Ciberextorsión: Qué Es, Cómo Protegerse Y Cuáles Son Los Riesgos Asociados

Qué es la ciberextorsión, cómo protegerse y qué hacer si eres víctima. Cuál es el costo y los riesgos para las empresas.

¿Qué es la ciberextorsión?

Ocuparse de la ciberseguridad juega un papel importante en la gestión de tu reputación online.

Un ataque a tu identidad digital o cualquier ciberataque puede afectar negativamente a tu brand reputation desde el punto de vista de la imagen, y también del económico. 

Un tipo particular de ataque cibernético es la ciberextorsión.

Se trata de una extorsión que se perpetúa online al obligar a un individuo o una empresa a pagar un rescate a cambio de recuperar el acceso a los recursos de TI robados.

Según la definición que encontramos en el informe publicado por IC3, la palabra extorsión se explica como:

“Extracción ilícita de dinero o bienes mediante intimidación o ejercicio indebido de autoridad. Puede incluir amenazas de daño físico, enjuiciamiento o exposición pública”.

En el mismo documento promulgado por la organización que se ocupa de la ciberseguridad del gobierno estadounidense se extraen datos interesantes sobre ciberextorsión.

En 2021, hubo 39.360 casos de extorsión online, menos que en los tres años anteriores.

El pico de casos se registró en 2020, con aproximadamente el doble: 76.741 denuncias.

Tipos de ciberextorsión

Las extorsiones cibernéticas tienen un propósito muy específico: bloquear o limitar las funciones de un dispositivo hasta que se pague un rescate.

Los activos bloqueados por un ciberataque dirigido a la extorsión digital pueden ser de cualquier naturaleza.

Por ejemplo, información sensible de los empleados de una empresa o de sus clientes; datos confidenciales que, en caso de ser divulgados, podrían dañar la reputación online.  

Asimismo, existen diferentes tipos de ciberextorsión, que se propagan a través de medios y ataques de diversa gravedad.

Los más comunes son sin duda el ransomware y los ataques DDoS.

Otras formas de propagación incluyen:

• Campañas de difamación online;
• Correo no deseado o spam;
• Reseñas negativas falsas;
• Phishing.

Todos ellos actúan en el robo de información, con el objetivo de dañar la reputación online.

Un caso particular de ciberextorsión lo representa la Sextortion.

Este delito está definido por el Diccionario de Cambridge de la siguiente manera:

“La práctica de obligar a alguien a hacer algo, particularmente a realizar actos sexuales, amenazándolo con publicar fotos de él desnudo o información sexual sobre él”.

Por lo tanto, es una amenaza sexual.

Ransomware

El ransomware es un tipo de malware utilizado por los hackers para infectar los dispositivos de las víctimas, bloqueando su funcionalidad.

Aprovechando las vulnerabilidades y sobre todo el ingenio de quienes utilizan el ordenador, el ataque se infiltra en el sistema cifrando archivos y todo tipo de información.

Las técnicas de infiltración más utilizadas afectan a los correos electrónicos, mediante el phishing, las páginas web no seguras o la ciberocupación, que implica la falsificación de sitios web.

Los piratas informáticos se aseguran de que la víctima sea directamente responsable del ataque.

Todos estos trucos de ingeniería social, de hecho, empujan a los usuarios a descargar el malware directamente en el dispositivo.

A partir de ese momento, el software malicioso bloqueará el acceso a archivos y sistemas a los que solo se puede recuperar el acceso tras el pago del rescate.

En la pantalla aparecerá un mensaje que advierte de la infección y el usuario tendrá un tiempo limitado para pagar.

Últimamente se está extendiendo un tipo de ataque de ransomware llamado doble extorsión que, además de cifrar los datos, crea una copia de seguridad de los archivos para poder difundirlos en la web incluso después del pago del rescate.

Ataques DDoS

Otro tipo de ataque de ciberextorsión es DDoS (Distributed Denial-of-Service), que significa interrupción en la distribución del servicio.

Este tipo de ataque se lleva a cabo como una acción conjunta de varios servidores que interrumpen un sitio web.

Los delincuentes envían una cantidad tan grande de datos que el servidor se bloquea.

Los atacantes DDoS utilizan una estrategia de ataque mixta que combina varios métodos de ataque con ingeniería social, robo de credenciales y ataques físicos.

Según Kaspersky, hubo 91.052 ataques DDoS en el primer trimestre de 2022, cuatro veces la cantidad del mismo periodo de 2021.

El objetivo de este tipo de ataque es inutilizar temporalmente la red.

El daño es evidente si se considera el ejemplo de una plataforma de comercio electrónico.

Aunque solo sea un bloqueo temporal, que generalmente no supera unas pocas horas, los ataques DDoS provocan importantes pérdidas económicas.

¿Cómo funciona la ciberextorsión?

La ciberextorsión funciona de manera diferente según la técnica de ataque que se elija.

Sin embargo, todos están destinados a limitar la funcionalidad del hardware o software de la infraestructura atacada.

El procedimiento, por tanto, consta de una serie de fases recurrentes:

Este tipo de ataque requiere una acción conjunta para su resolución.

Por un lado, para bloquear la acción de los hackers y recuperar archivos encriptados; por otro lado, para eliminar la información difundida online y restaurar la reputación.

ReputationUP y HelpRansomware ofrecen servicios para garantizar una protección completa de tu identidad digital.

¿Cuántos ciberdelincuentes hay?

Ciertamente, establecer un número preciso de piratas informáticos responsables de delitos cibernéticos no es fácil.

Los ataques cibernéticos han aumentado dramáticamente en los últimos años, y la cantidad de ciberdelincuentes va de la mano.

Las predicciones para el futuro no son mejores.

De hecho, el desarrollo de tantas PYMES a las que no les gusta la TI podría dar lugar a un número cada vez mayor de ataques.

Es posible elaborar una lista de los diferentes tipos de piratas informáticos:

• Ciberdelincuentes con motivación financiera;
• Gestores de hacking ético;
• Criminales cibernéticos apoyados por gobiernos;
• Script kiddies, también conocidos como hackers de sombrero verde, que solo buscan la fama;
• Ciberterroristas.

A estos se suman los piratas informáticos internos, como los empleados que roban información de las empresas para las que trabajan.

¿Qué leyes se aplican en caso de ciberextorsión?

El documento de la Estrategia Nacional de Ciberseguridad alerta del nuevo escenario al que se enfrenta la ciberseguridad, con las criptomonedas o los ataques de ransomware: 

“El empleo de nuevas modalidades de transacción financiera y económica, como las criptomonedas, para el tráfico y el comercio de bienes y prestación de servicios ilícitos o la extorsión, el fraude y la falsificación de medios de pago no monetarios, constituyen un serio desafío a la seguridad por su sofisticación y complejidad”. 

A nivel legal, el Código Penal recoge en el artículo 243 el delito de extorsión y su pena:

“El que, con ánimo de lucro, obligare a otro, con violencia o intimidación, a realizar u omitir un acto o negocio jurídico en perjuicio de su patrimonio o del de un tercero, será castigado con la pena de prisión de uno a cinco años, sin perjuicio de las que pudieran imponerse por los actos de violencia física realizados”.

En Europa, los ciudadanos pueden acogerse al RGDP, en las situaciones en las que sus datos o información esté mediáticamente expuesta.

En este sentido, se puede solicitar el Derecho al Olvido para eliminar contenido difamatorio de un motor de búsqueda.

¿La ciberextorsión es un delito?

Como se puede deducir fácilmente de los epígrafes anteriores, la ley ha puesto un gran énfasis en los ataques cibernéticos dirigidos a la extorsión.

Esta condición destaca cómo la extorsión cibernética es en efecto un delito.

La sanción del delito, sin embargo, depende de la posibilidad de poder identificar al responsable del ataque.

Cada país tiene reglas y disposiciones diferentes, las sanciones varían según la gravedad del ataque y el número de amenazas creadas dentro de un sistema corporativo o privado.

Seguramente la actividad de un hacker no es legal, pero no debe confundirse con la actividad de los técnicos de TI que pueden atacar un sistema informático para evaluar su penetrabilidad.

En este último caso no hay delito ni se considera parte de la criminalidad. 

¿Cuál es la posición del FBI sobre la extorsión cibernética?

El FBI tiene una sección que está completamente dedicada a investigar crímenes.

Su página dice que se ocupa de investigar delitos cibernéticos que involucran actos delictivos y cuestiones de seguridad nacional.

Un ejemplo de acto criminal sería usar un ordenador para cometer fraude o Internet para transmitir material obsceno.

Sin embargo, en el campo de la seguridad nacional, el FBI investiga asuntos penales que involucran los sistemas bancarios y financieros informatizados de la nación; las distintas redes de emergencia y sistemas de telecomunicaciones.

¿Cómo denunciar un caso de ciberextorsión?

La víctima de ciberextorsión tiene dos vías para denunciar su caso: 

• Policía Nacional: se puede acudir a la comisaría, o realizar el trámite de forma online o telemática;  
• Guardia Civil: como ocurre con la Policía Nacional, existe la posibilidad de denunciar de forma presencial, telefónica u online; 

El Grupo de Delitos Informáticos (GDT) es el encargado de tramitar las denuncias relacionadas con las nuevas tecnologías. 

Con la modificación de la Ley de Enjuiciamiento Criminal, solo se remiten al Juzgado los atestados en los que se conoce al autor del hecho. 

Aquellos que se desconoce, quedan en dependencias policiales a disposición del Ministerio Fiscal o Autoridad Judicial, sin enviarlos, salvo casos excepcionales como, por ejemplo, delitos contra la integridad física. 

¿Qué hacer si alguien te amenaza online?

Cuando un pirata informático te amenaza en línea después de un ataque cibernético, en primer lugar, mantén la calma.

Trata de mantener la mente despejada, teniendo en cuenta la compleja situación en la que te encuentras, siguiendo estos consejos: 

• Nunca pagues el rescate.

Puede parecer la solución más simple y rápida para arreglar todo, pero no es así: si pagas el rescate, los hackers te considerarán un objetivo fácil y te atacarán varias veces;

• Lo primero que hay que hacer es denunciar la ciberextorsión ante las autoridades competentes.

Realiza pantallazos de las conversaciones, como prueba del delito;

• Ponte en contacto con una empresa experta.

Si observas material comprometedor que aparece en línea, contacta con ReputationUP.

La empresa cuenta con más de veinticinco años de experiencia en la gestión de la reputación online y la eliminación de contenidos difamatorios.

¿Puedo denunciar a alguien por ciberextorsión?

Como se explica en las líneas anteriores, la ley considera ilegal el ataque de ciberextorsión.

Puedes denunciarlo en cualquier momento, especialmente si te sientes amenazado o en peligro.

Esta condición se extiende también a los bienes de la empresa y a la imposibilidad de utilizar los sistemas de trabajo.

Si tus datos han sido publicados online, además de la denuncia, puedes contactar con una empresa de expertos en eliminar URL de Google como ReputationUP.

¿Las víctimas tienen que pagar el rescate por la extorsión cibernética?

Una cosa está clara: nunca debes pagar el rescate, ni de la ciberextorsión ni de ningún otro delito online.

La posición oficial del gobierno se resume en el documento firmado por OFAC y FinCEN, dos organismos encabezados por el Tesoro de EE. UU.:

“Las empresas que facilitan los pagos de ransomware no solo alientan futuras demandas de rescate, sino que también pueden correr el riesgo de violar las regulaciones de la OFAC”.

Se toma como referencia el ransomware pero también se extenderá a otros delitos de extorsión.

No pagar el rescate es esencial porque de lo contrario existe el riesgo de multiplicar la extorsión con el tiempo.

Lo que parece ser la solución más fácil, se convierte en una condena para la empresa.

Los profesionales de TI de HelpRansomware desbloquearán tu sistema corporativo o privado y te permitirán volver a las actividades laborales normales.

Además, ReputationUP es capaz de eliminar los datos publicados por ransomware.

El costo de la extorsión cibernética

Para considerar el costo total de la extorsión cibernética, debemos considerar no solo el del rescate sino también otras variables.

Un ciberataque, además del costo potencial del rescate, también conlleva costes importantes en el bloqueo del trabajo. 

El tiempo perdido en tratar de resolver el problema, por lo tanto, también debe incluirse en el cálculo.

Asimismo, cualquier fuga de información debe ser considerada como un costo adicional.

Según el citado informe de IC3, considerando las denuncias de víctimas en Estados Unidos, el costo de la ciberextorsión asciende, en 2021, a 60.577.741 dólares.

A estos también se les debe agregar los costos del rescate del ransomware, que de nuevo solo sobre la base de las quejas, es de 49,207,908 dólares.

¿Cuáles son los riesgos de extorsión cibernética?

Ser víctima de una ciberextorsión conlleva varios riesgos.

Los piratas informáticos pueden bloquear potencialmente cualquier tipo de archivo en su infraestructura de red, desde una base de datos de empleados/clientes hasta acceder a un documento de Word o Excel.

Sin embargo, se pueden identificar tres riesgos principales que se pueden agrupar en datos personales, amenazas y reputación:

• Datos personales: el bloqueo de los datos personales de la empresa y de sus clientes puede exponer a tu empresa y su área de influencia a posibles ciberataques;
• Amenazas: uno de los riesgos más comunes radica en ser constantemente objeto de amenazas por parte de los ciberdelincuentes;
• Reputación: cada vez que tu sistema de infraestructura de TI sufre un ataque de este tipo, la reputación digital de tu empresa cae drásticamente.

Los clientes, cuando tienen que lidiar con una plataforma o servicio bloqueado, se ven obligados a cambiar de sitio web.

Además, cualquier divulgación de información privada y personal puede disminuir la confianza del cliente en tu negocio.

¿Qué empresas pueden sufrir ciberextorsión?

En una era en la que las empresas tienen sistemas en red para trabajar, todas están expuestas a la ciberextorsión.

Los hackers tienden a apuntar a estructuras con una protección menos fuerte y eficiente o aquellas que manejan datos con ciertas características.

Por ello, entre los tipos de empresas más afectadas se encuentran las de tamaño pequeño y mediano.

Un estudio realizado por Fundera reporta que el 43% de las PYMES han sufrido un ciberataque; el 60% cerró su negocio en los seis meses posteriores al ataque.

El sector más afectado, sin embargo, sigue siendo el sanitario.

Estas infraestructuras no se pueden permitir la interrupción de los servicios y por tanto pagan el rescate para intentar solucionar el problema en el menor tiempo posible.

En el ranking de las empresas más afectadas siguen:

• Tecnología y comunicación: este sector ha sufrido un fuerte aumento también a raíz de la creación del metaverso.

El desarrollo de una nueva plataforma de socialización ha aumentado las oportunidades de intercambio online y, en consecuencia, también las de infligir extorsión;

• Finanzas: este es otro sector muy rentable, porque necesita proteger los datos personales de los clientes;
• Industria energética: este área abre las puertas del hacking a ataques potencialmente terroristas;
• Construcción: los ataques a este sector demuestran la importancia del factor humano, su formación y educación digital.

Se incluyen, además, las empresas de eCommerce, atrapadas por los ataques DDoS.

Nuevamente, bloquear la tienda online con sistemas DDoS obliga a los vendedores a pagar lo más rápido posible.

Ejemplos de extorsión cibernética

Para tener una idea más clara de qué es un ataque de ciberextorsión y cómo se desarrolla, es interesante analizar algunos ejemplos reales:

• Nokia

Allá por 2007, unos hackers robaron el código fuente del sistema operativo de los smartphones que fabricaba la multinacional finlandesa;

Los delincuentes amenazaron con revelar la clave al público y esto permitiría que otros delincuentes infectaran millones de teléfonos inteligentes y desencadenaran una reacción en cadena;

Según reveló años después el diario finlandés MTV, supuestamente Nokia pagó el rescate de millones de euros para proteger sus datos.

• Domino’s

La famosa cadena de comida rápida fue atacada por el grupo de hackers Rex Mundi en 2014;

El ataque había robado los datos de 650.000 cuentas de clientes franceses y belgas y los piratas exigieron un rescate de 30.000 euros;

Como anunció en su perfil de Twitter, la empresa se negó a pagar el rescate e instó a los clientes a cambiar sus contraseñas de inicio de sesión, incluso si los datos robados no contenían información financiera.

• Code Spaces

Este es uno de los pocos casos de ciberextorsión que llevó al cierre de una empresa;

La empresa de alojamiento de código fue atacada primero a través de DDoS y luego los piratas informáticos se hicieron cargo del panel de control de Amazon EC2;

A partir de ahí, eliminó de forma permanente los volúmenes de almacenamiento, las copias de seguridad y las configuraciones del sistema;

La empresa se negó a pagar el rescate y trató de recuperar el control de sus instalaciones, pero sin éxito.

¿Cómo afecta la ciberextorsión a la reputación?

Uno de los aspectos más negativos de la ciberextorsión es el impacto negativo en la reputación corporativa.

Cuando la información personal y privada se publica en línea, puede tener repercusiones.

Por otro lado, a nivel corporativo, tu imagen puede verse arruinada por el bloqueo del sitio web, lo que desviaría inmediatamente a tus clientes a otro lugar.c

O puede suceder que los usuarios perciban tu sistema informático como inseguro.

En ambos casos, ante la pérdida económica, tu empresa tendrá que hacer frente a una crisis de reputación.

Por eso es importante tener una estrategia para manejar este tipo de problemas.

Tanto empresa como particular, deben desarrollar un plan de riesgo reputacional, en el que se calculen todas las consecuencias de un ataque cibernético o mediático a tu imagen.

El daño a la reputación se amplifica si la empresa tiene mucha repercusión en línea.

Cómo proteger a una empresa de la ciberextorsión

Para conocer las pautas oficiales de protección de datos, las empresas también pueden consultar el estándar ISO/IEC 27001.

En cualquier caso, para gestionar eficazmente su seguridad, una empresa debe seguir varios pasos:

• La alta dirección debe promover iniciativas de seguridad;
• El personal de la empresa debe estar debidamente capacitado: la mayoría de los ataques cibernéticos ocurren debido a la distracción de los empleados;
• Software dedicado: una compañía debe contar con un sector de software capaz de monitorear amenazas en los dispositivos corporativos en tiempo real;
• Servicios en la nube y copia de seguridad: el uso de hardware y software que guarda datos en la nube permite tener una copia de los datos incluso después del ataque y, por lo tanto, no se tendrá que pagar el rescate.

Las empresas deben entender que la protección de sus sistemas informáticos es fundamental para evitar intrusiones y así preservar una buena imagen online y offline.

Actuar en la protección de TI es actuar en la seguridad de los activos de la empresa, tanto en términos económicos como de información.

Conclusiones

Los riesgos asociados a la ciberextorsión son significativos para particulares, PYMES y grandes empresas.

Aunque algunos sectores laborales están menos vinculados a esta problemática, para evitar pérdidas económicas y de brand reputation es fundamental contar con herramientas eficaces.

Estas son las conclusiones que puedes sacar de este artículo:

• La ciberextorsión es una extorsión que se perpetúa online al obligar a un individuo o empresa a pagar un rescate a cambio de recuperar el acceso a los recursos informáticos robados;
• En 2021 hubo 39.360 casos de extorsión online;
• Las extorsiones cibernéticas tienen un propósito muy específico: bloquear o limitar las funciones de un dispositivo hasta que se pague un rescate;
• Los tipos más comunes de ciberextorsión son el ransomware y los ataques DDoS;
• Considerando los reportes de las víctimas en Estados Unidos, el costo de la ciberextorsión ascendió, en 2021, a 60.577.741 dólares;
• La extorsión cibernética afecta negativamente a la imagen online de una empresa y su reputación de marca.

Tanto las empresas como las personas necesitan tener una variedad de medios para proteger su información de los ataques.

Si has sido víctima de una ciberextorsión, puedes comunicarte con ReputationUP, líder mundial en la eliminación de contenido dañino de la web y la gestión de la reputación en línea.

FAQ