¿Qué es el ransomware? Todo lo que necesitas saber y cómo reducir tu riesgo

¿Qué es el ransomware? Todo lo que debes saber y cómo disminuir tu riesgo

Ransomware, concepto. Hacker anónimo sostiene una llave y exige dinero. El usuario entrega el dinero. Gran carpeta con datos encriptados. Candado en los archivos después del ataque del hacker. Peligro de piratería en la red.

El ransomware es una de las amenazas más peligrosas a las que se enfrentan las empresas y los consumidores hoy en día. Ya sea que seas una persona individual o una empresa Fortune 500, la experiencia de quedarte bloqueado fuera de tu sistema, tener tus archivos encriptados y estar sujeto a amenazas y demandas de pago puede ser aterradora.

Característica especial

Mejores prácticas de ciberseguridad para proteger tus activos digitales

Enfrentémoslo: tus datos personales y comerciales están bajo amenaza las 24 horas del día, los 7 días de la semana, y proteger esos activos digitales mientras compras, haces transacciones bancarias y juegas en línea sigue siendo el trabajo número uno. Aquí está la buena noticia: hay más herramientas y estrategias centradas en la seguridad disponibles que nunca. Las guías de ciberseguridad más actualizadas de ENBLE ofrecen consejos prácticos para mantenerse seguro y productivo hoy en medio del panorama de amenazas en constante evolución.

Mientras que las fuerzas del orden y las empresas de ciberseguridad están combatiendo el aumento de los grupos de ransomware, este negocio extremadamente lucrativo e ilegal está floreciendo. Nuevas bandas de ransomware aparecen en el campo todos los días, mientras que las más establecidas cambian de nombre y se reorganizan para confundir los esfuerzos de rastrear y procesar a los responsables.

Aquí tienes todo lo que necesitas saber sobre el ransomware, cómo funciona y qué puedes hacer para mitigar el riesgo de un ataque.

¿Qué es el ransomware?

El ransomware es uno de los mayores problemas de ciberseguridad en Internet y una de las formas más grandes de cibercrimen a las que se enfrentan las organizaciones hoy en día. El ransomware es una forma de software malintencionado – malware – que encripta archivos y documentos en cualquier cosa, desde una PC individual hasta una red completa, incluidos los servidores.

Una vez que los archivos son encriptados por el ransomware, las víctimas se quedan con pocas opciones: pueden recuperar el acceso a su red encriptada pagando un rescate a los criminales detrás del ataque, pueden restaurar los datos desde sus copias de seguridad, pueden esperar que haya una clave de descifrado disponible de forma gratuita o pueden comenzar de nuevo desde cero.

Algunas infecciones de ransomware comienzan cuando alguien dentro de una organización hace clic en lo que parece ser un archivo adjunto inocente que, al abrirlo, descarga la carga maliciosa y encripta la red.

Un ejemplo de un ataque de ransomware.

Otras campañas de ransomware mucho más grandes utilizan exploits y vulnerabilidades de software, contraseñas agrietadas y otras vulnerabilidades para obtener acceso a organizaciones que usan puntos débiles, como servidores en línea o inicio de sesión remoto en el escritorio. Los atacantes buscarán secretamente a través de la red hasta que controlen tanto como sea posible, antes de cifrar todo lo que puedan.

Puede ser un dolor de cabeza para empresas de todos los tamaños si de repente los archivos y documentos vitales, las redes o los servidores están encriptados e inaccesibles. Peor aún, después de ser atacado con ransomware que encripta archivos, los delincuentes anunciarán sin ningún reparo que tienen tus datos corporativos como rehenes hasta que pagues un rescate para recuperar los datos. Incluso algunos publicarán los datos robados en Internet para que todos los vean.

¿Cómo ha evolucionado el ransomware?

Si bien el ransomware ha explotado en los últimos años, no es un fenómeno nuevo: la primera instancia de lo que ahora conocemos como ransomware apareció por primera vez en 1989.

Conocido como AIDS o el troyano PC Cyborg, el virus se enviaba a las víctimas en un disquete. El ransomware contaba la cantidad de veces que se iniciaba el PC: una vez que alcanzaba 90, encriptaba la máquina y los archivos en ella y exigía al usuario que “renovara su licencia” con “PC Cyborg Corporation” enviando $189 o $378 a un apartado postal en Panamá.

La demanda de pago de PC Cyborg: por correo postal.

Este primer ransomware era una construcción relativamente simple, que utilizaba criptografía básica que principalmente solo cambiaba los nombres de los archivos, lo que lo hacía relativamente fácil de superar.

Sin embargo, creó efectivamente una nueva rama del delito informático que creció gradualmente en alcance y ambición. Una vez que la conexión a internet por dial-up estuvo disponible para los consumidores, el ransomware básico apareció en masa.

Una de las variantes más exitosas fue el “ransomware policial”, que intentaba extorsionar a las víctimas afirmando que la PC había sido encriptada por las fuerzas del orden. Bloqueaba la pantalla con una nota de rescate advirtiendo al usuario que habían cometido actividades ilegales en línea, lo que podría llevarlos a la cárcel.

Sin embargo, si la víctima pagaba una multa, la “policía” permitía el deslizamiento de la infracción y restauraba el acceso a la computadora entregando la clave de desencriptación. Por supuesto, esto no tenía nada que ver con las fuerzas del orden, eran criminales que aprovechaban a personas inocentes.

Un ejemplo de “ransomware policial” amenazando a un usuario.

Los criminales aprendieron de este enfoque y ahora la mayoría de los esquemas de ransomware utilizan criptografía avanzada para bloquear una PC infectada y los archivos en ella.

¿Cuáles son los principales tipos de ransomware?

El ransomware siempre está evolucionando, con nuevas variantes que aparecen continuamente y representan nuevas amenazas para las empresas. Sin embargo, ciertos tipos de ransomware han sido mucho más exitosos que otros.

  • El WannaCry de Corea del Norte se utilizó en uno de los mayores ataques de ransomware hasta la fecha. En 2017, el ransomware causó caos en todo el mundo, con más de 300,000 víctimas en más de 150 países.
  • Locky fue una vez la forma más notoria de ransomware, causando estragos en organizaciones de todo el mundo durante 2016, se propagaba a través de correos electrónicos de phishing.
  • Una de las familias de ransomware más prolíficas durante 2021 fue REvil, responsable de encriptar las redes de numerosas organizaciones de alto perfil.
  • Conti, al igual que REvil, combina el encriptado de redes con amenazas de publicar datos para extorsionar pagos de rescate.
  • Cerber fue una vez popular como uno de los primeros modelos de ‘Ransomware-as-a-Service’ (RaaS), permitiendo a los usuarios sin conocimientos técnicos llevar a cabo ataques a cambio de parte de las ganancias para los autores originales.

El ransomware tiene muchas variaciones, pero en su esencia, está diseñado para bloquear el acceso a su sistema y revocar el acceso a los archivos. Algunos ransomware pueden moverse lateralmente a través de redes, encriptar datos o destruirlos, y también pueden incluir módulos de vigilancia.

Aunque las operaciones de ransomware van y vienen, las personas involucradas en la creación y prueba del malware regularmente se mueven entre ellas o buscan nuevas oportunidades, lo que significa que hay un flujo constante de nuevas variantes de ransomware que podrían convertirse en la próxima gran amenaza.

¿Cuáles son los principales ataques de ransomware en 2023?

  • Dish Network: Un ataque en febrero contra el gigante de la radiodifusión Dish Network llevó a interrupciones del servicio y la exposición de datos pertenecientes a aproximadamente 300,000 personas. Según informes, la compañía podría haber pagado un rescate, ya que una carta enviada a las personas afectadas revelaba que la empresa “recibió confirmación de que los datos extraídos han sido eliminados”.
  • Royal Mail: El servicio de entrega del Reino Unido, Royal Mail, recibió una demanda de rescate de $80 millones después de un ataque en enero que interrumpió gravemente las entregas tanto nacional como internacionalmente. Los funcionarios de la compañía se negaron a pagar.
  • Caesars: El operador de casinos Caesars sufrió un ataque de ransomware y una violación de datos, incluido el robo de datos de clientes. Según los informes, la empresa pagó aproximadamente la mitad de un rescate de $30 millones.
  • MGM Resorts: Los atacantes detrás de un caótico ataque de ransomware contra MGM Resorts — que dejó fuera de servicio muchos servicios, incluidos los sistemas de punto de venta — afirmaron que lograron obtener las credenciales necesarias para realizar el ataque con una simple llamada telefónica. Desde las máquinas tragamonedas de los casinos hasta las tarjetas de las habitaciones del hotel, todo dejó de funcionar.

¿Cuánto te costará un ataque de ransomware?

Obviamente, el costo más inmediato asociado con ser infectado con ransomware, si se paga, es el rescate demandado, lo cual puede depender del tipo de ransomware o del tamaño de tu organización.

Los ataques de ransomware pueden variar en tamaño, pero cada vez es más común que las pandillas de hackers exijan millones de dólares para restablecer el acceso a la red. Y la razón por la cual las pandillas de hackers pueden exigir tanto dinero es, simplemente, porque muchas víctimas pagarán.

Esto es especialmente cierto si el bloqueo de una red con ransomware significa que la organización no puede hacer negocios, lo que podría implicar grandes pérdidas de ingresos por cada día, tal vez cada hora, que la red esté inaccesible. Este tiempo de inactividad puede acumular rápidamente pérdidas de millones de dólares.

También: Ante la probabilidad de ataques de ransomware, las empresas siguen optando por pagar

Si una organización elige no pagar el rescate, no solo perderá ingresos durante un período de tiempo que podría durar semanas, tal vez meses, sino que también tendrá que pagar una suma importante a una empresa de seguridad para que restaure el acceso a la red, y también puede haber costosas repercusiones legales.

De cualquier manera en que una organización maneje un ataque de ransomware, el incidente también tendrá un impacto financiero a futuro, porque para protegerse de no ser víctima nuevamente, la organización deberá invertir en su infraestructura de seguridad y hacer frente a costos legales, posibles demandas colectivas y multas regulatorias.

Además de todo esto, también existe el riesgo de que los clientes pierdan la confianza en la organización debido a una mala ciberseguridad, y busquen hacer negocios en otro lugar.

Se desaconseja pagar el rescate por parte de expertos en ciberseguridad y autoridades, ya que esto alienta a los criminales cibernéticos a continuar lanzando campañas de ransomware. Incluso existen casos en los que una víctima ha pagado el rescate, solo para que los mismos atacantes regresen con otro ataque y exijan otro pago de rescate.

¿Cuál fue el rescate más grande pagado por ransomware?

Hasta la fecha, el rescate más grande pagado por ransomware fue realizado por CNA Financial, uno de los principales proveedores de seguros de Estados Unidos. Se informa que la organización pagó $40 millones después de ser víctima de un ataque de ransomware.

¿Por qué las organizaciones deben preocuparse por el ransomware?

Para decirlo simplemente: El ransomware puede destruir tu negocio. Si te quedas sin acceso a tus propios archivos debido a un malware, aunque sea solo por un día, afectará tus ingresos. Pero dado que el ransomware mantiene a la mayoría de las víctimas fuera de línea durante al menos una semana, o a veces meses, las pérdidas pueden ser significativas. Los sistemas pueden permanecer fuera de servicio por tanto tiempo, no solo porque el ransomware bloquea el sistema, sino también debido a todo el tiempo y esfuerzo requeridos para limpiar y restaurar las redes.

Y no es solo el golpe financiero inmediato del ransomware lo que dañará a un negocio; los consumidores se vuelven cautelosos al proporcionar sus datos a empresas en las que creen que su seguridad es insuficiente.

También: Los ataques de ransomware y phishing continúan afectando a estas empresas

Los ciberdelincuentes han aprendido que no solo las empresas son blancos lucrativos para los ataques de ransomware, sino que infraestructuras importantes como hospitales y instalaciones industriales están siendo interrumpidas por el ransomware. Y dichas interrupciones pueden tener grandes consecuencias para las personas.

El sector educativo también se ha convertido en un objetivo cada vez más popular para campañas de ransomware. Las escuelas y universidades se volvieron dependientes del aprendizaje remoto debido a la pandemia del coronavirus, y los ciberdelincuentes se dieron cuenta de ello. Estas redes educativas son utilizadas por potencialmente miles de personas, muchas de ellas utilizando sus dispositivos personales, y lo único que puede necesitar un hacker malicioso para obtener acceso a la red es un correo electrónico de phishing exitoso o descifrar la contraseña de una cuenta.

¿Por qué las pequeñas empresas son blancos de ransomware?

Las pequeñas y medianas empresas son un objetivo popular porque tienden a tener una ciberseguridad más deficiente que las grandes organizaciones. A pesar de eso, muchas PYME creen erróneamente que son demasiado pequeñas para ser objetivo, pero incluso un modesto rescate de unos pocos cientos de dólares sigue siendo muy rentable para los ciberdelincuentes.

Las pequeñas empresas, y los objetivos más fáciles, también pueden ser tentadores porque los ataques de la cadena de suministro pueden proporcionar acceso a un objetivo más grande y lucrativo.

¿Por qué el ransomware tiene tanto éxito?

Hay una razón clave por la que el ransomware ha prosperado: porque funciona. Todo lo que se necesita para que el ransomware entre en tu red es que un usuario cometa un error y abra un archivo adjunto de correo electrónico malicioso, que una contraseña débil sea descifrada o que una empresa deje desprotegido un software vulnerable.

Si las organizaciones no cedieran a las demandas de rescate, los delincuentes buscarían otra cosa.

También: Microsoft: Trackeamos a estos 100 grupos de ransomware activos que usan 50 tipos de malware

Mientras tanto, para los delincuentes, es una forma fácil de ganar dinero. ¿Por qué perder tiempo y esfuerzo desarrollando código complejo o generando tarjetas de crédito falsas a partir de detalles bancarios robados si el ransomware puede dar lugar a pagos instantáneos con pocas posibilidades de enjuiciamiento posterior?

¿Puede ayudar el seguro cibernético?

El seguro cibernético es una póliza diseñada para ayudar a proteger a las organizaciones de las consecuencias de los ciberataques.

Algunas pólizas de seguro cibernético cubrirán el pago del rescate en sí mismo, lo que ha llevado a algunos expertos en ciberseguridad a advertir que los pagos de seguros cibernéticos que cubren el costo de pagar rescates están empeorando el problema, porque los delincuentes cibernéticos saben que si atacan al objetivo adecuado, recibirán el pago.

En la primera mitad de 2023, Coalition encontró que el aumento de las reclamaciones de seguros cibernéticos fue provocado por ransomware, con un aumento del 12% interanual.

También: Las pymes no ven la necesidad de seguro cibernético, ya que no experimentarán incidentes de seguridad

Sin embargo, el aumento de las reclamaciones y el potencialmente alto costo de los pagos han llevado a que algunos proveedores de seguros cibernéticos excluyan los ataques de ransomware de las pólizas.

¿Qué tiene que ver la criptomoneda con el aumento del ransomware?

El aumento de las criptomonedas como el Bitcoin ha facilitado a los ciberdelincuentes recibir pagos con menos riesgo de que las autoridades puedan identificar y rastrear a los perpetradores.

Las billeteras digitales se utilizan para almacenar criptomonedas y, aunque no son indetectables, esto dificulta más su seguimiento y confiscación, especialmente si los fondos cripto se mezclan y se filtran a través de múltiples billeteras e intercambios de criptomonedas.

Muchos grupos de ransomware ofrecen “servicio al cliente” para ayudar a las víctimas que no saben cómo adquirir o enviar criptomonedas, ya que ¿cuál es el sentido de hacer demandas de rescate si los usuarios no saben cómo pagar?

Solicitud de rescate de Globe3 por tres Bitcoin, incluyendo una guía de cómo hacerlo para aquellos que no saben cómo comprarlo.

¿Cómo se puede prevenir un ataque de ransomware?

Debido a que gran cantidad de ataques de ransomware comienzan con hackers explotando puntos débiles en los puertos externos de Internet y los protocolos de escritorio remoto, una de las cosas clave que una organización puede hacer para evitar convertirse en víctima es asegurarse de que los puertos no estén expuestos a Internet cuando no sea necesario.

Cuando los puertos remotos son necesarios, las organizaciones deben asegurarse de que las credenciales de inicio de sesión sean complejas. La aplicación de autenticación multifactor a estas cuentas también puede actuar como barrera contra los ataques, ya que habrá una alerta si se intenta un acceso no autorizado.

Las redes deben actualizarse con los últimos parches de seguridad porque muchas formas de ransomware, y otros tipos de malware, se propagan a través del uso de vulnerabilidades comunes y conocidas.

Cuando se trata de detener ataques por correo electrónico, los gerentes deben proporcionar a los empleados capacitación sobre cómo identificar correos electrónicos sospechosos. Los empleados que notan detalles inusuales, como un correo electrónico con un formato descuidado o un mensaje que dice ser de ‘Microsoft Security’ enviado desde una dirección poco conocida que ni siquiera contiene la palabra Microsoft, podrían salvar las redes de infecciones.

También: 6 simples reglas de ciberseguridad que puedes aplicar ahora

También hay algo que decir sobre permitir que los empleados aprendan de sus errores en un entorno seguro y a través de ejercicios de capacitación en phishing.

A nivel técnico, evitar que los empleados puedan habilitar macros es un gran paso para asegurarse de que no puedan ejecutar involuntariamente un archivo de ransomware. La protección de puntos finales, junto con los firewalls y las soluciones de detección de anomalías de comportamiento, también pueden ayudar.

Como mínimo, los empleadores deberían invertir en software antivirus y mantenerlo actualizado, para que pueda advertir a los usuarios sobre archivos potencialmente maliciosos. Hacer copias de seguridad de archivos importantes y asegurarse de que esos archivos no puedan ser comprometidos durante un ataque también es clave porque eso permite recuperar la red sin pagar un rescate.

Pero incluso si los ataques ya están dentro de la red, no es demasiado tarde: si los equipos de seguridad de la información pueden detectar actividades inusuales o sospechosas antes de que se lance el ataque de ransomware, es posible reducir el alcance del ataque o prevenirlo por completo.

¿Cuánto tiempo lleva recuperarse de un ataque de ransomware?

Simplificando, el ransomware puede paralizar toda una organización: una red encriptada es más o menos inútil y no se puede hacer mucho hasta que se restauren los sistemas.

Si una empresa tiene copias de seguridad, los sistemas pueden volver a estar en línea en el tiempo que tarda en restaurarse la funcionalidad de la red, aunque dependiendo del tamaño de la empresa, esto puede llevar desde algunas horas hasta días.

Sin embargo, aunque es posible recuperar la funcionalidad a corto plazo, a veces puede llevar meses que las organizaciones vuelvan a tener todos sus sistemas en funcionamiento.

También: Los principales servicios de almacenamiento en la nube

Aparte del impacto inmediato que el ransomware puede tener en una red, el incidente puede ocasionar un daño financiero continuo. Cualquier período de tiempo sin conexión perjudica a un negocio, ya que significa que la organización no puede brindar el servicio que se propone y no puede ganar dinero. Pero cuanto más tiempo esté el sistema fuera de línea, más grande puede ser ese impacto.

Y eso suponiendo que tus clientes quieran seguir haciendo negocios contigo: en algunos sectores, el hecho de ser víctima de un ciberataque puede alejar a los clientes.

¿Cómo elimino el ransomware?

La iniciativa No More Ransom, lanzada en julio de 2016 por Europol y la Policía Nacional de los Países Bajos en colaboración con varias empresas de ciberseguridad, ofrece herramientas gratuitas de descifrado para variantes de ransomware para ayudar a las víctimas a recuperar sus datos encriptados sin ceder ante la voluntad de los extorsionistas cibernéticos.

Disponible en docenas de idiomas, y ofreciendo cada vez más herramientas de descifrado para nuevas variantes de ransomware, el programa regularmente añade más herramientas.

También: Ciberseguridad 101: Todo sobre cómo proteger tu privacidad y mantenerse seguro en línea

Las empresas de seguridad también lanzan regularmente herramientas de descifrado para combatir la evolución continua del ransomware; muchas de ellas publicarán actualizaciones sobre estas herramientas en sus blogs de empresa tan pronto como hayan descifrado el código.

Otra forma de lidiar con una infección de ransomware es asegurarse de que tu organización haga copias de seguridad de datos de forma regular. Puede llevar algo de tiempo transferir los archivos de copia de seguridad a una nueva máquina, pero si una computadora está infectada y tienes copias de seguridad, es posible aislar esa unidad y seguir con tu negocio. Solo asegúrate de que los ciberdelincuentes no puedan cifrar también tus copias de seguridad.

¿Debo pagar el rescate?

Hay quienes aconsejan a las víctimas simplemente pagar el rescate, citándolo como la forma más rápida y fácil para recuperar sus datos encriptados. Y muchas organizaciones sí pagan, incluso si las agencias de aplicación de la ley advierten en contra.

Pero ten cuidado: si se divulga que tu organización es un objetivo fácil para los ciberdelincuentes porque pagó un rescate, podrías convertirte en el objetivo de otros ciberdelincuentes que buscan aprovecharse de tu baja seguridad. Y recuerda que estás lidiando con criminales y su naturaleza misma significa que podrían no cumplir su palabra: no hay garantía de que obtendrás la clave de desencriptación, incluso si la tienen. La desencriptación incluso no siempre es posible.

¿Puede el ransomware infectar tu teléfono inteligente?

Absolutamente. Los ataques de ransomware contra dispositivos Android han aumentado considerablemente, ya que los ciberdelincuentes se dan cuenta de que muchas personas no son conscientes de que los teléfonos inteligentes pueden ser atacados y su contenido (a menudo más personal que lo que guardamos en las computadoras) puede ser encriptado para exigir un rescate mediante código malicioso. Han surgido varias formas de ransomware para Android para atormentar a los usuarios móviles.

De hecho, cualquier dispositivo conectado a internet es un objetivo potencial para el ransomware.

¿Puede el ransomware infectar el Internet de las cosas?

El Internet de las cosas ya tiene mala reputación en cuanto a seguridad. A medida que más y más de estos dispositivos conectados lleguen al mercado, proporcionarán miles de millones de nuevos vectores de ataque para los ciberdelincuentes, lo que potencialmente permitiría a los hackers secuestrar tu hogar conectado o tu automóvil conectado. Un archivo encriptado es una cosa, pero ¿qué tal encontrar una nota de rescate en la pantalla de tu refrigerador inteligente o en el tablero de tu auto?

También: Los mejores dispositivos para el hogar inteligente, probados y revisados

Incluso existe la posibilidad de que los hackers puedan infectar dispositivos médicos, poniendo vidas en peligro directamente.

A medida que el ransomware continúa evolucionando, es crucial que tus empleados entiendan la amenaza que representa y que las organizaciones hagan todo lo posible para evitar la infección, porque el ransomware puede ser devastador y la desencriptación no siempre es una opción.

¡Cómo usar los asistentes de voz en tu hogar!
9 principales amenazas de seguridad móvil y...
Cómo eliminar una contraseña de inicio de s...
DALL-E 3 en ChatGPT Plus es útil pero tambi...
¿Cómo potenciar tus búsquedas en Google con...
Comparación de los mejores dispositivos de ...
Reviews

Reviews