Qué es el ransomware, cómo se producen este tipo de ciberataques y qué hacer para prevenirlos.

Qué es el ransomware y cómo prevenirlo

Según datos de índice anual de Inteligencia de Amenazas X-Force de IBM Security, publicado a principios de año, en la mayoría de los ciberataques de 2022 se utilizó ransomware con el fin de extorsionar a las víctimas.

Los ataques de ransomware no son algo nuevo. El primero del que se tiene noticia se produjo en 1989, cuando un biólogo evolutivo llamado Joseph Popp envió por correo postal 20.000 copias de un disquete. El disco se llamaba «Disquete de introducción de información sobre el SIDA», e incluía un troyano que encriptaba la información que contenían los ordenadores que infectaba.

Después, hasta 2006, no se reportó ninguna alerta importante de seguridad provocada por este tipo de ataques. Pero a partir de esa fecha, se han ido produciendo cada vez de manera más frecuente, hasta convertirse a día de hoy, y especialmente a partir de 2020, en la principal ciberamenaza en todo el mundo.

Cómo se realiza un ataque ransomware

Normalmente, este tipo de ataques comienzan con un email que contiene un enlace a un sitio creado o controlado por los ciberdelincuentes o un archivo adjunto que descarga el malware en el momento en el que lo abrimos.

Para conseguir que el usuario abra estos archivos o pinche sobre los enlaces, los ciberdelincuentes utilizan técnicas de ingeniería social. Gracias a ellas, consiguen hacer creer a los usuarios que sus mensajes son legítimos y de fuentes en las que se puede confiar.

Además, los ciberdelincuentes también pueden valerse de publicidad maliciosa, banners en los que se inyecta código malicioso o que envían a páginas fraudulentas, donde se producen inyecciones de malware o se anima a descargar archivos infectados.

Una vez que el malware se descarga en el dispositivo del usuario, se ejecuta, y “secuestra” el equipo infectado. Este solo podrá ser “liberado” si se realiza una determinada acción que, en la mayoría de los casos, es el pago de un “rescate” (ransom), de ahí el nombre de este tipo de ataques.

De todas formas, hay diferentes tipos de ataque ransomware.

Algunos puedes ser molestos, pero no especialmente peligrosos, salvo que acabemos haciendo las acciones que demandan los ciberdelincuentes.

Pero otros, los más graves, pueden llegar a hacer que se pierda toda la información de nuestro dispositivo e incluso de una red completa. En esos casos, lo normal es que el software malicioso, una vez se ejecuta, analice todo el sistema de almacenamiento del equipo infectado y lo cifre, impidiendo a los usuarios acceder a la información. Es entonces cuando los ciberdelincuentes exigirán un rescate. A cambio de este rescate, ellos proporcionarán una clave de descifrado que permitirá a la víctima recuperar el acceso a la información.

Hay que tener en cuenta, además, que en los casos más graves, una vez que se ha producido el ataque y el cifrado de la información que contiene el dispositivo, resulta muy difícil volver a la situación previa.

Por un lado, porque es normal que los ciberdelincuentes utilicen funcionalidades que dificultan que el usuario pueda eliminar la aplicación de ransomware, por ejemplo, bloqueadores de pantalla que impiden el acceso al escritorio hasta que el usuario paga el rescate. Por otro, porque para realizar el cifrado de la información suelen utilizar sistemas criptográficos que resisten ataques de fuerza bruta, lo que hace que se mantenga la información encriptada, incluso aunque se consiga eliminar el archivo que ha ejecutado el ransomware.

Pero veamos cuáles son los diferentes tipos de ransomware que podemos encontrar en estos momentos.

Tipos de Ransomware

  • Scareware: aunque se considere ransomware, no es en realidad un ataque de “secuestro” de información. El objetivo es asustar al usuario para conseguir que descarguen archivos infectados, hagan clic en enlaces maliciosos, visite sitios peligrosos o pague por instalarse un software antivirus que en realidad es un malware que infectará su equipo.Para conseguirlo, los atacantes utilizan programas que generan ventanas emergentes. En ellas, alertan de que el dispositivo está infectado y ofrecen la solución al problema por medio de enlaces que dirigen a un sitio donde descargar un software para desinfectarlo, o instando a adquirir un determinado antivirus.En general, este tipo de ataques pueden resultar muy molestos, pero suelen ser inofensivos, si no se hace caso de las advertencias y el usuario no pincha sobre los enlaces ni descarga ningún archivo. En cualquier caso, hay que tener cuidado con ellos, porque a veces podemos llegar a descargar un archivo malicioso sin darnos cuenta, por ejemplo, en los casos en los que la descarga se realiza al pinchar en un falso botón de cerrar notificación.

    Lo normal es que un buen antivirus sea capaz de detectar el archivo malicioso que genera los banner y eliminarlo. De esta manera dejarán de aparecer esos molestos banner que pueden dificultar realizar cualquier tarea con el dispositivo.

  • Ransomware de bloqueo. Está diseñado para bloquear las funciones básicas del equipo infectado. Los más habituales bloquean la pantalla e impiden, de manera parcial, el uso del teclado y el ratón, de manera que lo único que puede hacer el usuario es interactuar con la pantalla en la que se exige un “rescate”.Uno de los ransomwares que más difusión tuvo en su momento es el llamado virus de la Policía. En este caso, la pantalla quedaba bloqueada y aparecía un aviso que decía que se habían detectado actividades ilícitas desde el dispositivo, y que el equipo permanecería bloqueado hasta que se pagara una multa, que se tenía que pagar bien pinchando sobre un enlace, bien haciendo un ingreso es una determinada cuenta. Por supuesto, se trataba de una estafa, puesto que nunca un organismo oficial se comportaría de ese modo en el caso de que detectara una actividad ilegal.En este tipo de infecciones, aunque se restringe el uso del equipo, la información que contiene no suele correr peligro.
  • Ransomware de cifrado. Es el tipo más peligroso, ya que cifra los archivos del dispositivo al tiempo que bloquea el acceso a la máquina. Normalmente, aparece un aviso en el que se exige el pago de un rescate antes de que se agote un determinado plazo de tiempo, que suele venir marcado por una cuenta atrás.Existen métodos para tratar una infección con ransomware de cifrado (productos de seguridad para desinfectar un equipo, software de desencriptación…), pero ninguna de ellas nos garantiza al 100% recuperar la información. De hecho, es muy complicado, por no decir imposible, conseguir descifrar los archivos, aunque se haya eliminado el malware, si no disponemos de la clave de descifrado, que solo nos pueden proporcionar los atacantes.Aun así, y como recalcaremos después, pagar no es una buena opción, ya que no nos garantiza nada. Solo realizar copias de seguridad nos garantizará que recuperamos toda la información, una vez que se haya eliminado el ransomware.

Qué hacer si sufrimos un ataque de ransomware

  •  Aislar la máquina infectada: El ransomware se propaga a través de la conexión de red, por tanto, lo primero que tenemos que hacer, si sospechamos que hemos sufrido ese tipo de ataque, es desconectar el dispositivo infectado de la red.
  • Contactar con el equipo de seguridad para que ponga en marcha medidas de contención del ataque y pueda identificar el tipo de ransomware.Cuanto antes lo hagamos, mejor. Es un paso imprescindible y fundamental, especialmente si el equipo infectado está conectado a una red, ya que la infección de una máquina puede convertirse en un espacio de tiempo muy breve en la de toda una red, con las indeseables consecuencias que puede tener.Ellos se ocuparán de identificar el ransomware, de poner en marcha medidas encaminadas a contener la propagación de la infección y resolver la situación.

    Si la infección proviene de un ransomware de bloqueo, es posible que se pueda resolver el problema  y que los archivos y la información contenida en el o los dispositivos infectados pueda recuperarse sin haber sufrido daño en un plazo de tiempo no muy prolongado.

    Si ha sido causada por uno de cifrado, puede que el equipo sea capaz de eliminar la infección, pero seguramente los archivos continuarán cifrados.

  • Informar a los empleados: en el caso de que la infección se produzca en una organización, se deberá informar inmediatamente a todo el equipo. Es importante que tomen las medidas necesarias que ayuden a detectar si la infección se ha propagado,  y también para que colaboren en la puesta en marcha de medidas que ayuden a evitar su propagación y mitigar el incidente.
  • Cambiar las credenciales de acceso: el ransomware puede propagarse rápidamente reuniendo direcciones IP y credenciales. Si los ciberdelincuentes consiguen hacerse con credenciales administrativas, podrán moverse lateralmente por toda la red. Por lo tanto, es importante modificar todas las credenciales de administrador y de usuario.
  • Denunciar ante las autoridades. Se trata de un paso obligatorio si el ataque lo sufre una empresa que maneja datos que pertenecen a ciudadanos de la UE. Así lo establece la RGPD, que obliga a informar a las autoridades en un plazo de 72 horas desde que se produzca la violación. No hacerlo puede dar lugar a multas de hasta el 4% de la facturación global anual o 20 millones de euros (lo que sea mayor).
  • No pagar el rescate: los expertos en ciberseguridad, las policías y las agencias de seguridad de todo el mundo recomiendan que no se pague el rescate.Por un lado, porque no garantiza que finalmente los ciberdelincuentes proporciones una clave de desencriptación que nos permita recuperar nuestros archivos. Por otro, porque aumenta las posibilidades de que se vuelva a sufrir un nuevo ataque en el futuro. Y por último, porque tampoco nos garantiza que su siguiente paso no vaya a ser amenazarnos con comerciar con la información conseguida durante el ataque o hacerla pública.
  • Realizar una auditoría de seguridad y actualizar todos los sistemas una vez que hemos conseguido limpiar los sistemas del los archivos que los infectaban.

Cómo protegernos del ransomware

Hacer copias de seguridad periódicas y frecuentes (diarias en el caso de las empresas) es fundamental para protegernos ante cualquier ataque de ransomware, ya que estos backups serán la única forma de que estemos seguros de que vamos a recuperar toda la información.

También es necesario instalar un buen software antimalware, capaz de detectar enlaces y archivos adjuntos maliciosos, y de bloquear el acceso a sitios no seguros. En el caso de las empresas, es importante utilizar este tipo de programas en todos los dispositivos con acceso a la red, incluidos teléfonos personales, si tienen acceso a la red.

Por supuesto, mantener todo el software actualizado es una medida clave para evitar estos y otros tipos de ciberataques.

Además, no podemos olvidar que la mayoría de las infecciones por ransomware se producen a partir de mensajes que invitan a descargar un archivo infectado o a visitar un sitio malicioso. Esto sitúa en el centro de las políticas de ciberseguridad a los usuarios, que deben tener unos conocimientos mínimos de seguridad que les permitan identificar este tipo de ataques. Para ello, es esencial formar a la plantilla en ciberseguridad.

Y aunque ya hemos hablado en otras ocasiones de las precauciones que debe tomar cualquier usuario antes de abrir un archivo adjunto o pinchar sobre un enlace, volvemos a hacerlo, porque muchas veces en estas acciones sencillas, que cualquiera puede realizar, está la clave para evitar un ataque de ransomware.

  •  Los ciberdelincuentes suelen intentar hacer creer a su víctima que los mensajes proceden de una fuente de confianza (compañías de teléfono, entidades financieras, un proveedor de servicios de la empresa…). Aunque cada vez las suplantaciones son de mejor calidad, hay algunos elementos que nos pueden dar una pista de que nos encontramos ante un mensaje fraudulento: posibles faltas de ortografía, expresiones que no son habituales en castellano, una URL que no se corresponden con la de la página oficial de la empresa, o cambios en el diseño de la página, entre otros.
  • Hay que prestar atención a la dirección de correo desde la que llega el mensaje. Ninguna empresa enviará una comunicación a través de una cuenta que no pertenezca a su dominio oficial, ni con errores en la denominación de la empresa o en el nombre del departamento.
  • Antes de pinchar en un enlace enviado a través de un correo electrónico o SMS, se puede intentar acceder al área de clientes de la empresa que envía el mensaje directamente desde el navegador o la APP oficial y comprobar si efectivamente es real.
  • Otra posibilidad es situar el ratón sobre el enlace, sin pinchar en él, ya que permite ver la URL de destino y comprobar si se trata de una URL legítima.
  • Si el mensaje recibido nos genera algún tipo de dudas, no pinchar nunca en el enlace ni descargar archivos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Blue Captcha Image
Refrescar

*