Ransomware
Es un gesto rutinario que hacemos sin pensar: desbloqueamos el teléfono y entramos en el correo o en una aplicación del trabajo. Pero esta vez aparece de repente un mensaje inesperado: su dispositivo es víctima de un secuestro y no puede acceder a sus datos. O paga o se arriesga a asumir las consecuencias.
Bienvenido al mundo del ransomware, un tipo de ciberataque que puede afectar tanto a particulares como a organizaciones enteras.
¿Qué es el ransomware?
Si todavía no ha vivido el ransomware en su primera persona, debe saber que el riesgo es omnipresente, sobre todo con el auge de los dispositivos móviles, tanto en nuestra vida privada como profesional.
Definición y explicación del ransomware
¿Qué es el ransomware y por qué es peligroso? Igual que ocurre con otros tipos de software malicioso (o malware), el ataque empieza cuando los hackers logran superar las defensas de su dispositivo y de la red.
La diferencia es que en este caso los responsables del ataque no se limitan a robar los datos, sino que cifran los archivos e impiden usar el dispositivo.
Después, los atacantes piden un rescate para recuperar el acceso y descifrar los datos. Si no lo reciben, amenazan con robar, filtrar o incluso eliminar la información.
El mensaje suele detallar cómo pagar el rescate, por ejemplo a través de una cuenta de correo anónima, y también si el pago debe ser en criptomonedas como Bitcoin u otros métodos.
En todo el mundo, se denunciaron 4.399 ataques de ransomware en 2023, y el importe de los rescates pagados superó los 1.000 millones de dólares por primera vez.
Tipos de ransomware más habituales
El primer paso para defenderse del ransomware es entender que existen diferentes tipos. Aquí detallamos algunos:
- El scareware explota la manipulación psicológica y muestra a las víctimas un mensaje informándoles de que un virus ha infectado su dispositivo o inunda la pantalla de notificaciones emergentes. Al hacer clic en un enlace para “resolver” el problema, se abre una petición de rescate y aparece información para realizar pago.
- Encryptors: el ejemplo que poníamos al principio de este artículo es un buen ejemplo de este tipo de ataque, en el que la única opción para obtener la clave de descifrado y recuperar el acceso a los datos es pagar el rescate.
- Lockers: en este tipo de ataque el objetivo no es tanto cifrar los datos como tomar el control sobre el sistema operativo del dispositivo y cerrar el acceso a cal y canto.
- Leakware: conocido también como Doxware, este ataque amenaza con publicar o exponer información que puede ser comprometedora o perjudicial para la víctima. Muchas veces es un tipo de “encryptor”.
- Ransomware como servicio (RaaS): a imagen y semejanza del software como servicio (Saas), hace referencia a terceros que usan herramientas o tecnologías propias para gestionar ataques por encargo.
Cómo infecta el ransomware los sistemas o dispositivos
La vía de entrada más sencilla para la mayoría de los ciberdelincuentes son las personas. En general, los usuarios son fáciles de manipular y ayudan sin saberlo a los hackers a superar las barreras de seguridad, sobre todo cuando toman decisiones rápidas.
Esta sería una situación típica: los atacantes envían mensajes de phishing por correo o SMS que parecen ser de personas u organizaciones de su confianza. El proceso de infección empieza nada más hacer clic en un enlace incluido en estos mensajes. Y lo mismo puede ocurrir al hacer clic en anuncios digitales que activan infecciones por ransomware o páginas web que son un anzuelo colocado por los ciberdelincuentes.
En otros casos, el ransomware puede colarse a través de aplicaciones de escritorio remoto con una seguridad deficiente en los terminales o contraseñas poco seguras. Algunos atacantes han llegado incluso a manipular a los empleados para que revelen credenciales de seguridad por teléfono o en salas de chat.
Las fases de un ataque de ransomware
A veces los ataques logran su propósito con mucha rapidez, pero en general son necesarios una serie de pasos para secuestrar los privilegios de acceso a un dispositivo y sus datos.
Resumen de las diferentes fases de un ataque de ransomware
Imaginemos que un empleado de una empresa hace clic en un enlace que le ha llegado a través de un correo de phishing. Con este gesto, se inicia la comunicación entre los dispositivos infectados y un servidor de mando y control (C&C) situado en cualquier punto de la red.
En función del ataque, los ciberdelincuentes tratarán incluso de infectar otros equipos antes de cifrar los archivos.
El siguiente paso es la extorsión, es decir, informar a las víctimas del ataque y comunicarles las condiciones del rescate.
Si la víctima decide no pagar, la única forma de resolver la situación es colaborando con las fuerzas policiales y, mientras tanto, usar sistemas alternativos.
Métodos utilizados por los hackers para explotar vulnerabilidades
Aparte de sitios web falsos y mensajes diseñados para manipular a los usuarios, los ciberdelincuentes recurren también a ataques de fuerza bruta para penetrar en las profundidades de un sistema. En este caso, tratan de averiguar contraseñas.
Otras veces buscan aplicaciones en las que no se han instalado los últimos parches de seguridad. Y no podemos olvidar tampoco las amenazas internas, con ataques perpetrados con la colaboración de ex empleados o trabajadores resentidos.
Impacto y consecuencias de un ataque de ransomware
Los secuestros de información y acceso a aplicaciones no solo son molestos o frustrantes. Pueden sembrar el pánico entre los empleados de una organización. Y si no se resuelven rápido, el miedo y la incertidumbre pueden contagiarse a los clientes y la sociedad en general, con unas consecuencias nefastas.
A los directivos les preocupa sobre todo el impacto en los resultados, y razón no les falta. A menudo es imposible vender productos o servicios hasta que se ha pagado el rescate y quedan paralizadas gestiones tan rutinarias como pagar las nóminas.
Protección y respuesta frente al ransomware
Aunque no hay una receta mágica contra estos ataques, cualquier organización puede tomar medidas para reducir las probabilidades de sufrir un secuestro de estas características. La clave está en identificar las áreas de riesgo y tener claro cómo actuar en el peor de los casos.
Cómo protegerse del ransomware: prácticas recomendadas
La Agencia de Seguridad Cibernética y las Infraestructuras (CISA) de Estados Unidos ha publicado la guía #StopRansomware, donde recomienda una vigilancia similar a las rondas que realiza un vigilante para proteger el perímetro de un edificio. Algunas pautas recomendadas son estar al día sobre las vulnerabilidades del software, identificar áreas de mejora en la formación de los empleados y probar los últimos avances en protección antivirus.
El siguiente paso es usar una arquitectura de “conocimiento cero”, es decir, dar acceso a los datos y los sistemas únicamente a las personas que realmente los necesitan. Aquí habría que revisar el uso de tecnologías tan extendidas como los protocolos de escritorio remoto.
La implementación de políticas estrictas, por ejemplo sobre la creación de contraseñas y la gestión de credenciales, puede ser también muy útil para prevenir incidentes.
Importancia de las copias de seguridad periódicas y las estrategias de recuperación de datos
¿Es posible eliminar el ransomware? A veces. Pero es un proceso complejo. Mientras tanto, si los atacantes consiguen acceder a la única copia que hay de un archivo, su poder sobre las víctimas es mucho mayor que si existen copias de seguridad.
Aunque los ciberdelincuentes pueden causar estragos filtrando los archivos secuestrados, la organización lo tendrá mucho más fácil para retomar su actividad. Las copias de seguridad son también muy útiles para colaborar con los organismos policiales que investigan el incidente.
En algunos sectores, se generan copias de seguridad cada día o incluso cada hora. Y ahora, además, existe la opción de externalizar este servicio a empresas que guardan las copias fuera de la red para poder acceder a ellas en caso de emergencia.
Qué hacer cuando se produce un ataque de ransomware
Muchas organizaciones realizan simulaciones de incendios para que todo el mundo sepa cómo evacuar un edificio. En ciberseguridad, es esencial también tener un plan de respuesta ante incidentes, porque solo así sabremos qué tiene que hacer cada persona y evitar el pánico.
Un guía de la Cyber Management Alliance da algunas pautas generales sobre cómo prepararse. Recomienda identificar rápidamente el momento en que se produce el ataque, aislar los dispositivos y sistemas afectados para contener los daños e informar al equipo jurídico y las fuerzas policiales. También es recomendable redactar comunicaciones para enviar a clientes, proveedores y otras personas afectadas.
Variantes de ransomware
Igual que las compañías de software, los ciberdelincuentes están siempre creando modificaciones del malware, conocidas como variantes, que pueden dificultar aún más la detección de un ataque o multiplicar los daños.
Principales variantes de ransomware y sus características
CryptoLocker entró en escena en 2013 y se distribuye a través de adjuntos de correo. Aprovechando una infraestructura C&C de última generación y un potente cifrado, sus creadores (supuestamente de origen ruso) han conseguido infectar cientos de miles de equipos.
WannaCry vio la luz en 2017 y enseguida se convirtió en una de las variantes más conocidas por su capacidad de cifrar datos en sistemas operativos Windows. Según las últimas informaciones, WannaCry sigue activo y no hay rastro de su código fuente original.
Otra variante destacada es LockBit, que funciona desde 2019 y es conocida por distribuir código a un equipo de afiliados que colaboran en la ejecución de los ataques. Aparte de retener datos para conseguir rescates, también lleva a cabo ataques distribuidos de denegación de servicio (DDoS).
Ataques de ransomware más conocidos y su impacto
Sony Pictures Entertainment sufrió un ataque de ransomware en 2014 que puso en jaque a sus sistemas. Este incidente, con una víctima de altísimo nivel, sigue siendo un ejemplo por las lecciones aprendidas.
El ataque a Colonial Pipelines en 2021 provocó la parada de un importante gaseoducto. El incidente motivó la creación de varias políticas para atajar las vulnerabilidades del sector.
Los ciberdelincuentes tienen también en su punto de mira organizaciones del sector público, como demostraron con una serie de ataques lanzados en 2022 contra al menos 45 distritos escolares estadounidenses y un mínimo de 44 centros de educación superior.
Tendencias emergentes y nuevos tipos de ransomware
Aunque en un primer momento muchas amenazas y ataques parecían tener su origen en Europa del Este, los expertos apuntan que los ciberdelincuentes ahora actúan a escala mundial. Además, están ampliando el abanico de herramientas utilizadas para crear nuevas variantes y buscan fórmulas para atacar varias organizaciones al mismo tiempo.
El impacto del ransomware en las empresas
Las consecuencias de un ataque de ransomware varían mucho en función del sector al que pertenezca la organización.
Efecto del ransomware según los sectores
Para una organización de servicios financieros, la imposibilidad de acceder a sistemas críticos significa que sus empleados y clientes no podrán acceder a las cuentas y se producirán retrasos en la recepción de solicitudes de préstamos.
En el caso de un centro médico, los tratamientos de los pacientes estarán en jaque, porque los profesionales sanitarios no podrán acceder a la información que necesitan, incluidos sus historiales médicos.
En compañías que se dedican a la fabricación, estos ataques pueden generar costosos retrasos en la producción mientras deciden si pagan el rescate, lo que puede tener efectos colaterales en la cadena de suministro.
Principales objetivos y sectores más vulnerables a los ataques de ransomware
Aunque ningún sector está a salvo de estas amenazas, un informe del FBI revela que dos de cada cinco ataques denunciados tenían como objetivo una organización del sector de las infraestructuras críticas.
El mismo estudio revela que el secuestro de datos es también habitual en organizaciones del sector sanitario, fabricación, administraciones públicas y transporte.
Consecuencias económicas y de imagen de un incidente de ransomware
Una vez que se han descifrado los datos, a menudo es necesaria una fuerte inversión para restablecer completamente la actividad. Según el Departamento de Salud y Servicios Humanos de Estados Unidos, el coste medio de la recuperación tras un incidente de ransomware es de 1,27 millones de dólares independientemente del sector.
La suma de dinero pagada por una organización para rescatar sus datos a veces es solo la punta del iceberg. Son habituales las pérdidas derivadas de la interrupción de los servicios, así como el abandono de clientes a raíz de las noticias aparecidas en la prensa.
Una vez que el ataque ha terminado, las organizaciones tienen que demostrar que han adoptado las medidas necesarias para impedir un incidente similar y recuperar la confianza de clientes y proveedores.
Cómo prevenir y mitigar los ataques de ransomware
Por suerte, organizaciones de todos los tamaños disponen de herramientas para protegerse de estos ataques y también para mejorar su respuesta en el caso de que ocurran.
Estrategias eficaces para impedir las infecciones por ransomware
Aparte de realizar auditorías periódicas de seguridad y copias de seguridad de los datos, trasladar una parte de la información a la nube puede facilitar el proceso de recuperación.
Otra opción para dificultar el trabajo de los hackers es apagar los sistemas cuando no se están utilizando o sencillamente desconectarlos de la red.
La importancia de la formación de los empleados
Una de las mejores estrategias de defensa es transmitir a su equipo los riesgos de seguridad a los que se enfrenta su organización y qué deben hacer para prevenir incidentes.
Realice formaciones periódicas, tanto formales como informales, para enseñarles a detectar posibles ataques de phishing y explicarles cuándo evitar hacer clic en enlaces.
Si aparece una nueva variante que afecta especialmente a su sector, traslade la información y anímeles a denunciar cualquier actividad sospechosa.
El papel del software de seguridad y el cifrado para reducir los riesgos
El abanico de tecnologías diseñadas para reforzar la seguridad de una organización es enorme. Las llaves de acceso, por ejemplo, son una alternativa a los nombres de usuario y las contraseñas, y ofrecen una capa más de protección frente a los ciberataques.
Para cualquier organización, sea del tipo que sea, sus datos y dispositivos tienen un valor incalculable. Si dispone de las estrategias, las herramientas y los conocimientos adecuados, conseguirá mantener a raya el ransomware y otras amenazas de ciberseguridad.
No espere más para reforzar su seguridad: Empiece su prueba de LastPass hoy mismo.