¿Cómo lavan los ciberdelincuentes las criptomonedas?

El peor resultado posible ha ocurrido. Un ataque de ransomware ha atravesado múltiples capas de seguridad y ha cifrado datos críticos para la misión. O no existe una copia de seguridad para estos datos, o las copias de seguridad también están cifradas. Ninguna solución documentada te permitirá revertir el cifrado. Dado que no hay otra opción, pagas el rescate.

En conjunto, la industria mundial de ransomware acumuló cientos de millones de dólares en diversas criptomonedas solo en 2024. Pero la historia de ese dinero no termina ahí. Necesita ser blanqueado — convertido de ganancias ilegales en una fuente de ingresos aparentemente legítima. ¿Cómo transforman los ciberdelincuentes sus pagos de rescate en dinero que pueden gastar sin temor a ser arrestados?

Disfrazar a los actores maliciosos mediante el blanqueo de pagos de ransomware

Cuando se imaginó originalmente la criptomoneda, fue aclamada por los libertarios como una moneda paralela descentralizada que permitiría a sus usuarios ocultar su riqueza y transacciones de los gobiernos centrales. En un mundo perfecto —desde cierto punto de vista— no necesitarías lavar criptomonedas. Podrías poseerlas y gastarlas sin que nadie supiera que las tenías.

En realidad, las criptomonedas no son tan imposibles de rastrear como los criminales desearían. Existen varias formas de que las agencias de aplicación de la ley desentrañen las transacciones de blockchain, desenmascaren a los atacantes de ransomware y realicen arrestos.

• Los datos de atribución destacan la actividad criminal: Los criminales a menudo cometen errores que permiten su identificación. Por ejemplo, supongamos que un hacker codifica de manera fija la dirección para los pagos de rescate en su malware. Esto significa que la billetera está inextricablemente ligada a la actividad criminal — cualquier transferencia de esa billetera probablemente esté vinculada al mismo atacante. (Un atacante más inteligente intentaría generar automáticamente una billetera única para cada instancia de malware.)
• Minería de datos en la cadena de bloques en busca de pistas: Un único grupo de ransomware puede poseer cientos de monederos de criptomonedas. Esto hace que sea menos evidente cuando el grupo recibe un gran número de transacciones tras un ataque. Un algoritmo de aprendizaje automático conocido como DBSCAN (agrupamiento espacial basado en densidad de aplicaciones con ruido) puede revelar las conexiones entre estos monederos, facilitando la identificación de los propietarios.
• Identificación de transacciones de salida: Los criminales eventualmente necesitan convertir su criptomoneda en moneda física para poder gastarla. Esto a veces implicará tratar con entidades, como bancos, que están sujetas a regulaciones internacionales contra el lavado de dinero (AML) o de conocimiento del cliente (KYC). Una vez que un monedero ha sido asociado con actividad criminal, los investigadores pueden saber cuándo y dónde se han convertido sus contenidos en moneda. Luego pueden citar al banco, prestamista o intercambio de criptomonedas para descubrir la identidad del hacker.

Los ciberdelincuentes ahora necesitan tomar medidas cada vez más elaboradas para eludir a las fuerzas del orden y gastar sus ganancias mal habidas.

Tres métodos comunes para que los ciberdelincuentes blanqueen criptomonedas

Los hackers se definen por su disposición a adaptar sus métodos. Aunque los gobiernos son cada vez más capaces de desentrañar las transacciones de criptomonedas, los hackers han adoptado varias formas para dificultar este trabajo.

1. Bitcoin no es el único juego en la ciudad. Aunque Bitcoin sigue siendo la moneda preferida por los atacantes de ransomware, otras criptomonedas están diseñadas con más privacidad y seguridad en mente. Monedas como Monero y Tether están construidas con una serie de características de privacidad que hacen que las transacciones sean mucho más difíciles de rastrear. Algunos grupos de ransomware incluso ofrecen descuentos a las víctimas que estén dispuestas a pagar en Monero en lugar de Bitcoin!  
2. ¿Por qué usar una blockchain cuando puedes usar varias? Usar una blockchain, por muy segura que sea, puede no protegerte del más alto grado de escrutinio. Por eso muchos criminales prefieren la práctica del "salto de cadena". Esto ocurre cuando conviertes tu Bitcoin en Tether, tu Tether en Monero, tu Monero en Ethereum, y así sucesivamente. La ventaja de esta técnica es que los puentes entre cadenas no están sujetos a las mismas regulaciones de AML que los intercambios de criptomonedas, lo que significa que los usuarios pueden permanecer en el anonimato.
3. Mezcla y combina criptomonedas en un mezclador. No importa cuántas veces cambies entre blockchains, el dinero que has recibido sigue siendo identificable como tuyo. Pero, ¿y si fuera de otra persona? Un mezclador de criptomonedas es un servicio de pago que intercambia dinero entre propietarios, haciéndolo prácticamente imposible de rastrear.

Dado que los tumbadores — también conocidos como mezcladores — son tan efectivos para ocultar los orígenes de los pagos de rescate, se han convertido en uno de los métodos más populares y efectivos para que los ciberdelincuentes blanqueen criptomonedas.

¿Cómo funcionan los mezcladores de criptomonedas?

Digamos que Alice, Bob y Charlie poseen cada uno una suma de criptomonedas, y cada uno de ellos está interesado en asegurarse de que nadie sepa cómo la obtuvieron. Contratan los servicios de un mezclador de criptomonedas.

Cada usuario vacía su monedero de criptomonedas en el mezclador. El mezclador intercambia el dinero de Alice con el dinero de Bob y luego intercambia el dinero de Bob con el dinero de Charlie. Cuando Alice recupera su dinero, menos una pequeña comisión que va al mezclador, la moneda que recibe no contiene nada del dinero con el que empezó.

En la vida real, este proceso se escala a través de miles de usuarios y se repite cientos de veces. Esto hace que sea muy difícil determinar el origen de los fondos robados. Sin el mezclador de criptomonedas, esto es lo que vería la policía al rastrear la cadena de transacciones.

1. Una víctima compra criptomonedas y las transfiere a una cartera propiedad de un ciberdelincuente anónimo.
2. La criptomoneda pasa por unas pocas docenas de monederos y cadenas de bloques adicionales, cada una de ellas propiedad de usuarios más anónimos.
3. La policía utiliza DBSCAN para rastrear estas transacciones de principio a fin, descubriendo que cada monedero anónimo pertenece al mismo usuario.
4. Finalmente, la criptomoneda se convierte en moneda local y se deposita en una cuenta propiedad de Alice.
5. Las fuerzas del orden emiten una citación a la plataforma de intercambio de criptomonedas bajo las leyes internacionales de KYC e identifican a Alice, quien es acusada de ciberdelito.

No importa cuántas veces Alice transfiera su dinero, todavía hay un camino que la conecta con el crimen original. Pero con el mezclador, hay un nuevo paso entre tres y cuatro. Anteriormente, las transacciones de criptomonedas involucraban una única gran suma de dinero. Ahora, esa suma total se divide y se transfiere a otros usuarios que no tenían nada que ver con el crimen original, y Alice tiene su dinero de rescate reemplazado por moneda de origen legítimo. El rastro termina con el mezclador, y no se puede hacer ningún arresto.

¿Cómo están trabajando las agencias de aplicación de la ley contra los blanqueadores de dinero?

Hay una debilidad significativa en el esquema de mezcladores de criptomonedas: A menos que estés tratando de mover o esconder dinero ilegalmente, apenas hay una razón legítima para usar uno. Por esa razón, las agencias de aplicación de la ley global han decidido ir tras los mezcladores de criptomonedas ellos mismos por ayudar e instigar crímenes financieros. Ha habido varios casos de alto perfil en los últimos años, incluyendo:

• En 2023, una empresa conocida como ChipMixer fue cerrada por reguladores de Alemania y los EE.UU. quienes incautaron aproximadamente $46 millones en Bitcoin.
• En abril de 2024, el CEO y CTO de Samouri Wallet fueron acusados de lavar más de $100 millones en pagos de ransomware.
• En diciembre de 2024, los operadores rusos de Blender.io y Sinbad.io fueron acusados tras su arresto por lavado de dinero.

El resultado de esto ha sido dar a los atacantes de ransomware menos lugares y métodos para ocultar sus rescates, lo que dificulta la búsqueda de esta fuente de ingresos.

Cómo puede ayudar Barracuda

Una vez que has pagado un rescate en criptomoneda, se ha perdido. Aunque las agencias de aplicación de la ley global puedan cerrar el mezclador de criptomonedas, rastrear al atacante y confiscar sus activos, es muy poco probable que el dinero que gastaste vuelva a llegar a ti.

Por lo tanto, los administradores necesitan adoptar mejores prácticas para defenderse contra el ransomware. Esto significa implementar protecciones como la autenticación multifactor (MFA), la gestión de parches actualizada y la microsegmentación. Servicios como Barracuda Managed XDR pueden acelerar la detección de amenazas, proteger sus superficies de ataque y aumentar sus recursos. Programar una demostración hoy y aprender cómo podemos proteger su entorno.