrices de la OFAC que desaconsejan el pago de rescates, han permitido a muchas empresas resistirse a las exigencias de los atacantes. Pero los agresores no se rinden. Están pivotando.

Los días del ransomware del tipo "haz clic para cifrar, espera el rescate" están desapareciendo rápidamente. El modelo de negocio que paralizó a miles de empresas en todo el mundo está evolucionando y no en el buen sentido. Ahora somos testigos de una amenaza más siniestra, inteligente y eficaz: La extorsión de datos impulsada por IA. Esto no es una predicción, está sucediendo ahora mismo.

El declive de los pagos tradicionales por ransomware

Entre 2023 y 2024, los pagos por ransomware disminuyeron significativamente. Las copias de seguridad mejoradas, las prácticas de recuperación sólidas y el aumento del escrutinio legal, como la orientación de la OFAC que desalienta el pago de rescates, han permitido a muchas empresas resistirse a las demandas de los atacantes. Pero los atacantes no se rinden. Están pivotando

En lugar de basarse únicamente en el cifrado de archivos, los atacantes ahora exfiltran datos y aprovechan las herramientas de IA generativa para convertir esa información en un arma. Hablamos de cientos de gigabytes de correos electrónicos, registros de chat, presentaciones, hojas de cálculo y código fuente transformados en material de extorsión selectiva.

Triaje rápido de datos a escala

Los atacantes utilizan grandes modelos de lenguaje (LLM) como GPT-4, LLaMA 2 y otros modelos de código abierto para procesar y analizar conjuntos masivos de datos robados en cuestión de minutos. Las tareas que antes llevaban días o semanas de revisión manual ahora se automatizan rápidamente. La IA analiza y resume mensajes de correo electrónico, registros de chat, archivos PDF confidenciales y contratos, señala términos sensibles como "redundancia", "infracción" y "acción reguladora", y organiza el contenido por impacto y riesgo.

Preguntas frecuentes

Esta automatización permite a los actores de amenazas priorizar rápidamente sus estrategias de extorsión, apuntando primero a los datos más valiosos para maximizar el apalancamiento.

Análisis de sentimiento y contextual

La IA no se limita a leer datos. Con indicaciones cuidadosamente configuradas, los atacantes disponen ahora de herramientas que entienden el contexto, el tono y el sentimiento. El análisis de sentimientos detecta el miedo, la vergüenza, la ira o el engaño en las comunicaciones internas. El reconocimiento de entidades con nombre (NER) extrae rápidamente detalles críticos como nombres, funciones y estructura organizativa. El mapeo de relaciones identifica conversaciones de alto riesgo, como la de un director general que discute en privado detalles sensibles de una adquisición con un director financiero

Con esta inteligencia, los atacantes elaboran mensajes de extorsión precisos y psicológicamente dirigidos, elevando una crisis de TI a una emergencia a nivel de junta directiva que involucra a ejecutivos, equipos legales y relaciones públicas. Por ejemplo:

"Hemos identificado mensajes de correo electrónico entre su director de informática y un denunciante de prácticas poco éticas. Tiene 72 horas para cumplirlo."

Categorización de los datos robados para su máximo aprovechamiento

Los actores de amenazas están empezando a clasificar y jerarquizar estratégicamente los datos robados, centrándose en el mayor impacto emocional o financiero:

Al categorizar los datos según su impacto potencial, los atacantes optimizan su estrategia de extorsión, lo que hace que la extorsión impulsada por IA sea significativamente más lucrativa que el ransomware tradicional.

Por qué la extorsión impulsada por IA es más rentable

La IA generativa hace que la extorsión sea precisa y rentable. El ransomware tradicional depende en gran medida del éxito del cifrado, la disponibilidad de copias de seguridad y las negociaciones. La extorsión impulsada por IA elude todas estas complejidades:

  • Sin dependencia de la encriptación
  • Análisis rápido de múltiples víctimas de forma simultánea.
  • Peticiones de rescate a medida basadas en impactos financieros y reputacionales precisos.
  • Peticiones de rescate a medida basadas en impactos financieros y reputacionales precisos
  • Por ejemplo, los atacantes roban 40 GB de una empresa financiera británica, identificando rápidamente documentos de investigación de la FCA y discusiones internas sobre despidos. Estimando las multas potenciales y el daño a la reputación en alrededor de 800.000 libras, los atacantes establecen una demanda de extorsión aparentemente "razonable" de 150.000 libras, pagaderas en Monero.

    Por qué esto es más difícil de detectar y de defenderse

    Las medidas de seguridad tradicionales detectan actividades manifiestas como el cifrado o los binarios de ransomware conocidos. Sin embargo, la exfiltración de datos combinada con el análisis de IA fuera de la red no deja indicadores obvios: no hay persistencia de malware, no hay actividad de cifrado sospechosa, no hay pistola humeante tradicional. Los atacantes roban datos silenciosamente, salen sin ser vistos y amenazan desde lejos

    Más información sobre los servicios de seguridad de Rackspace →

    • Tags:

    Más información