Home > Seguridad > ¿Qué es el ransomware?
Seguridad

¿Qué es el ransomware?

qué es el ransomware
Cómpartelo:

El ransomware es un tipo de malware -o software malicioso- diseñado para infectar los sistemas informáticos y bloquear los archivos con el fin de extorsionar a empresarios. Como su nombre indica, este tipo de ciberataque consiste en pedir un rescate por los datos y los dispositivos.

A diferencia de otros incidentes de seguridad, además de presionar a los propietarios de los sistemas para que se desprendan del dinero que tanto les ha costado ganar, los hackers pueden amenazar con poner en peligro la seguridad de los datos confidenciales o incluso bloquear los sistemas por completo. Esto puede dañar tu reputación y tus relaciones con los clientes, así como tus finanzas.

Hay varias formas en que el ransomware puede infectar un ordenador: la más común es un ataque de phishing, que implica hacer clic en un enlace malicioso. Ocasionalmente, los delincuentes también se hacen pasar por funcionarios de seguridad que piden a la víctima que pague una “multa” para recuperar el acceso. Normalmente, el usuario recibe un mensaje que indica que sus archivos han sido encriptados, junto con instrucciones sobre cómo transferir dinero a cambio de una clave de desencriptación.

¿Cómo y por qué se realiza un ataque de ransomware?

Los ataques de ransomware suelen realizarse mediante ingeniería social, una técnica que los ciberdelincuentes utilizan para atraer a los usuarios a abrir un enlace o descargar un archivo adjunto.

El software malicioso también puede instalarse mediante el uso de un kit de explotación, un conjunto de herramientas que busca vulnerabilidades en los sistemas de una organización. Otra técnica es el malvertising, mediante el cual el ransomware puede esconderse en anuncios engañosos.

El software bloquea rápidamente los dispositivos o cifra los archivos, antes de pedir un rescate, que puede ascender a miles de libras. Los atacantes de ransomware suelen pedir pagos en Bitcoin u otra criptomoneda, ya que son menos rastreables.

Más allá del beneficio económico, ¿cuál es el objetivo de un ataque de ransomware? Los grupos malintencionados pueden tener motivos ocultos para robar tus datos sensibles, como el espionaje o causar un trastorno general.

El funcionamiento del ransomware depende del sistema operativo que utilices. Aunque inicialmente era común en los dispositivos Windows, el ransomware ya no es una preocupación reservada a los usuarios de PC. Los primeros ataques de ransomware para móviles llegaron en 2014: suelen producirse a través de aplicaciones engañosas y bloquean todo el dispositivo.

Los dispositivos de Apple también pueden ser presa del ransomware. Los primeros ataques dirigidos a los Mac se registraron en 2016: se utilizaron técnicas complejas para que los archivos dañinos se ejecutaran en segundo plano durante varios días, con el fin de eludir el sistema XProtect integrado de Apple.

Estadísticas acerca del ransomware

Las estadísticas clave ilustran la amenaza real que el ransomware puede suponer para las empresas, organizaciones benéficas y otras organizaciones; al fin y al cabo, esta empresa delictiva cuesta a las empresas más de 58.000 millones de libras al año en todo el mundo.

  • La amenaza es cada vez más habitual. Según Cybersecurity Ventures(enlace externo), una organización diferente es víctima del ransomware cada 14 segundos en 2019 y sucumbirá cada 11 segundos en 2021
  • Asimismo, los ataques de ransomware aumentaron en más de un 97% entre 2017 y 2019*.
  • El valor de cada rescate también ha aumentado: en 2019, la suma exigida por los piratas informáticos fue de 837 libras de media, pero algunas violaciones llegaron a costar 100.000 libras (enlace externo)
  • Las crisis parecen aumentar el nivel de amenaza (enlace externo).
  • Durante la crisis de Covid-19 en 2020, el 36% de las organizaciones se enfrentaron a un ataque de ransomware, frente a sólo el 27% en el trimestre anterior.

Tipos de inyección de ransomware

Hay varios tipos de ransomware, que varían mucho en cuanto a las técnicas utilizadas y el daño causado. Sin embargo, tienen una característica en común: todas las variantes exigen un pago a cambio de liberar los archivos o sistemas informáticos secuestrados.

Hay dos categorías principales: el cripto ransomware y el locker ransomware. El cripto ransomware utiliza una fuerte encriptación que impide a las víctimas acceder a sus archivos. Sin una clave de descifrado, las empresas que se enfrentan a este tipo de ataque pueden perder permanentemente el acceso a sus datos.

En cambio, el ransomware Locker se dirige a dispositivos, como PCs, Macs y smartphones, dejándolos inutilizables. El ransomware de bloqueo a veces puede resolverse sin pagar un rescate, pero derrotar al ransomware criptográfico suele ser más difícil.

Estos son los principales tipos de ransomware que hay que tener en cuenta:

  • CryptoWall se distribuyó inicialmente a través de kits de exploits y correos electrónicos, pero recientemente se ha vinculado también a anuncios fraudulentos. CryptoWall ofrece descifrar un solo archivo como prueba de que el hacker tiene el poder de descifrar tus archivos. La versión 4.0 encripta incluso los nombres de los archivos, lo que puede causar confusión incluso en las empresas que realizan copias de seguridad periódicas.
  • Locky es un tipo de malware que se distribuye a través de correos electrónicos disfrazados de facturas, un tipo de phishing. Una vez abierto, Locky encripta los archivos, que son renombrados con la reconocible extensión ‘.locky’. Locky también es conocido por mostrar su mensaje de rescate como fondo de escritorio.
  • Cerber es una forma de ransomware criptográfico que opera en 12 idiomas diferentes. Cerber se dirige a los usuarios de Office 365 en la nube a través de sofisticados correos electrónicos de phishing. Es una aplicación que utiliza un modelo de ransomware como servicio por el que los afiliados pueden lanzar ataques con malware creado por otro hacker.
  • CryptoLocker fue un ataque infame que se cerró en 2014, pero los hackers han copiado el modelo. Quizá te preguntes qué relación existe entre CryptoLocker y los dos tipos de ransomware. CryptoLocker combinaba las técnicas de cripto y locker, bloqueando los ordenadores con Windows y cifrando los archivos para conseguir un doble efecto.
  • WannaCry es un tipo de ransomware que cifra los archivos de los sistemas operativos de Microsoft Windows para que el usuario no pueda acceder a sus documentos o lo bloquea por completo. WannaCry se manifiesta como un criptogusano, es decir, una pieza de malware capaz de autorreplicarse y propagarse de anfitrión a anfitrión.
    Jigsaw puede ser increíblemente grave si no actúas rápidamente. Este agresivo tipo de ransomware borra archivos cada hora hasta que se paga el rescate. En 72 horas, este ataque puede hacer que todos tus datos desaparezcan de forma permanente. Fue desarrollado en 2016 y lleva imágenes derivadas de la franquicia de terror Saw.
  • Samas es un tipo de ransomware especialmente destructivo que funciona identificando redes con servidores vulnerables que ejecutan productos JBoss. Una vez desplegado el software, encripta los archivos y borra las copias, lo que hace que la situación sea difícil de revertir. Este tipo de ataque puede utilizarse para recoger datos, por lo que suele dirigirse a las redes que contienen información sensible, como los hospitales.

ransomware

¿Cómo fue el ataque del ransomware WannaCry?

El famoso ataque de ransomware WannaCry de 2017 dejó fuera de servicio a cientos de miles de ordenadores en todo el mundo. En lo que se considera el peor ciberataque mundial de la historia, WannaCry reunió los sistemas de pago de criptomonedas y la tecnología de encriptación vista por primera vez en CryptoLocker.

WannaCry se dirigió a ordenadores con Windows utilizando herramientas robadas al Gobierno de EE.UU., lo que significó que el malware ya no necesitaba depender de lentas campañas de correo directo. WannaCry era un criptogusano temprano, por lo que el malware podía clonarse a sí mismo e infectar más ordenadores. El resultado fue un crecimiento exponencial que afectó a organizaciones de 150 países, incluido el Servicio Nacional de Salud de Gran Bretaña, que perdió 92 millones de libras.

Cómo prevenir los ataques de ransomware

Con una tecnología que cambia tan rápidamente, no siempre es posible prevenir los ataques de ransomware. El grado de protección de tu empresa depende de lo sofisticado que sea el ataque y de si requiere suplantación de identidad: muchas de las formas de prevenir los ataques de ransomware están relacionadas con la concienciación sobre la suplantación de identidad.

Dicho esto, otras técnicas de ciberseguridad de buenas prácticas pueden ayudar a que tu empresa, tus datos y tus operaciones estén protegidos. He aquí algunas medidas de precaución que pueden tomar las empresas:

  • Actualiza tus dispositivos. Muchas de las organizaciones más afectadas por WannaCry utilizaban dispositivos antiguos y sistemas operativos obsoletos, por lo que invertir en nuevas máquinas cada dos años puede ayudar a reducir el riesgo
  • Instala software de seguridad. El software de ciberseguridad dificulta que el malware tome el control de tu dispositivo y cifre los archivos que contiene. Como mínimo, debes utilizar escáneres de virus y cortafuegos, pero las opciones más avanzadas incluyen la detección de puntos finales y las soluciones para amenazas avanzadas
  • Parchea y actualiza el software. Mantén tu software fuerte y protegido ejecutando todas las actualizaciones recomendadas, ya que cada nueva versión corrige agujeros de seguridad. La idea es ir siempre un paso por delante de los hackers
  • Configura la autenticación multifactorial. Para asegurar adecuadamente un dispositivo, necesitas algo más que una contraseña fuerte. La autenticación multifactorial comprueba tu identidad a través de una llamada telefónica o un mensaje de texto, lo que hace mucho más difícil que los piratas informáticos puedan acceder a tus cuentas. Cuantas más formas de autenticar tu identidad al iniciar la sesión, mejor
  • Haz una copia de seguridad de tus archivos. Como no siempre es posible eliminar los ataques de ransomware, el segundo mejor escenario es no tener que pagar el rescate. Hacer regularmente una copia de seguridad externa de tus archivos puede ser de gran ayuda en caso de que un hacker cifre los archivos de tu disco principal
  • Protege tu información personal. Los grupos maliciosos suelen utilizar información personal -incluyendo contraseñas, respuestas a preguntas de seguridad y fecha de nacimiento- para acceder a las cuentas. Asegúrate de que todos los miembros de tu organización siguen el protocolo de protección de su información personal, incluidos los altos cargos, que pueden ser objetivo de campañas de whaling (un tipo de ataque de phishing)
  • Formación en ciberseguridad. Reduce la probabilidad de caer en un ataque de phishing formando a tus empleados en ciberseguridad y concienciación.

Qué hacer si recibes un correo de ransomware

¿Qué implica recibir un correo electrónico de ransomware y qué debes hacer? Si ocurriera lo peor y descubrieras que tus sistemas han sido comprometidos, es importante mantener la calma y evitar tomar decisiones precipitadas.

Recibir un mensaje de este tipo suele significar que tus sistemas ya están comprometidos, pero los siguientes pasos pueden ayudarte a minimizar los daños:

  1. Ponte en contacto con tu proveedor de ciberseguro para informarle del ataque de ransomware. Dependiendo de tu póliza, tu aseguradora puede cubrir el coste del pago del rescate y la recuperación del sistema, así como los costes indirectos relacionados con la interrupción del negocio, la gestión de la reputación y las investigaciones sobre el GDPR.
  2. Determina si te ha afectado un ransomware de bloqueo o un ransomware criptográfico. La distinción es importante, ya que los ataques de tipo casillero que no cifran tus archivos suelen ser más fáciles de resolver. Si no puedes pasar de la nota de rescate emergente en tu pantalla, es probable que se trate de un ransomware de casillero. Si puedes navegar por tu ordenador pero no puedes abrir los archivos, has sido atacado por un malware encriptador.
  3. Desconecta tu máquina de la red y desenchufa cualquier otro dispositivo o unidad externa. Esto puede ayudar a restringir el impacto de una infección de ransomware.
  4. Haz una foto de la nota del ransomware con los detalles del valor del rescate y las instrucciones de pago. Necesitarás esta información para transmitirla a las autoridades competentes.
  5. Investiga el tipo de ransomware que te ha afectado. En algunos casos, es posible recuperar los datos utilizando un software de recuperación y descifrado de datos. Puedes acceder a él a través de tu departamento de informática o de una empresa de ciberseguridad de confianza
  6. Presenta una denuncia a la policía. Es posible que no puedan ayudarte todavía, pero necesitarás pruebas de la denuncia del incidente para presentar una reclamación al seguro o una demanda judicial.

¿Qué te ha parecido el artículo?

0 / 5 Resultados 0 votos 0

Your page rank:

Cómpartelo:

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.