Ransomware: La guía práctica para saber qué es, cómo detectarlo y evitarlo | IT Masters Mag

Ransomware: La guía práctica para saber qué es, cómo detectarlo y evitarlo

Publicado el 29 Mar 2023

Redacción IT Masters Mag

Crédito: Shutterstock

Marcela Padua

Los ataques de ransomware han tomado relevancia para los responsables de la ciberseguridad  en México, por ejemplo, ocho de cada 10 empresas reportaron haber detectado y contenido exitosamente este tipo de actos, entre 2021 y 2022, según la Asociación de Internet Mx (Aimx).

Sus objetivos son toda clase de archivos. Desde los documentos personales más sencillos hasta aquellos que dentro de las organizaciones resultan esenciales para la operación del negocio.

A la actividad de ransomware se le considera la mayor amenaza en cuanto a ciberdelincuencia, no solo por la variedad y frecuencia creciente de los ataques, sino también porque se afecta la operación de servicios críticos como hospitales o el suministro energético en muchos lugares del mundo.

De acuerdo con Statista, alrededor de 70% de las organizaciones a nivel mundial sufrieron de ransomware en 2022. Esto representa un incremento sostenido desde 2018, año en el que 55% de las organizaciones se declaraban víctimas de tales ataques. El año pasado se rompió el récord en el número de ataques.

Entre 2018 y 2023, estos también han mejorado su alcance y complejidad. Se han sectorizado para dirigirse principalmente hacia el sistema financiero, la industria, la manufactura o grandes corporativos internacionales.

Getastra reportó que el costo promedio de cada ataque de ransomware es de alrederdor de $1.85 millones de dólares. De ahí que agencias de seguridad nacional ya hayan puesto atención en los grupos criminales que los despliegan. El FBI logró intervenir y desactivar las operaciones del grupo HIVE.

¿Qué es el ransomware y cómo funciona?

El ransomware es un malware (software malicioso) que bloquea el acceso a un sistema informático y pide el pago de una recompensa para supuestamente liberarlo.

El código malicioso hace un cifrado parcial o total de archivos de los sistemas operativos o de sistemas informáticos completos, impide el acceso a los mismos y exige el pago de un rescate.

Siendo la finalidad del ransomware el lucro económico, hay tres modalidades o tipos de ataques que se llevan a cabo regularmente: el ciberrobo, la extorsión y el sabotaje de instalaciones civiles o militares.

Su funcionamiento es relativamente simple de explicar: los atacantes o cibercriminales se apropian de los archivos, cifrándolos para que no sea posible acceder a ellos. E; en la pantalla del usuario se muestra un mensaje donde se dice que, para recuperar el acceso, la víctima del ataque debe pagar una cierta cantidad de dinero de acuerdo con las exigencias de los atacantes.

En general, los expertos en el tema recomiendan que nunca se pague el rescate, sin importar que se considere a los archivos secuestrados como de elevado valor o imprescindibles. Argumentan que lo usual es que no se recupere el acceso después de haber pagado, y que, aún si llega a suceder, se vuelve a caer en las garras del ransomware.

Si se paga el rescate, los atacantes liberan una clave de descifrado, también conocida como llave de desencriptación, para ser usada por la víctima en la recuperación de su información.

En febrero de 2023, la firma especializada en el respaldo de datos Veaam lanzó una garantía ransomware, con la que cubrirá hasta $5 millones de dólares del costo de la recuperación de información.

Historia y primeros casos

A partir de 1989, “ransomware” es el nombre que se utiliza para identificar un tipo de malware que permite a los atacantes el secuestro de archivos o equipos informáticos, mediante el bloqueo de su acceso y la exigencia del pago de un rescate.

Ese año surge el virus PC Cyborg o AIDS Trojan, identificado como el precursor del ransomware. Su creación se atribuye a Joseph L. Popp, un biólogo evolutivo y consultor para la Organización Mundial de la Salud (OMS), muy involucrado en los trabajos de investigación relacionados con el VIH/Sida (AIDS).   

El virus se distribuyó entre los participantes a una reunión mundial de la OMS a través de 20,000 disquetes infectados.

Su herramienta era la criptografía simétrica. Cifraba todos los archivos del directorio C y, tras 90 reinicios del equipo, aparecía un mensaje para solicitar el envío de $189 dólares mediante correo postal a una cuenta de PC Cyborg en Panamá, para recuperar el acceso a su información.

En los siguientes 10 años surgieron variantes. No obstante, hasta 2004 se identificó una amenaza relevante: GpCode, que utilizó un cifrado RSA débil para secuestrar archivos a cambio de un rescate.

CryptoLocker apareció en septiembre en 2013. Para éste, el cifrado de archivos se hacía con algoritmos robustos RSA de 2048 bits. También a partir de 2013 comienza la presencia de ransomware en dispositivos móviles. En estos lo usual es mostrar un mensaje que indica que el dispositivo ha sido bloqueado debido a algún tipo de actividad ilegal. 

¿Cómo se propaga en una red o sistemas informáticos?

La propagación del ransomware sucede a través de varias modalidades, que bien se pueden agrupar en dos bloques:

Errores humanos, ya que por ingenuidad o descuido se abren archivos adjuntos de correo electrónico de origen dudoso, se activan enlaces de phishing o bien se utilizan dispositivos extraíbles de procedencia cuestionable.
Sin intervención del usuario, como son los casos de la publicidad maliciosa o Malvertising, la propagación de la red y las descargas automáticas.

El software pirateado es una de las fuentes principales de ransomware. Suele contener piezas de AdWare que bien pueden ser malvertising, pero también presenta como vulnerabilidad el hecho de no recibir actualizaciones oficiales por parte del desarrollador, con lo cual se incrementa el riesgo de sufrir ataques.

¿Como detectarlo? Primeras señales de infección

Las entidades que se dedican a evaluar los ataques de ransomware, así como a la aplicación de técnicas forenses para profundizar en la comprensión de las nuevas modalidades utilizadas por los ciberdelincuentes, desarrollan guías y recomendaciones para detectar la presencia de infecciones en los sistemas informáticos, tanto en las organizaciones como en el ámbito individual.

Para los usuarios en lo individual, tales recomendaciones incluyen:

  1. Verificar la aparición de cualquier nota o texto que solicite un pago por rescate.
  2. Revisar el rendimiento del equipo. Si ha disminuido considerablemente puede deberse al proceso de cifrado de archivos que consume muchos recursos y satura el o los discos duros.
  3. Incremento inusual en el uso del disco duro, que responde también al proceso de cifrado de archivos y su modificación.
  4. Alertas de seguridad del software antivirus que indiquen posible ransomware en el equipo.
  5. Tareas programadas no previstas
  6. Análisis forense

Entre las medidas que se recomiendan para detectar ransomware en una red o en una organización, están las siguientes: analizar el tráfico de red hacia el exterior y el interior, los registros de los posibles puntos de entrada (Firewall perimetral, correo electrónico).

El phishing por medio del correo electrónico es una vulnerabilidad importante, ya que se usa como una de las tácticas de ingeniería social que reportan buenos resultados a los atacantes.

En México ocho de cada 10 empresas reportaron haber detectado y contenido exitosamente ataques de malware, entre 2021 y 2022, según datos de la Asociación de Internet Mx (Aimx).

Medidas de prevención

En el ámbito organizacional, las principales medidas preventivas comienzan por desarrollar una cultura de seguridad que incluya tener copias de seguridad de los datos, cifradas y fuera del circuito de conexión del sistema. También hay que incluir copias de seguridad de la nube.

Adicionalmente se debe tener listo un plan de recuperación y las estrategias aplicables para detener cualquier posible ataque antes de que se produzca.

Tipos de ransomware

La manera en que el malware afecta el funcionamiento del equipo de cómputo permite clasificar el ransomware en uno de estos dos tipos:

Tipo x

Bloqueador de computadora
O ransomware bloqueador, impide el acceso a la interfaz del equipo de cómputo; usualmente no afecta los archivos o el sistema

Tipo xx

Bloqueador de datos

A esta categoría se le conoce como cripto ransomware. El software escanea los archivos para identificar aquellos sensibles o valiosos, les cambia la extensión y, por ende, bloquea el acceso. Se considera más peligroso que el bloqueador de computadora.

Tipo xxx

Como parte de la evolución, en los años recientes han surgido estas variantes en los tipos de ransomware:

Scareware
Se enmascara como software antivirus, presiona a la víctima para comprar una licencia antivirus que resulta ser falsa y una vez instalada, actúa como malware.

Leakware o doxware
Se comporta como un chantaje, creando un estado de pánico en la víctima, ya que se le amenaza con la publicación de su información privada, usualmente almacenada como fotos o videos.

Ransomware como Servicio (RaaS)
Es un modelo de negocio considerado emergente, en la dark web. Aquí se conjugan los hackers con desarrolladores de software a pedido, donde cada parte se lleva un porcentaje del monto cobrado por el rescate.

LockBit 2.0 es el principal grupo criminal de ransomware que actúa en México.

Ataques más famosos

AIDS Trojan está identificado como el origen del más viejo de los ataques de ransomware, en 1989. Tal y como ya lo mencionamos arriba, el virus se distribuyó a través de 20 mil disquetes infectados en una reunión mundial de la OMS acerca del SIDA. Se le considera el precursor de los ataques de ransomware, Ha aparecido como malware en forma recurrente desde 2005.

Reveton, surge en 2012, se le califica como la “primera gran amenaza”. Este malware infecto millones de máquinas en todo el mundo y se le conoce popularmente como el Troyano de la Policía debido a que en la pantalla del equipo infectado aparecía un mensaje supuestamente de un grupo de seguridad del estado, informando que el ordenador se había utilizado para actividades ilegales, como podría ser la pornografía infantil.

CryptoLocker marca 2013 como el año del gran ataque de ransomware. Su alcance fue superior al medio millón de computadoras con más de 3 millones de dólares pagados por rescate. La variante original ya no es una amenaza, aunque sus clones si lo son, como ha sido el caso de CryptoWall en 2014.

WannaCry es el gran protagonista en mayo de 2017. Más de 300 mil computadoras en 150 países fueron afectadas por este ataque cibernético masivo. “¡Ups, tus archivos han sido encriptados!”, decía el mensaje de ransomware, conocido como WannaCryptor o WannaCry (quieres llorar). Los atacantes pedían el pago de $300 dólares en la moneda electrónica bitcoin para que los sistemas fueran liberados.

El ataque de ransomware Petya se produjo por primera vez en 2016 y un año después reapareció como GoldenEye, también conocido como el “hermano letal de WannaCry”. Este malware hacía el cifrado de todo el disco duro de la víctima, en vez de atacar los archivos. GoldenEye estuvo presente en el lamentablemente famoso incidente de la planta de energía nuclear de Chernobyl.

Bad Rabbit hizo estragos hacia finales de 2017, principalmente en Rusia y Europa del Este.

¿Qué te ha parecido este artículo?

Si piensas que este post es útil...

¡Síguenos en nuestras redes sociales!

Redacción IT Masters Mag
Redacción IT Masters Mag

Un equipo de profesionales del periodismo, la comunicación, las artes gráficas y los medios digitales.

email Contácteme

Temas

Canales

Artículos relacionados

  • Mayoría de empresas víctimas de ransomware tienen política de pagar rescate

    09 May 2023

    por Redacción IT Masters Mag

    Compartir

  • ESPECIAL

    ¿Qué es una simulación de ransomware? Expertos explican sus beneficios

    30 May 2023

    por Maricela Ochoa Serafín

    Compartir

  • Ciberseguros se vuelven más caros y limitados; excluyen el ransomware

    02 Jun 2023

    por Maricela Ochoa Serafín

    Compartir

  • TALENTO

    Descubra empleos IT que transformarán su carrera

    02 Abr 2024

    por Maricela Ochoa Serafín

    Compartir

Siguiente

Mayoría de empresas víctimas de ransomware tienen política de pagar rescate

Artículo 1 de 5