Ransomware: Guía práctica para evitarlo

ESPECIAL

Ransomware: Guía práctica para saber qué es, cómo detectarlo y cómo evitarlo



Dirección copiada

A la actividad de ransomware se le considera la mayor amenaza en ciberdelincuencia, no solo por la variedad y frecuencia creciente de los ataques, sino también porque afecta la operación de servicios críticos

Actualizado el 29 abr 2024



ransomware
Crédito: Shutterstock

Los ataques de ransomware han tomado relevancia para los responsables de la ciberseguridad  en México, por ejemplo, ocho de cada 10 empresas reportaron haber detectado y contenido exitosamente este tipo de actos, entre 2021 y 2022, según la Asociación de Internet Mx (Aimx).

Sus objetivos son toda clase de archivos. Desde los documentos personales más sencillos hasta aquellos que dentro de las organizaciones resultan esenciales para la operación del negocio.

A la actividad de ransomware se le considera la mayor amenaza en cuanto a ciberdelincuencia, no solo por la variedad y frecuencia creciente de los ataques, sino porque afecta la operación de servicios críticos como hospitales o el suministro energético en muchos lugares del mundo.

De acuerdo con Statista, alrededor de 70% de las organizaciones a nivel mundial sufrieron de ransomware en 2022. Esto representa un incremento sostenido desde 2018, año en el que 55% de las organizaciones se declaraban víctimas de tales ataques.

Entre 2018 y 2023, estos también han mejorado su alcance y complejidad. Se han sectorizado para dirigirse principalmente hacia el sistema financiero, la industria, la manufactura o grandes corporativos internacionales.

Getastra reportó que el costo promedio de cada ataque de ransomware es de alrededor de $1.85 millones de dólares.

De ahí que agencias de seguridad nacional ya hayan puesto atención en los grupos criminales que los despliegan.

El FBI logró intervenir y desactivar las operaciones del grupo HIVE.

¿Qué es el ransomware y cómo funciona?

El ransomware es un malware (software malicioso), que bloquea el acceso a un sistema informático y pide el pago de una recompensa para supuestamente liberarlo.

El código malicioso hace un cifrado parcial o total de archivos de los sistemas operativos o de sistemas informáticos completos, impide el acceso a los mismos y exige el pago de un rescate.

Siendo la finalidad del ransomware el lucro económico, hay tres modalidades o tipos de ataques que se llevan a cabo regularmente:

  1. El ciberrobo
  2. La extorsión
  3. El sabotaje de instalaciones civiles o militares

¿Cómo funciona un ataque de ransomware?

Su funcionamiento es relativamente simple de explicar: los atacantes o cibercriminales se apropian de los archivos, cifrándolos para que no sea posible acceder a ellos.

En la pantalla del usuario se muestra un mensaje donde se dice que, para recuperar el acceso, la víctima del ataque debe pagar una cierta cantidad de dinero de acuerdo con las exigencias de los atacantes.

En general, los expertos en el tema recomiendan que nunca se pague el rescate, sin importar que se considere a los archivos secuestrados como de elevado valor o imprescindibles.

Argumentan que lo usual es que no se recupere el acceso después de haber pagado, y que, aún si llega a suceder, se vuelve a caer en las garras del ransomware.

Si se paga el rescate, los atacantes liberan una clave de descifrado, también conocida como llave de desencriptación, para ser usada por la víctima en la recuperación de su información.

En febrero de 2023, la firma especializada en el respaldo de datos Veaam lanzó una garantía ransomware, con la que cubrirá hasta $5 millones de dólares del costo de la recuperación de información.

Historia y primeros casos de ataques ransomware

A partir de 1989, “ransomware” es el nombre que se utiliza para identificar un tipo de malware que permite a los atacantes el secuestro de archivos o equipos informáticos, mediante el bloqueo de su acceso y la exigencia del pago de un rescate.

Nacimiento del virus AIDS Trojan

Ese año, 1989, surge el virus PC Cyborg o AIDS Trojan, identificado como el precursor del ransomware.

Su creación se atribuye a Joseph L. Popp, un biólogo evolutivo y consultor para la Organización Mundial de la Salud (OMS), muy involucrado en los trabajos de investigación relacionados con el VIH/Sida (AIDS).

El virus se distribuyó entre los participantes a una reunión mundial de la OMS a través de 20,000 disquetes infectados.

Su herramienta era la criptografía simétrica. Cifraba todos los archivos del directorio C y, tras 90 reinicios del equipo, aparecía un mensaje para solicitar el envío de $189 dólares mediante correo postal a una cuenta de PC Cyborg en Panamá, para recuperar el acceso a su información.

Evolución del Trojan a CryptoLocker

En los siguientes 10 años surgieron variantes. No obstante, hasta 2004 se identificó una amenaza relevante: GpCode, que utilizó un cifrado RSA débil para secuestrar archivos a cambio de un rescate.

CryptoLocker apareció en septiembre en 2013. Para éste, el cifrado de archivos se hacía con algoritmos robustos RSA de 2048 bits. También a partir de 2013 comienza la presencia de ransomware en dispositivos móviles. En estos lo usual es mostrar un mensaje que indica que el dispositivo ha sido bloqueado debido a algún tipo de actividad ilegal.

¿Cómo se propaga en una red o sistemas informáticos el ransomware?

La propagación del ransomware sucede a través de varias modalidades, que bien se pueden agrupar en dos bloques:

Errores humanos

Errores humanos, ya que por ingenuidad o descuido se abren archivos adjuntos de correo electrónico de origen dudoso, se activan enlaces de phishing o bien se utilizan dispositivos extraíbles de procedencia cuestionable.
Sin intervención del usuario, como son los casos de la publicidad maliciosa o Malvertising, la propagación de la red y las descargas automáticas.

Software pirateado

El software pirateado es una de las fuentes principales de ransomware. Suele contener piezas de AdWare que bien pueden ser malvertising, pero también presenta como vulnerabilidad el hecho de no recibir actualizaciones oficiales por parte del desarrollador, con lo cual se incrementa el riesgo de sufrir ataques.

¿Cómo detectar el ransomware? Primeras señales de infección

Las entidades que se dedican a evaluar los ataques de ransomware desarrollan guías y recomendaciones para detectar la presencia de infecciones en los sistemas informáticos, tanto en las organizaciones como en el ámbito individual.

Recomendaciones para usuarios en lo individual contra el ransomware

Para los usuarios en lo individual, tales recomendaciones incluyen:

  1. Verificar la aparición de cualquier nota o texto que solicite un pago por rescate.
  2. Revisar el rendimiento del equipo. Si ha disminuido considerablemente puede deberse al proceso de cifrado de archivos que consume muchos recursos y satura el o los discos duros.
  3. Incremento inusual en el uso del disco duro, que responde también al proceso de cifrado de archivos y su modificación.
  4. Alertas de seguridad del software antivirus que indiquen posible ransomware en el equipo.
  5. Tareas programadas no previstas
  6. Análisis forense

Recomendaciones para detectar ransomware en una organización

Entre las medidas que se recomiendan para detectar ransomware en una red o en una organización, están las siguientes:

  • analizar el tráfico de red hacia el exterior y el interior
  • analizar los registros de los posibles puntos de entrada (Firewall perimetral, correo electrónico).

El phishing por medio del correo electrónico es una vulnerabilidad importante, ya que se usa como una de las tácticas de ingeniería social que reportan buenos resultados a los atacantes.

En México ocho de cada 10 empresas reportaron haber detectado y contenido exitosamente ataques de malware, entre 2021 y 2022, según datos de la Asociación de Internet Mx (Aimx).

Medidas de prevención contra el ransomware

En el ámbito organizacional, las principales medidas preventivas comienzan por desarrollar una cultura de seguridad que incluya tener copias de seguridad de los datos, cifradas y fuera del circuito de conexión del sistema.

También hay que incluir copias de seguridad de la nube.

Adicionalmente se debe tener listo un plan de recuperación y las estrategias aplicables para detener cualquier posible ataque antes de que se produzca.

Tipos de ransomware

La manera en que el malware afecta el funcionamiento del equipo de cómputo permite clasificar el ransomware en uno de estos dos tipos:

Ransomware bloqueador de computadora

Conocido como ransomware bloqueador, impide el acceso a la interfaz del equipo de cómputo; usualmente no afecta los archivos o el sistema.

Ransomware bloqueador de datos

A esta categoría se le conoce como cripto ransomware. El software escanea los archivos para identificar aquellos sensibles o valiosos, les cambia la extensión y, por ende, bloquea el acceso.

Se considera más peligroso que el bloqueador de computadora.

Nuevas variantes de ransomware

Como parte de la evolución, en los años recientes han surgido estas variantes en los tipos de ransomware:

Scareware

Se enmascara como software antivirus, presiona a la víctima para comprar una licencia antivirus que resulta ser falsa y una vez instalada, actúa como malware.

Leakware o doxware

Se comporta como un chantaje, creando un estado de pánico en la víctima, ya que se le amenaza con la publicación de su información privada, usualmente almacenada como fotos o videos.

Ransomware como Servicio (RaaS)

Es un modelo de negocio considerado emergente, en la dark web.

Aquí se conjugan los hackers con desarrolladores de software a pedido, donde cada parte se lleva un porcentaje del monto cobrado por el rescate.

LockBit 2.0 es el principal grupo criminal de ransomware que actúa en México.

Ataques más famosos de ransomware

AIDS Trojan

AIDS Trojan está identificado como el origen del más viejo de los ataques de ransomware, en 1989. Tal y como ya lo mencionamos arriba, el virus se distribuyó a través de 20 mil disquetes infectados en una reunión mundial de la OMS acerca del SIDA.

Se le considera el precursor de los ataques de ransomware. Ha aparecido como malware en forma recurrente desde 2005.

Reveton

Reveton, surge en 2012, se le califica como la “primera gran amenaza”.

Este malware infecto millones de máquinas en todo el mundo y se le conoce popularmente como el Troyano de la Policía.

Se le conoce así porque en la pantalla del equipo infectado aparecía un mensaje supuestamente de un grupo de seguridad del estado, informando que el ordenador se había utilizado para actividades ilegales, como podría ser la pornografía infantil.

CryptoLocker

CryptoLocker marca 2013 como el año del gran ataque de ransomware.

Su alcance fue superior al medio millón de computadoras con más de 3 millones de dólares pagados por rescate.

La variante original ya no es una amenaza, aunque sus clones si lo son, como ha sido el caso de CryptoWall en 2014.

WannaCry

WannaCry es el gran protagonista en mayo de 2017.

Más de 300 mil computadoras en 150 países fueron afectadas por este ataque cibernético masivo. “¡Ups, tus archivos han sido encriptados!”, decía el mensaje de ransomware, conocido como WannaCryptor o WannaCry (quieres llorar).

Los atacantes pedían el pago de $300 dólares en la moneda electrónica bitcoin para que los sistemas fueran liberados.

Petya

El ataque de ransomware Petya se produjo por primera vez en 2016 y un año después reapareció como GoldenEye, también conocido como el “hermano letal de WannaCry”. 

Este malware hacía el cifrado de todo el disco duro de la víctima, en vez de atacar los archivos. GoldenEye estuvo presente en el lamentablemente famoso incidente de la planta de energía nuclear de Chernobyl.

Bad Rabbit

Bad Rabbit hizo estragos hacia finales de 2017, principalmente en Rusia y Europa del Este.

Artículos relacionados

Artículo 1 de 5