El ransomware es un tipo de software malicioso o malware que cifra archivos en un dispositivo, haciéndolos inaccesibles. Luego, el atacante exige el pago de un rescate a cambio de descifrar los archivos. El ransomware existe desde 1989, pero se ha vuelto más frecuente y sofisticado en los últimos años.
Las primeras formas de ransomware eran relativamente simples y bloqueaban el acceso al sistema informático. Las variantes modernas de ransomware cifran archivos específicos en el disco duro del sistema mediante algoritmos de cifrado asimétrico que generan un par de claves: una clave pública para cifrar los archivos y una clave privada para descifrarlos. La única forma de descifrar y acceder a los archivos nuevamente es con la clave privada que posee el atacante.
El ransomware suele enviarse a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Una vez ejecutado en el sistema de la víctima, cifra los archivos y muestra una nota de rescate con instrucciones sobre cómo pagar para recuperar el acceso. El rescate suele exigirse en una criptomoneda como Bitcoin para evitar ser rastreado.
Hay dos tipos principales de ransomware:
El ransomware se ha convertido en un lucrativo modelo de negocio criminal. Continuamente se desarrollan y lanzan nuevas variantes para maximizar la cantidad de dinero extorsionado a las víctimas. La prevención mediante las mejores prácticas de ciberseguridad, como realizar copias de seguridad de los datos y la educación de los empleados, son las mejores defensas contra el ransomware.
El ransomware es una forma de malware que cifra archivos o bloquea el acceso a un dispositivo y luego exige el pago de un rescate para restaurar el acceso. Las infecciones de ransomware suelen ocurrir de tres maneras:
Disfrazados de software legítimo, los troyanos son descargados por usuarios desprevenidos e instalan ransomware en el sistema. A menudo, estos se distribuyen a través de códigos maliciosos integrados en archivos adjuntos de correos electrónicos, cracks de software o medios pirateados.
Los correos electrónicos de phishing contienen enlaces o archivos adjuntos maliciosos que instalan ransomware cuando se hace clic en ellos o se abren. Los correos electrónicos están diseñados para que parezcan de una empresa legítima para engañar al destinatario para que descargue la carga útil.
Algunos ransomware aprovechan las vulnerabilidades en los sistemas o software de red para propagarse a los dispositivos conectados. Una vez que un dispositivo está infectado, el ransomware cifra los archivos de ese sistema y de cualquier recurso compartido de red al que tenga acceso.
Las cargas útiles de ransomware suelen mostrar mensajes en la pantalla exigiendo el pago de un rescate, normalmente en criptomonedas como Bitcoin, para recuperar el acceso a los archivos o al sistema. El monto del rescate varía, pero suele oscilar entre varios cientos y varios miles de dólares. Sin embargo, pagar el rescate no garantiza que se restablecerá el acceso.
El ransomware se ha convertido en un negocio lucrativo para los ciberdelincuentes. Mediante el uso de kits de malware y programas de afiliados, incluso aquellos sin habilidades técnicas avanzadas pueden implementar fácilmente campañas de ransomware.
Mientras el ransomware resulte rentable, es probable que siga representando una amenaza tanto para individuos como para organizaciones. Mantener copias de seguridad confiables, mantener el software actualizado y educar a los usuarios sobre las amenazas cibernéticas son algunas de las mejores defensas contra el ransomware.
Hay tres tipos principales de ransomware que los profesionales de la seguridad cibernética deben conocer: scareware, bloqueadores de pantalla y ransomware de cifrado.
El scareware, también conocido como ransomware engañoso, engaña a las víctimas haciéndoles creer que sus sistemas han sido bloqueados o comprometidos para extorsionarles. Se muestran mensajes que afirman que se detectó contenido ilegal o que se cifraron archivos del sistema para asustar al usuario y obligarlo a pagar una “multa”. En realidad, tal acción no se ha producido. El scareware suele ser fácil de eliminar utilizando un software antivirus.
Los bloqueadores de pantalla, o ransomware de pantalla de bloqueo, bloquean a los usuarios fuera de sus dispositivos mostrando mensajes en pantalla completa sobre la pantalla de inicio de sesión. Impiden el acceso al sistema bloqueando la pantalla, pero en realidad no cifran ningún archivo. Algunos ejemplos bien conocidos son Reveton y FbiLocker. Si bien son frustrantes, los bloqueadores de pantalla generalmente no causan ningún daño permanente y, a menudo, se pueden eliminar utilizando una herramienta de eliminación de malware.
El cifrado de ransomware es el tipo más grave. Cifra archivos en sistemas infectados utilizando algoritmos de cifrado que son difíciles de descifrar sin la clave de descifrado. El ransomware exige un pago, a menudo en criptomonedas, a cambio de la clave de descifrado. Si no se paga el rescate, los archivos permanecen cifrados e inaccesibles.
Algunos ejemplos notorios de ransomware cifrado son WannaCry, Petya y Ryuk. Cifrar ransomware requiere estrategias de prevención y copia de seguridad, ya que la recuperación de datos es muy difícil sin pagar el rescate.
El ransomware móvil es un tipo de malware que puede infectar su teléfono y bloquearle el acceso a su dispositivo móvil. Una vez infectado, el malware cifrará todos sus datos y solicitará un rescate para restaurarlos. Si no paga el rescate, el malware puede incluso borrar sus datos.
Para defenderse contra el ransomware, las organizaciones deben centrarse en la educación de los empleados, fuertes controles de seguridad, software antivirus, mantener los sistemas actualizados y realizar copias de seguridad seguras de los datos. El pago de rescates sólo fomenta una mayor actividad delictiva y no garantiza que los archivos se recuperarán, por lo que debe evitarse. Con vigilancia y medidas defensivas proactivas, se puede minimizar el impacto del ransomware.
Los ataques de ransomware se han vuelto cada vez más comunes y dañinos en los últimos años. Varios incidentes importantes ponen de relieve cuán vulnerables se han vuelto las organizaciones a estas amenazas.
En mayo de 2017, el ataque de ransomware WannaCry infectó más de 200,000 computadoras en 150 países. Se centró en vulnerabilidades en los sistemas operativos Microsoft Windows, cifrando archivos y exigiendo pagos de rescate en Bitcoin. El Servicio Nacional de Salud del Reino Unido se vio muy afectado, lo que obligó a algunos hospitales a rechazar a pacientes que no eran de emergencia. Los daños totales superaron los 4 millones de dólares.
Poco después de WannaCry, surgió NotPetya. Disfrazado de ransomware, NotPetya era en realidad un virus limpiador diseñado para destruir datos. Derribó la infraestructura ucraniana, como las compañías eléctricas, los aeropuertos y los bancos. NotPetya se propagó por todo el mundo, infectando a empresas como FedEx, Maersk y Merck. NotPetya causó daños por más de 10 mil millones de dólares, lo que lo convirtió en el ciberataque más costoso de la historia en ese momento.
En 2019, el ransomware Ryuk atacó a más de 100 periódicos estadounidenses. El ataque cifró archivos, interrumpió las operaciones de impresión y exigió un rescate de 3 millones de dólares. Varios periódicos tuvieron que publicar ediciones más pequeñas o pasar a estar exclusivamente en línea durante días. Desde entonces, Ryuk ha llegado a otros sectores como la atención sanitaria, la logística y las finanzas. Los expertos vinculan a Ryuk con un sofisticado grupo patrocinado por el Estado norcoreano.
El ransomware se ha convertido rápidamente en una amenaza económica y para la seguridad nacional. La atención sanitaria, el gobierno, los medios de comunicación, el transporte marítimo y los servicios financieros parecen ser los objetivos favoritos, aunque cualquier organización está en riesgo. Las demandas de rescate suelen ser de seis o siete cifras, e incluso si se pagan, no hay garantía de recuperación de datos. La única forma que tienen las empresas y los gobiernos de defenderse del ransomware es mediante la vigilancia, la preparación y la cooperación.
Educar a los empleados, mantener copias de seguridad fuera de línea, mantener el software actualizado y implementar un plan de respuesta a incidentes puede ayudar a reducir la vulnerabilidad. Pero mientras se puedan obtener beneficios del ransomware, es probable que siga siendo una batalla continua.
A prevenir el ransomware infecciones, las organizaciones deben implementar un enfoque de múltiples capas centrado en la educación de los empleados, controles de seguridad sólidos y copias de seguridad confiables.
Los empleados suelen ser blanco de ataques de ransomware a través de correos electrónicos de phishing que contienen enlaces o archivos adjuntos maliciosos. Es fundamental educar al personal sobre estas amenazas y brindar capacitación para detectar posibles ataques. Los empleados deben tener cuidado con las solicitudes no solicitadas de información o enlaces confidenciales y se les debe enseñar a no abrir archivos adjuntos de remitentes desconocidos o que no sean de confianza. Los recordatorios periódicos y las campañas de phishing simuladas pueden ayudar a reforzar las lecciones e identificar áreas que necesitan mejoras.
La segmentación de la red separa partes de la red en redes más pequeñas para controlar mejor el acceso y contener infecciones. Si el ransomware ingresa a un segmento, la segmentación evita que se propague a toda la red. Una sólida protección de terminales, que incluye software antivirus, sistemas de prevención de intrusiones y parches regulares, ayudan a bloquear el ransomware y otro malware. La autenticación de dos factores para acceso remoto y cuentas de administrador proporciona una capa adicional de seguridad.
Las copias de seguridad de datos frecuentes y redundantes son clave para recuperarse de un ataque de ransomware sin pagar el rescate. Las copias de seguridad deben almacenarse fuera de línea y fuera del sitio en caso de que la red se vea comprometida. Pruebe la restauración de copias de seguridad con regularidad para asegurarse de que el proceso funcione y que los datos estén intactos. Si el ransomware cifra archivos, tener copias de seguridad accesibles evita la pérdida permanente de datos y elimina la necesidad de pagar el rescate.
Otros controles útiles incluyen restringir los permisos y privilegios de los usuarios, monitorear signos de compromiso, como actividad inusual de la red, y planificar una estrategia de respuesta a incidentes en caso de infección. Mantenerse actualizado con las últimas amenazas de ransomware y métodos de ataque, y compartir ese conocimiento en toda la organización, ayuda a los equipos de TI a implementar las defensas adecuadas.
Con controles estrictos y un enfoque en la educación y la preparación, las organizaciones pueden evitar ser víctimas de ataques de ransomware. Pero incluso con las mejores prácticas implementadas, el ransomware es una amenaza siempre presente. Las pruebas periódicas de controles y respuestas ayudan a minimizar los daños si un ataque tiene éxito. Cuando se implementan juntas, estas capas de defensa brindan la mejor protección contra el ransomware.
Los ataques de ransomware requieren una respuesta rápida y estratégica para minimizar el daño y garantizar la recuperación.
Al descubrir una infección de ransomware, el primer paso es aislar los sistemas infectados para evitar que el malware se propague más. A continuación, determine el alcance y la gravedad del ataque para identificar qué sistemas y datos se han visto afectados. Proteja los datos de respaldo y desconecte los dispositivos de almacenamiento para protegerlos del cifrado.
Con los sistemas aislados, los profesionales pueden trabajar para contener y eliminar el ransomware. Se deben utilizar software antivirus y herramientas de eliminación de malware para escanear sistemas y eliminar archivos maliciosos. Es posible que se requiera una restauración completa del sistema desde una copia de seguridad para las máquinas gravemente infectadas. Durante este proceso, supervise los sistemas para detectar reinfecciones.
Las variantes de ransomware evolucionan constantemente para evadir la detección, por lo que es posible que se necesiten herramientas y técnicas personalizadas para eliminar por completo una cepa avanzada. En algunos casos, el cifrado de un ransomware puede ser irreversible sin pagar el rescate. Sin embargo, el pago de rescates financia actividades delictivas y no garantiza la recuperación de datos, por lo que solo debe considerarse como un último recurso.
Después de un ataque de ransomware, es necesaria una revisión exhaustiva de las políticas y procedimientos de seguridad para fortalecer las defensas y prevenir la reinfección. También es posible que se requiera capacitación adicional del personal sobre los riesgos cibernéticos y la respuesta.
Para restaurar datos cifrados, las organizaciones pueden utilizar archivos de respaldo para sobrescribir los sistemas infectados y recuperar información. Las copias de seguridad de datos periódicas y fuera de línea son clave para minimizar la pérdida de datos debido al ransomware. Varias versiones de copias de seguridad a lo largo del tiempo permiten la restauración hasta un punto anterior a la infección inicial.
Algunos datos pueden permanecer irrecuperables si los archivos de respaldo también se cifraron. En estas situaciones, las organizaciones deben determinar si la información perdida se puede recrear u obtener de otras fuentes. Es posible que deban aceptar la pérdida permanente de datos y planear reconstruir ciertos sistemas por completo.
Los ataques de ransomware pueden ser devastadores, pero con rapidez de pensamiento y las estrategias adecuadas, las organizaciones pueden superarlos. Mantenerse alerta y prepararse para diversos escenarios garantizará la respuesta más eficaz cuando ocurra un desastre. La evaluación y mejora continua de las ciberdefensas pueden ayudar a reducir los riesgos a largo plazo.
Los ataques de ransomware han ido en aumento en los últimos años. Según Cybersecurity Ventures, se prevé que los costos globales de daños por ransomware alcancen los 20 mil millones de dólares en 2021, frente a los 11.5 mil millones de dólares de 2019. El Informe sobre amenazas a la seguridad en Internet de Symantec encontró un aumento del 105 % en las variantes de ransomware de 2018 a 2019.
Los tipos más comunes de ransomware en la actualidad son el ransomware de pantalla de bloqueo, el ransomware de cifrado y el ransomware de doble extorsión. El ransomware de pantalla de bloqueo bloquea a los usuarios fuera de sus dispositivos. El ransomware de cifrado cifra archivos y exige el pago por la clave de descifrado. El ransomware de doble extorsión cifra archivos, exige un pago y también amenaza con revelar datos confidenciales robados si no se realiza el pago.
Los ataques de ransomware suelen tener como objetivo organizaciones sanitarias, agencias gubernamentales e instituciones educativas. Estas organizaciones suelen tener datos confidenciales y pueden estar más dispuestas a pagar rescates para evitar interrupciones y violaciones de datos. Sin embargo, el pago de rescates anima a los ciberdelincuentes a continuar y ampliar las operaciones de ransomware.
La mayor parte del ransomware se envía a través de correos electrónicos de phishing, sitios web maliciosos y vulnerabilidades de software. Los correos electrónicos de phishing con archivos adjuntos o enlaces maliciosos siguen siendo el vector de infección más popular. A medida que más organizaciones fortalecen la seguridad del correo electrónico, los atacantes explotan cada vez más las vulnerabilidades del software sin parches para obtener acceso.
El futuro del ransomware puede incluir ataques de robo de datos más dirigidos, mayores demandas de rescate y el uso de criptomonedas para evitar el seguimiento. El ransomware como servicio, mediante el cual los ciberdelincuentes alquilan herramientas e infraestructura de ransomware a atacantes menos capacitados, también está en aumento y facilita que más personas lleven a cabo campañas de ransomware.
Para combatir la amenaza del ransomware, las organizaciones deben centrarse en la educación de los empleados, una sólida seguridad del correo electrónico, parches periódicos de software y copias de seguridad frecuentes de los datos almacenados sin conexión. Con prácticas de seguridad integrales, el impacto del ransomware y otros ataques cibernéticos se puede reducir considerablemente.
Los gobiernos y organizaciones internacionales de todo el mundo se han dado cuenta del aumento de los ataques de ransomware y del daño que causan. Se están realizando varios esfuerzos para ayudar a combatir el ransomware.
La Agencia de Ciberseguridad de la Unión Europea, también conocida como ENISA, ha publicado recomendaciones y estrategias tanto para prevenir como para responder a los ataques de ransomware. Su orientación incluye educación de los empleados, protocolos de respaldo de datos y coordinación con las autoridades.
Interpol, la Organización Internacional de Policía Criminal, también advirtió sobre la amenaza del ransomware y emitió un “Aviso Púrpura” a sus 194 países miembros sobre el modus operandi de los ciberdelincuentes que implementan ransomware. Interpol tiene como objetivo alertar a organizaciones e individuos sobre los riesgos de ransomware y brindar recomendaciones para fortalecer las ciberdefensas.
En Estados Unidos, el Departamento de Justicia ha emprendido acciones legales contra los atacantes que implementan determinadas cepas de ransomware como REvil y NetWalker. El Departamento de Justicia trabaja con socios internacionales para identificar y acusar a los perpetradores de ataques de ransomware cuando sea posible. La Agencia de Seguridad de Infraestructura y Ciberseguridad, o CISA, proporciona recursos, educación y asesoramiento para ayudar a proteger las redes del ransomware.
El G7, un grupo formado por algunas de las economías avanzadas más grandes del mundo, ha afirmado compromisos para mejorar la ciberseguridad y combatir las ciberamenazas como el ransomware. En su cumbre de 2021, el G7 prometió apoyar los principios de comportamiento responsable en el ciberespacio y la cooperación en cuestiones cibernéticas.
Si bien las acciones gubernamentales y la cooperación internacional son pasos en la dirección correcta, las organizaciones de los sectores público y privado también deben desempeñar un papel activo en la defensa contra el ransomware. Hacer copias de seguridad de los datos, capacitar a los empleados y mantener los sistemas actualizados son medidas críticas que, cuando se combinan con los esfuerzos de los gobiernos y las alianzas globales, pueden ayudar a frenar el impacto de los ataques de ransomware.
A medida que las tácticas cibercriminales se vuelven más sofisticadas, es fundamental que las organizaciones y los individuos comprendan las amenazas emergentes como el ransomware.
Aunque los ataques de ransomware pueden parecer una violación personal, mantener la calma y ser metódico es el mejor enfoque para resolver la situación con una pérdida mínima. Con conocimiento, preparación y las herramientas y socios adecuados, el ransomware no tiene por qué significar el fin del juego.
Mantenerse actualizado sobre las últimas cepas, vectores de ataque y prácticas de seguridad recomendadas garantizará que usted tenga el poder, no los perpetradores.
