Qué es el ransomware y cómo protegerse contra sus peligros

El ransomware es una amenaza importante que afecta tanto a usuarios domésticos como empresariales por igual.

Con una pérdida temporal o permanente de datos e información, el ransomware afecta su capital y la reputación de su negocio. Es esencial proteger sus activos de un ataque de ransomware antes de que sea demasiado tarde para darse cuenta de las consecuencias que podría tener.

Primero, tienes que examinar tu marco de seguridad en busca de fallas que podrían invitar a un programa de ransomware malicioso, monitorear cada registro para reconocer cualquier amenaza emergente de ransomware y emplear las mejores prácticas de ciberseguridad para establecer una defensa sólida.

Software como software SIEM, soluciones antivirus, herramientas de evaluación de vulnerabilidades, software anti-spam de correo electrónico ayudan a combatir el ransomware.

¿Qué es un ataque de ransomware? 

Originado en sus raíces en la criptovirología (el estudio de la criptografía utilizada en el diseño de software malicioso), el ransomware cifra los archivos de las víctimas en un disco duro y exige un pago para descifrarlos. Algunos programas de malware son simples, como el scareware, que una persona con conocimientos puede superar fácilmente y acceder a sus datos. Sin embargo, muchos programas de ransomware aprovechan técnicas como la extorsión criptoviral, donde el descifrado de archivos se vuelve complicado sin la clave de descifrado.

Los hackers generalmente usan troyanos, malware disfrazado de archivos genuinos, para llevar a cabo una infección de ransomware. Tendrás que ser cauteloso al descargar un archivo que llegó como un adjunto legítimo en tu correo electrónico o al hacer clic en un enlace que te lleva a un sitio web falso, ya que fácilmente puede ser un ataque de ingeniería social como el phishing. Los troyanos también pueden ser desplegados a través de una vulnerabilidad en el servicio de red. 

En el panorama actual de ciberseguridad, los hackers están desarrollando cepas de malware impulsado por IA que ocultan las condiciones necesarias para desbloquear los archivos mientras despliegan software malicioso no rastreable en tu máquina.

Considerando el tiempo de inactividad, la pérdida de datos e información, la obstrucción en la funcionalidad, el costo del dispositivo, el costo de la red, la demanda de rescate y más, un ataque de ransomware puede causar una pérdida financiera considerable a una organización. Es esencial tomar medidas preventivas adecuadas para proteger su red y sistema de tales ataques de malware.

¿Cómo funciona el ransomware?

El ransomware que cifra archivos sigue una técnica de extorsión criptoviral. El concepto fue originalmente inventado por Young y Yung en la Universidad de Columbia. Luego, fue presentado en la conferencia de Seguridad y Privacidad de IEEE de 1996.

En este proceso, la clave privada del atacante nunca se expone a la víctima. Como la clave simétrica se genera aleatoriamente, no puede ser utilizada por otras víctimas de ransomware.

Cuando el ransomware entra en los sistemas, ejecuta una carga útil: un programa que lleva a cabo acciones maliciosas. La carga útil bloquea el sistema o afirma bloquearlo (como un programa de scareware). Muestra un mensaje de advertencia, afirmando que has realizado actividades ilegales en tu sistema en algunos casos.

Hay casos en los que el ransomware te bloquea del sistema operativo al modificar la interfaz gráfica de usuario (GUI) en Microsoft Windows o el registro de arranque maestro para evitar el reinicio.

Tipos de ransomware

Existen diferentes tipos de ransomware diseñados para satisfacer múltiples motivos del atacante. Echa un vistazo a los tipos para identificar un ataque de ransomware si alguna vez te encuentras con uno.

Ransomware que cifra archivos

El ransomware que cifra archivos son programas que despliegan una carga útil en tus sistemas, que cifra tus archivos utilizando técnicas como la extorsión criptoviral, entre otras. Cuando se despliega, el programa de malware ejecuta una carga útil que te bloquea de tu sistema de manera típica. Estas cargas útiles a veces pueden mostrar mensajes de advertencia falsos de agencias de aplicación de la ley, notificándote sobre actividades ilegales realizadas en tu sistema.

Puede haber una carga útil de dos etapas en algunos casos, donde la víctima es engañada para ejecutar un script que descarga el virus principal en el sistema. En las primeras versiones del programa de ransomware de doble carga útil, un documento de Microsoft 365 solía contener un script con un Macro VBScript adjunto, o estaba presente en el archivo de la Instalación de Scripts de Windows (WSF).

Además, ciertas cepas de ransomware que cifra archivos utilizan proxies vinculados al servicio oculto de Tor, lo que dificulta rastrear la ubicación exacta del ciberdelincuente.

Ransomware que no cifra

Los programas de ransomware que no cifran no forman parte de las herramientas de cifrado, pero restringen el acceso a tus archivos e información. Hay casos en los que los usuarios son bloqueados de sus sistemas y se muestran imágenes pornográficas, por lo que se les solicita enviar SMS de tarifa premium para recibir un código de desbloqueo. 

El ransomware Winlock siguió un procedimiento similar en agosto de 2010, logrando extorsionar más de $16 millones de diferentes usuarios finales.

A veces, el objetivo principal del malware que no cifra es frustrar al usuario para que intente cerrar la página. En tales casos, los usuarios pueden ver un mensaje de advertencia que los responsabiliza y hace responsables de actos ilegales realizados en su máquina. 

Leakware

También se llama extortionware, doxware y exfiltrationware. En pocas palabras, el leakware es el inverso del ransomware. En lugares donde este último restringe el acceso de un usuario a su información, el leakware amenaza al usuario con exponer su información al público. Los atacantes presionan a la víctima para que pague el rescate para evitar la exposición de sus datos sensibles. 

Los programas de leakware apuntan principalmente a aquellos usuarios que tienen información de terceros almacenada en sus sistemas. Incluye datos de clientes, datos financieros y más. Los usuarios que tienen información como secretos comerciales o información confidencial de un producto también pueden ser objetivos potenciales de tales ataques. La información que es crucial para un usuario, como sus datos de salud sensibles o información embarazosa, también alimenta un ataque de leakware en muchos casos.

Ransomware móvil

Cuando la popularidad del ransomware en los sistemas informáticos creció, su introducción en los teléfonos móviles fue inevitable, ya que era rentable. Los atacantes apuntaron principalmente a los teléfonos inteligentes Android para aprovechar su facilidad para descargar e instalar aplicaciones de fuentes de terceros.

En el ransomware móvil, una persona desprevenida descarga una aplicación que es un programa de ransomware disfrazado como un archivo APK. La carga útil ejecuta un programa que muestra un mensaje de bloqueo o advertencia sobre otras aplicaciones en tu teléfono. A veces, la carga útil puede engañarte para que proporciones privilegios de administrador donde el ransomware puede profundizar en tu dispositivo. 

El ransomware también puede afectar cámaras digitales al explotar vulnerabilidades en el protocolo de transferencia de imágenes (PTP). Tal ataque fue presentado en agosto de 2019 en Defcon como un ataque de prueba de concepto.

Ransomware como Servicio (RaaS)

RaaS satisface las necesidades de un hacker para lanzar un ataque de ransomware. Es como una oferta SaaS, donde algunas organizaciones de ciberdelincuencia cobran una tarifa de licencia mensual, mientras que otras toman una comisión del rescate extorsionado de una víctima.

Una suscripción típica de RaaS se cobra alrededor de $50 y viene con un código de ransomware y una clave de descifrado. Permite a principiantes con pocas habilidades en hacking ingresar al mundo del ciberdelito y probar sus métodos y tácticas maliciosas.

Las organizaciones de RaaS operan de manera sofisticada en la dark web. Como cualquier negocio típico de SaaS, RaaS tiene tres modelos de suscripción: oro, plata y bronce.

Ransomware de doble y triple extorsión

El ransomware de doble y triple extorsión son formas avanzadas e increíblemente maliciosas de ataques de ransomware que han surgido en los últimos años.

La doble extorsión sigue el patrón normal de ataque de ransomware extorsionando a las víctimas para que paguen un rescate dos veces.

El ransomware de triple extorsión lleva las tácticas de extorsión un paso más allá al involucrar una tercera capa de amenaza. Además de cifrar los datos de la víctima y amenazar con filtrarlos, los atacantes también amenazan con interrumpir las operaciones comerciales de la víctima o lanzar un ataque de denegación de servicio distribuido (DDoS) contra sus sistemas si no se paga el rescate.

¿Cuál es el impacto del ransomware? 

Casi una cuarta parte (24%) de los incidentes que involucran malware son ransomware. El impacto de un ataque de ransomware puede ser desastroso. Incluso si pagas el rescate, no hay garantía de que obtendrás acceso a tus datos, lo que puede llevar a consecuencias aún más graves. 

No importará si eres de una organización grande o pequeña; un ataque de ransomware tendrá un impacto en tu capital así como en tu reputación, que es un activo costoso en los negocios. También puede causar un tiempo de inactividad sustancial con un período de recuperación prolongado, impactando devastadoramente tu negocio.

Cómo proteger tu red contra el ransomware

El ransomware es una amenaza persistente para usuarios domésticos y corporativos por igual. Como conduce a la pérdida temporal o permanente de información para una entidad y causa pérdidas financieras y de reputación, es esencial tener estrategias de mitigación en su lugar. Debes adoptar las mejores prácticas en la industria enfocadas en la prevención y respuesta a un ataque de ransomware.

Descargo de responsabilidad: Estas pautas se basan en recomendaciones del Gobierno de EE.UU.. G2 no ofrece asesoramiento legal. Si tienes preguntas legales, consulta a un abogado con licencia.

Capacita a tu personal

Los empleados son quizás el camino más fácil para que los actores cibernéticos penetren tus defensas de seguridad. Es fundamental capacitar a tus empleados contra las técnicas de hackers maliciosos para inyectar malware en tus redes.

Educa a tu personal para que no caiga en intentos de ingeniería social que los engañen para hacer clic en un enlace no solicitado o divulgar sus contraseñas. Es aconsejable probar a tu equipo con correos electrónicos de phishing simulados, pretextos y más.

Adopta medidas preventivas

La mejor manera de proteger tus redes del ransomware es establecer medidas preventivas adecuadas y tomar precauciones. Para evitar la inyección de ransomware, el gobierno de EE.UU. recomienda las siguientes medidas de precaución.

• Implementa un programa de capacitación para difundir la conciencia entre tus empleados y asegúrate de que estén bien informados sobre el ransomware y cómo se entrega.
• Autentica el correo electrónico entrante para prevenir la suplantación de correo electrónico. Asegúrate de tener filtros de spam de correo electrónico para prevenir intentos de phishing.
• Escanea los correos electrónicos entrantes y salientes para evitar que los archivos ejecutables lleguen a los usuarios.
• Bloquea direcciones IP maliciosas configurando tu firewall. 
• Considera usar un sistema de gestión de parches para parchear firmware, software y sistemas operativos en tu computadora.
• Realiza un escaneo regular de virus y malware con software antivirus y software anti-malware.
• Regula los privilegios de acceso de los usuarios de manera efectiva. Asegúrate de que ningún usuario tenga acceso de administrador hasta que sea inevitable. Aquellos que necesiten privilegios de administrador deben usarlos con cuidado y solo cuando sea necesario.
• Gestiona los privilegios de acceso a archivos, directorios y compartidos con la estructura de menor privilegio en mente.
• Considera usar un visor de oficina para abrir archivos de MS-office entregados por correo electrónico en lugar de usar la suite completa. Asegúrate de deshabilitar macros para archivos transferidos por correo electrónico.
• Previene la ejecución de un programa desde ubicaciones comunes de ransomware como carpetas temporales que soportan navegadores de internet populares.
• Si el Protocolo de Escritorio Remoto (RDP) no se está utilizando, considera deshabilitarlo.
• Permite la ejecución de programas solo desde fuentes conocidas y confiables.
• Usa entornos virtualizados para usar entornos de sistemas operativos o ciertos programas.
• Habilita la separación lógica y física de redes para diferentes unidades en tu organización mientras categorizas los datos según el valor organizacional.

Asegura la continuidad del negocio

Como los ataques de ransomware pueden causar una pérdida temporal o permanente de datos, es aconsejable tener una copia de seguridad de datos lista. Te ayudará a asegurar la continuidad del negocio si ocurre el desafortunado incidente. 

El gobierno de EE.UU. recomienda realizar pruebas de penetración y evaluación de vulnerabilidades al menos una vez al año.

Asegúrate de que tus copias de seguridad estén seguras y no estén conectadas permanentemente a la computadora o redes que están respaldando. Hay casos en los que las copias de seguridad en la nube podrían estar bloqueadas en un incidente de ransomware, en el que los sistemas y redes respaldan la información en tiempo real. Estos son fundamentales para la respuesta a incidentes y la recuperación, ya que te ayudan a ponerte en marcha para evitar el tiempo de inactividad cuando ocurren incidentes.

Ejemplos reales de ataques de ransomware

Los ataques de ransomware han causado estragos para individuos y corporaciones durante años. Aquí hay algunos ataques de ransomware de los que aprender.

Reveton

Un ransomware conocido como Reveton, basado en el troyano Citadel, se propagó en 2012 en países europeos. Su carga útil mostraba un mensaje alarmante de agencias de aplicación de la ley, afirmando que ha habido actividades ilegales como la descarga de software no autorizado o pornografía infantil en tu máquina. El mensaje solicitaba a los usuarios pagar una multa utilizando un vale de servicio de efectivo anónimo prepagado como un Paysafecard.

Para amplificar la falsa ilusión, se mostraban a los usuarios sus direcciones IP y grabaciones de su cámara web para demostrar que estaban siendo rastreados y que el mensaje era realmente de una agencia de aplicación de la ley. 

El troyano ransomware utilizó logotipos del Servicio de Policía Metropolitana, la Unidad Nacional de Ciberdelitos de la Policía y la sociedad de recaudación de regalías PRS for Music, específicamente cuando acusaba al usuario de descargar música ilegal. En 2012, inicialmente comenzó a propagarse en países europeos, y más tarde, en agosto de 2012, se descubrieron variantes de Reveton en los Estados Unidos.

Cryptolocker 

El ataque de ransomware Cyptolocker apareció por primera vez en septiembre de 2013 e infectó máquinas que usaban sistemas operativos Microsoft Windows. El ransomware se transmitió como un archivo adjunto de correo electrónico que aprovechó que el sistema operativo Windows no mostraba la extensión del archivo y lo disfrazaba como un archivo PDF. Como era un ransomware que cifraba archivos, mostraba un mensaje para realizar un pago en Bitcoin o vales prepagados para desbloquear los archivos antes de una fecha límite establecida.

Se cree que Cryptolocker extorsionó alrededor de $3 millones de las víctimas antes de ser aislado en mayo de 2014 por la Operación Torvar, que desmanteló la botnet Gameover Zeus utilizada para su distribución.

En septiembre de 2014, los usuarios en Australia fueron atacados por un ransomware conocido como Cryptolocker. F, identificado por Semantic y no relacionado con el Cryptolocker original debido a la diferencia en las operaciones. El troyano malware se propagó a través de correos electrónicos disfrazados como avisos de entrega de paquetes fallidos de Australia Post para evadir los escáneres de correo electrónico. La carga útil se desplegó cuando un usuario visitó una página web e ingresó un código CAPTCHA. 

CryptoWall

CryptoWall apareció en 2014, donde apuntó a usuarios con sistemas operativos Windows. Una cepa de CryptoWall se propagó a través de malvertising en la red de anuncios Zedo, apuntando a varios sitios web prominentes. Desplegó la carga útil después de redirigir a los usuarios a sitios web maliciosos y utilizó el kit de explotación de complementos del navegador. Barracuda Networks observó que la carga útil estaba firmada con la firma digital para dar una falsa apariencia de autenticidad. 

CryptoWall 3.0 se distribuyó a través de correos electrónicos fraudulentos que desplegaron la carga útil ejecutando un código malicioso en el JavaScript, disfrazado como un archivo .jpg en el archivo adjunto del correo electrónico. También creó nuevas instancias de explorer.exe y svchost.exe para comunicarse con los servidores y evadir la detección.

El ransomware eliminó la copia de sombra de volumen e instaló spyware para robar contraseñas y billeteras de Bitcoin durante el cifrado. Alrededor de 1000 víctimas contactaron al FBI para informar sobre la infección de CryptoWall con una pérdida estimada de al menos $18 millones. La última cepa de ransomware, CryptoWall 4.0, modificó su código para evitar la detección de antivirus, y cifró archivos así como los nombres de los archivos. 

Fusob

Fusob apareció en 2015 como un ransomware móvil típico, que asusta a los usuarios para extorsionarlos. Muestra mensajes de advertencia para pagar una multa por cometer actividades ilegales en tu dispositivo, o de lo contrario enfrentar consecuencias legales. El ransomware se disfraza como un reproductor de video pornográfico y engaña a los usuarios para que lo descarguen. 

Cuando se descarga, Fusob verifica el idioma del dispositivo móvil; si usa cualquier idioma que no sea ruso o ciertos idiomas de Europa del Este, bloquea el sistema y exige un rescate para desbloquearlo. El ransomware afectó a víctimas en Alemania, el Reino Unido y los EE.UU.

WannaCry

El ransomware WannaCry utiliza un vector de explotación llamado Eternal Blue, que supuestamente fue filtrado por la Agencia de Seguridad Nacional de EE.UU. (NSA). Apareció en mayo de 2017 y se propagó en más de 150 países donde exigió un rescate en Bitcoin. 

El atacante dio a las víctimas un plazo de siete días, después del cual si no se pagaba un rescate de $300, eliminarían los datos y archivos cifrados. Afectó al Servicio Nacional de Salud Británico (NHS) hasta el punto en que 16 hospitales tuvieron que cancelar citas de pacientes y operaciones programadas.

Petya

El ransomware Petya hizo su aparición en marzo de 2016. Apuntó al registro de arranque maestro al cifrar el sistema de archivos NTFS. Cuando el sistema se reinició, Petya lo bloqueó para que no pudiera arrancar en Windows. En junio de 2017, una cepa de Petya se utilizó para llevar a cabo un ciberataque global principalmente dirigido a Ucrania, pero también afectó a varios otros países. 

Los expertos en seguridad especularon que el ataque no estaba destinado a extorsionar rescate del usuario, sino a causar interrupciones. Debido a ciertos cambios de diseño, no había forma de desbloquearlo después de que se pagara el rescate.

SamSam

En 2016, surgió una nueva variante de ransomware llamada SamSam, que estaba dirigida a servidores Jboss. Explotó vulnerabilidades en servidores débiles utilizando un ataque de fuerza bruta de protocolo de escritorio remoto (RDP) para adivinar contraseñas débiles hasta que se rompiera una. 

Apuntó a agencias de salud y gobierno, a través de las cuales los autores extorsionaron alrededor de $6 millones y causaron una pérdida estimada de más de $30 millones en daños.

Protege tus activos del ransomware

El ransomware ha causado un daño tremendo a instituciones y organizaciones en términos de finanzas y reputación. Nunca puedes predecir cuándo y cómo puede aparecer en tu puerta digital. Lo único que puedes hacer es estar consciente y preparado, siempre.

¿Listo para dar el siguiente paso? Explora herramientas de análisis de malware para aislar e investigar diferentes malware en tu sistema.   

Este artículo fue publicado originalmente en 2020. El contenido ha sido actualizado con nueva información.