Los ataques de ransomware han tomado relevancia para los responsables de la ciberseguridad en México, por ejemplo, tres de cada cuatro mexicanos temen sufrir un ciberataque en internet que represente un fraude económico o una suplantación de identidad, según una encuesta de la Asociación del Internet MX (Amix).
México ocupa el lugar seis a nivel mundial en total de ataques de ransomware, indicó la firma SonicWall, especializada en ciberseguridad.
En los ataques de ransomware, sus objetivos son toda clase de archivos. Desde los documentos personales más sencillos hasta aquellos que dentro de las organizaciones resultan esenciales para la operación del negocio.
A la actividad de ransomware se le considera la mayor amenaza en cuanto a ciberdelincuencia, no solo por la variedad y frecuencia creciente de los ataques, sino porque afecta la operación de servicios críticos como hospitales o el suministro energético en muchos lugares del mundo.
El volumen mundial de ataques criptográficos aumentó 659 por ciento y las amenazas cifradas se dispararon 117 por ciento, ya que los ciberdelincuentes optaron por medios más sigilosos y menos arriesgados para sus actividades maliciosas, registró el análisis de SonicWall.
Entre 2018 y 2023, estos ciberataques también han mejorado su alcance y complejidad. Se han sectorizado para dirigirse principalmente hacia el sistema financiero, la industria, la manufactura o grandes corporativos internacionales.
De acuerdo con el documento, los intentos de amenazas mediante malware aumentaron 11 por ciento en 2023, siendo en América Latina y Estados Unidos las zonas de mayor incidencia, con incrementos de 30 y 15 por ciento, respectivamente.
Getastra reportó que el costo promedio de cada ataque de ransomware es de alrededor de $1.85 millones de dólares.
De ahí que agencias de seguridad nacional ya hayan puesto atención en los grupos criminales que los despliegan.
Infografía Ransomware en México
¿Qué es el ransomware y cómo funciona?
El ransomware es un malware (software malicioso), que bloquea el acceso a un sistema informático y pide el pago de una recompensa para supuestamente liberarlo.
El código malicioso hace un cifrado parcial o total de archivos de los sistemas operativos o de sistemas informáticos completos, impide el acceso a los mismos y exige el pago de un rescate.
Siendo la finalidad del ransomware el lucro económico, hay tres modalidades o tipos de ataques que se llevan a cabo regularmente:
- El ciberrobo
- La extorsión
- El sabotaje de instalaciones civiles o militares
¿Cómo funciona un ataque de ransomware?
Su funcionamiento es relativamente simple de explicar: los atacantes o cibercriminales se apropian de los archivos, cifrándolos para que no sea posible acceder a ellos.
En la pantalla del usuario se muestra un mensaje donde se dice que, para recuperar el acceso, la víctima del ataque debe pagar una cierta cantidad de dinero de acuerdo con las exigencias de los atacantes.
En general, los expertos en el tema recomiendan que nunca se pague el rescate, sin importar que se considere a los archivos secuestrados como de elevado valor o imprescindibles.
Argumentan que lo usual es que no se recupere el acceso después de haber pagado, y que, aún si llega a suceder, se vuelve a caer en las garras del ransomware.
Si se paga el rescate, los atacantes liberan una clave de descifrado, también conocida como llave de desencriptación, para ser usada por la víctima en la recuperación de su información.
En febrero de 2023, la firma especializada en el respaldo de datos Veaam lanzó una garantía ransomware, con la que cubrirá hasta $5 millones de dólares del costo de la recuperación de información.
Historia y primeros casos de ataques ransomware
A partir de 1989, “ransomware” es el nombre que se utiliza para identificar un tipo de malware que permite a los atacantes el secuestro de archivos o equipos informáticos, mediante el bloqueo de su acceso y la exigencia del pago de un rescate.
Nacimiento del virus AIDS Trojan
Ese año, 1989, surge el virus PC Cyborg o AIDS Trojan, identificado como el precursor del ransomware.
Su creación se atribuye a Joseph L. Popp, un biólogo evolutivo y consultor para la Organización Mundial de la Salud (OMS), muy involucrado en los trabajos de investigación relacionados con el VIH/Sida (AIDS).
El virus se distribuyó entre los participantes a una reunión mundial de la OMS a través de 20,000 disquetes infectados.
Su herramienta era la criptografía simétrica. Cifraba todos los archivos del directorio C y, tras 90 reinicios del equipo, aparecía un mensaje para solicitar el envío de $189 dólares mediante correo postal a una cuenta de PC Cyborg en Panamá, para recuperar el acceso a su información.
Evolución del Trojan a CryptoLocker
En los siguientes 10 años surgieron variantes. No obstante, hasta 2004 se identificó una amenaza relevante: GpCode, que utilizó un cifrado RSA débil para secuestrar archivos a cambio de un rescate.
CryptoLocker apareció en septiembre en 2013. Para éste, el cifrado de archivos se hacía con algoritmos robustos RSA de 2048 bits. También a partir de 2013 comienza la presencia de ransomware en dispositivos móviles. En estos lo usual es mostrar un mensaje que indica que el dispositivo ha sido bloqueado debido a algún tipo de actividad ilegal.
¿Cómo se propaga en una red o sistemas informáticos el ransomware?
La propagación del ransomware sucede a través de varias modalidades, que bien se pueden agrupar en dos bloques:
Errores humanos
Errores humanos, ya que por ingenuidad o descuido se abren archivos adjuntos de correo electrónico de origen dudoso, se activan enlaces de phishing o bien se utilizan dispositivos extraíbles de procedencia cuestionable.
Sin intervención del usuario, como son los casos de la publicidad maliciosa o Malvertising, la propagación de la red y las descargas automáticas.
Software pirateado
El software pirateado es una de las fuentes principales de ransomware. Suele contener piezas de AdWare que bien pueden ser malvertising, pero también presenta como vulnerabilidad el hecho de no recibir actualizaciones oficiales por parte del desarrollador, con lo cual se incrementa el riesgo de sufrir ataques.
¿Cómo detectar el ransomware? Primeras señales de infección
Las entidades que se dedican a evaluar los ataques de ransomware desarrollan guías y recomendaciones para detectar la presencia de infecciones en los sistemas informáticos, tanto en las organizaciones como en el ámbito individual.
Recomendaciones para usuarios en lo individual contra el ransomware
Para los usuarios en lo individual, tales recomendaciones incluyen:
- Verificar la aparición de cualquier nota o texto que solicite un pago por rescate.
- Revisar el rendimiento del equipo. Si ha disminuido considerablemente puede deberse al proceso de cifrado de archivos que consume muchos recursos y satura el o los discos duros.
- Incremento inusual en el uso del disco duro, que responde también al proceso de cifrado de archivos y su modificación.
- Alertas de seguridad del software antivirus que indiquen posible ransomware en el equipo.
- Tareas programadas no previstas
- Análisis forense
Recomendaciones para detectar ransomware en una organización
Entre las medidas que se recomiendan para detectar ransomware en una red o en una organización, están las siguientes:
- analizar el tráfico de red hacia el exterior y el interior
- analizar los registros de los posibles puntos de entrada (Firewall perimetral, correo electrónico).
El phishing por medio del correo electrónico es una vulnerabilidad importante, ya que se usa como una de las tácticas de ingeniería social que reportan buenos resultados a los atacantes.
En México ocho de cada 10 empresas reportaron haber detectado y contenido exitosamente ataques de malware, entre 2021 y 2022, según datos de la Asociación de Internet Mx (Aimx).
Medidas de prevención contra el ransomware
En el ámbito organizacional, las principales medidas preventivas comienzan por desarrollar una cultura de seguridad que incluya tener copias de seguridad de los datos, cifradas y fuera del circuito de conexión del sistema.
También hay que incluir copias de seguridad de la nube.
Adicionalmente se debe tener listo un plan de recuperación y las estrategias aplicables para detener cualquier posible ataque antes de que se produzca.
Tipos de ransomware
La manera en que el malware afecta el funcionamiento del equipo de cómputo permite clasificar el ransomware en uno de estos dos tipos:
Ransomware bloqueador de computadora
Conocido como ransomware bloqueador, impide el acceso a la interfaz del equipo de cómputo; usualmente no afecta los archivos o el sistema.
Ransomware bloqueador de datos
A esta categoría se le conoce como cripto ransomware. El software escanea los archivos para identificar aquellos sensibles o valiosos, les cambia la extensión y, por ende, bloquea el acceso.
Se considera más peligroso que el bloqueador de computadora.
Nuevas variantes de ransomware
Como parte de la evolución, en los años recientes han surgido estas variantes en los tipos de ransomware:
Scareware
Se enmascara como software antivirus, presiona a la víctima para comprar una licencia antivirus que resulta ser falsa y una vez instalada, actúa como malware.
Leakware o doxware
Se comporta como un chantaje, creando un estado de pánico en la víctima, ya que se le amenaza con la publicación de su información privada, usualmente almacenada como fotos o videos.
Ransomware como Servicio (RaaS)
Es un modelo de negocio considerado emergente, en la dark web.
Aquí se conjugan los hackers con desarrolladores de software a pedido, donde cada parte se lleva un porcentaje del monto cobrado por el rescate.
LockBit 2.0 es el principal grupo criminal de ransomware que actúa en México.
Ataques más famosos de ransomware
AIDS Trojan
AIDS Trojan está identificado como el origen del más viejo de los ataques de ransomware, en 1989. Tal y como ya lo mencionamos arriba, el virus se distribuyó a través de 20 mil disquetes infectados en una reunión mundial de la OMS acerca del SIDA.
Se le considera el precursor de los ataques de ransomware. Ha aparecido como malware en forma recurrente desde 2005.
Reveton
Reveton, surge en 2012, se le califica como la “primera gran amenaza”.
Este malware infecto millones de máquinas en todo el mundo y se le conoce popularmente como el Troyano de la Policía.
Se le conoce así porque en la pantalla del equipo infectado aparecía un mensaje supuestamente de un grupo de seguridad del estado, informando que el ordenador se había utilizado para actividades ilegales, como podría ser la pornografía infantil.
CryptoLocker
CryptoLocker marca 2013 como el año del gran ataque de ransomware.
Su alcance fue superior al medio millón de computadoras con más de 3 millones de dólares pagados por rescate.
La variante original ya no es una amenaza, aunque sus clones si lo son, como ha sido el caso de CryptoWall en 2014.
WannaCry
WannaCry es el gran protagonista en mayo de 2017.
Más de 300 mil computadoras en 150 países fueron afectadas por este ataque cibernético masivo. “¡Ups, tus archivos han sido encriptados!”, decía el mensaje de ransomware, conocido como WannaCryptor o WannaCry (quieres llorar).
Los atacantes pedían el pago de $300 dólares en la moneda electrónica bitcoin para que los sistemas fueran liberados.
Petya
El ataque de ransomware Petya se produjo por primera vez en 2016 y un año después reapareció como GoldenEye, también conocido como el “hermano letal de WannaCry”.
Este malware hacía el cifrado de todo el disco duro de la víctima, en vez de atacar los archivos. GoldenEye estuvo presente en el lamentablemente famoso incidente de la planta de energía nuclear de Chernobyl.
Bad Rabbit
Bad Rabbit hizo estragos hacia finales de 2017, principalmente en Rusia y Europa del Este.