El ransomware es una forma de ataque cibernético que se sofistica a la par del avance de la tecnología, lo cual le permite aprender a evadir la ciberseguridad que lo combate.
Las empresas que se enfrentan a este tipo de malware pueden llegar a perder grandes cantidades de dinero, interrumpir sus operaciones y dañar su reputación.
Es por lo anterior que reconocer, prevenir y saber enfrentar este tipo de peligro, resulta fundamental para que las organizaciones no terminen quebrando.
En este artículo te enseñaremos cómo funciona el ransomware, qué debes hacer si eres víctima de un ataque y cómo prevenir que este malware infecte y dañe tus sistemas.
Ransomware podría traducirse al español como secuestro de información. Es un software malicioso que es instalado en los servidores con el objetivo de encriptar la información de las empresas y exigir un pago para su recuperación.
Pero ¿Qué significa que la información esté encriptada? Quiere decir que los archivos están bloqueados y por lo tanto no se puede acceder a ellos a menos que se tenga una clave que los descifre.
La forma de operar de los atacantes de ransomware es infundir miedo en sus víctimas para que estas realicen su voluntad.
Los ciberdelincuentes usan dos tipos de amenazas principales: advertir sobre el borrado definitivo de la información encriptada o intimidar diciendo que la harán pública o la venderán en el mercado negro.
Ambas amenazas persiguen que las empresas se sometan a presión y paguen el rescate para que su información no se divulgue o se pierda.
Cuando una empresa ve este peligro, las operaciones se ven interrumpidas y su reputación se encuentra en gran riesgo, opta por pagar el rescate y al hacerlo puede que el delincuente restablezca los accesos o puede que no.
Más adelante profundizaremos en las consecuencias de pagar un rescate, pero primero conozcamos los métodos que utilizan los ciberdelincuentes para infectar con ransomware.
El phishing es una estrategia de infección que se da por medio del email o desde un mensaje instantáneo.
A través de la ingeniería social el atacante convence a sus víctimas de realizar descargas de documentos aparentemente legítimos o abrir enlaces maliciosos, destinados a robar sus credenciales para así poder ingresar a sus sistemas.
Malvertising es la mezcla de las palabras malicious y advertising, por lo tanto podría traducirse como anuncio malicioso.
Los atacantes pueden distribuir estos falsos anuncios en línea, incluso en sitios web de confianza, y si el usuario hace clic sobre él, el ransomware estará ejecutándose.
Las descargas drive-by consisten en un sitio web malicioso creado por el atacante, diseñado para que cuando el usuario ingrese a él, automáticamente se descargue el malware de forma secreta.
Si bien los hackeos a los sistemas operativos por medio del ransomware se ejecutan por descarga, los atacantes también pueden infiltrarse por las cavidades de los programas, llamadas vulnerabilidades.
Dichas vulnerabilidades pueden verse como agujeros en la seguridad de los softwares y la falta de actualización en los servidores, aplicaciones o antivirus.
Ahora que sabemos cómo pueden introducirse en los sistemas, veamos que tipos de ransomware existen y algunos casos en donde los cibercriminales han logrado infectar a grandes empresas.
Algunos de los tipos de malware son los siguientes:
Este tipo de ransomware aprovecha las vulnerabilidades de los sistemas del negocio para acceder a sus archivos.
El atacante puede ingresar desde la cuenta de un empleado sin demasiados accesos pero encontrar desde allí más vulnerabilidades hasta poder ingresar a la cuenta del administrador y obtener el control absoluto de los servidores.
Un firmware es una aplicación inherente al funcionamiento de un dispositivo.
En el caso de una USB, el ransomware se inserta dentro del firmware para ser indetectable y cuando este se conecta a un equipo, se facilita la infección.
Los antivirus pueden detectar este malware y deshacerlo de inmediato, pero al no revisar de dónde viene dicha infección, la USB puede seguir insertándose en diferentes dispositivos y ejecutar el ransomware en la mejor oportunidad, es decir en el sistema con más defectos.
El doxing es un tipo de ataque ransomware en el que se ejecuta el malware a través de la descarga de un archivo malicioso o el clic a un enlace infectado.
Estos enlaces y archivos comúnmente se adjuntan a correos electrónicos que aparentan ser auténticos (phishing). Y tienen automatizado un mensaje inmediato, después de la descarga o clic, destinado a pedir un rescate y amenazar.
El scareware, como su nombre indica, es un software falso que pretende espantar a los usuarios. Su propósito es incentivar a su descarga, convenciéndolos de la urgente necesidad de hacerlo.
Por ejemplo:
Amanda se encuentra escribiendo un artículo en su computadora, cuando de repente en su pantalla aparece un mensaje de advertencia que le notifica problemas en su equipo.
Amanda decide ignorarlo y cerrar el mensaje, pero seguidamente comienzan a aparecer ventanas emergentes y más mensajes de alerta, lo cual le denota urgencia y la impulsa a descargar dicho software que por supuesto infecta al equipo.
Los screenlockers son programas que bloquean el acceso a los dispositivos.
Por medio de mensajes de una aparente institución oficial, los atacantes de ransomware logran que el usuario les otorgue acceso y proceden a bloquear los equipos.
Los filecoders son los encargados de cifrar los archivos de los dispositivos infectados y bloquear el acceso a ellos.
El ransomware es uno de los malwares más utilizados, y se usa para infectar desde individuos convencionales, hasta empresas transnacionales, a continuación revisaremos algunos ejemplos de los casos más populares.
Wannacry, conocido también como WCry o WannaCryptor fue un ataque de ransomware ejecutado en el año 2017 que se distribuyó por medio de un archivo zip infectado.
Este malware se propagó por todo el planeta y afectó aproximadamente a 200000 equipos Windows, entre los que se encontraban algunos pertenecientes a empresas de telecomunicaciones, instituciones financieras, e incluso centros de salud.
¿Cómo se logró un ataque de esta magnitud? Primero una persona usuaria, bajo un engaño, abrió un archivo aparentemente inofensivo, el cual inmediatamente encriptó el contenido de su computadora.
Después le apareció un anuncio que advertía que los archivos se habían encriptado y desglosaba las instrucciones de pago del rescate.
Posteriormente se procedió a la amenaza y se generó presión en la víctima.
A la par el programa se propagó y extendió a través de las redes por más de 170 países, sin ser detectado.
Corría el año 2013 cuando el Cryptolocker fue ejecutado. Su distribución se dio a través del correo electrónico y gracias a la botnet Zeus.
Este ransomware afectó a medio millón de personas y logró obtener lo equivalente a aproximadamente 48 millones de pesos mexicanos derivados del pago de rescates.
El cryptolocker aparentaba ser un software popular. Una vez que era instalado en el equipo y lo infectaba, se encargaba de hacer una búsqueda exhaustiva de archivos comprometedores o sensibles y los cifraba.
Cuando finalizaba el ataque, se arrojaba un mensaje que exigía una transferencia electrónica para desbloquear la información, o bien se realizaba una transmisión en vivo de la cámara web de la víctima para que ésta se sintiera observada.
Lo que diferenció al ransomware Cryptolocker de otros fue que no se enfocaba en bloquear los equipos, sino solo los archivos personales de los usuarios.
El grupo criminal REvil diseñó un ransomware muy evolucionado que es capaz de infectar cualquier sistema sin ser detectado y avanzar en movimiento lateral.
Sodinokibi tiene como característica principal su complejidad, la cual hace más difícil la recuperación de los sistemas y por lo cual exige rescates más costosos.
Negocian el rescate por medio de una URL única con terminación .onion en donde el atacante comunica la cantidad de bitcoins que precisa, así como la fecha límite para abonarlos.
Además REvil ni siquiera se encargó de ejecutarlo, sino que lo puso disponible en el mercado negro como un RaaS (Ransomware as a Service) para aquellos cibercriminales que desearan atacar a grandes organizaciones de magnitud global.
Sodinokibi deja a sus desarrolladores del 20% al 30% de la ganancia del ataque, y continúa disponible para ser utilizada.
A estas alturas y con el recorrido que llevamos hasta ahora, seguramente puedes tener una idea de cómo se produce una infección de ransomware, pero para que no quede ninguna duda, a continuación te lo exponemos con mayor detalle.
En esta primera etapa, el atacante induce a la víctima para que ejecute el malware en su sistema informático y lo penetra (generalmente los archivos que contienen este virus tienen extensión .exe).
O bien identifica una vulnerabilidad dentro de un equipo y explota los sistemas operativos.
El sistema infectado se conecta al centro de control del atacante de manera remota.
En el CC (Centro de Control) en cibercriminal puede identificar las características del equipo de la víctima y detectar los archivos para enfocar la amenaza.
Posteriormente ejecuta órdenes para lanzar el ataque.
Cuando comienza la ejecución, el ransomware encripta los datos seleccionados por el cracker, bloqueando el acceso a archivos importantes, pudiendo incluso cifrar aquellos que se encuentran en la web, o sea almacenados en cloud.
Cuando ha bloqueado sus objetivos, es momento de comunicar a la víctima lo que está pasando.
El atacante lanza la amenaza y exige el pago del rescate. Incluyendo el chantaje de publicar su información confidencial en internet o borrarla definitivamente.
La mayoría de estos delincuentes dan una fecha límite para realizar el pago, y piden que este se salde por medio de Bitcoin, pues esta herramienta permite el anonimato del propietario, facilita la transferencia de fondos a nivel internacional y es prácticamente imposible revertir la transacción.
Tan pronto como la organización haya pagado el rescate debe notificarle al ciberdelincuente para que este proceda a otorgarle las claves de descifrado.
Es importante destacar que una vez realizado el pago el atacante puede decidir aumentar el monto del rescate al ver la capacidad de la empresa, por lo que al abonar un rescate quedas a merced de la honestidad del ciberdelincuente.
Si te encuentras bajo ataque de este malware te recomendamos seguir los siguientes pasos para evitar un gran desastre para tu organización.
¡No dejes que escale!
A. Identifica el riesgo: evalúa y gestiona el riesgo a la ciberseguridad de tus sistemas, activos, datos, empleados y operaciones.E. Recupera: restablece las capacidades y servicios de tus sistemas. Si tienes un respaldo, restáuralo (no en la computadora infectada).
F. Denuncia: Las infecciones de malware son un delito, por lo que tienes derecho a denunciar el abuso. Asegúrate de contar con pruebas.
Lo mejor que puedes hacer es consultar con un experto en ciberseguridad y contratar sus servicios para que pueda asesorarte para a solucionar tu problema.
Recuerda que los ciberatacantes no tienen ninguna obligación contigo, pues están cometiendo un crimen y, por lo tanto, no hay ninguna regulación legal que te permita tener un respaldo de su palabra, es decir que al pagar el rescate no existen garantías de que tus datos sean devueltos..
Si decides pagar el rescate toma en cuenta que estás depositando tu confianza en el criminal que te ha hackeado.
Además, comúnmente, cuando un ciberdelincuente observa que una empresa es capaz de pagar un rescate, se da cuenta de que tiene potencial y probablemente aprovechará la oportunidad para hackear de nuevo en el futuro.
Si bien no hay manera certera de evitar un ataque de ransomware, existen diferentes estrategias para prevenir y minimizar el daño.
En seguida te compartimos un plan para proteger tus sistemas contra este malware.
No todos tenemos amplios conocimientos sobre ciberseguridad, y mucho menos sobre cómo evitar infecciones de ransomware.
Es importante que capacites a tus empleados en prácticas seguras en el ciberespacio, para así evitar potenciales riesgos.
Como revisamos anteriormente, los atacantes persuaden a los usuarios para lograr sus objetivos maliciosos, por lo que tu entrenamiento debe incluir una política que les indique cómo navegar y utilizar los dispositivos.
De esta manera tu personal sabrá que no debe acceder a sitios web personales, evitará descargar aplicaciones no oficiales, identificará archivos dudosos, aprenderá a desconfiar del remitente de correo.
Incluso puedes proveerles una lista blanca de aplicaciones permitidas y archivos ejecutables que deben evitar.
Utiliza software de seguridad e instala parches para las deficiencias de tus sistemas operativos.
También resulta imprescindible que tengas un buen manejo de los accesos con la menor cantidad de privilegios posibles, alinéalos a las actividades. Es decir un contador Jr. no va a tener las mismas llaves de acceso que un gerente.
Además utiliza la autenticación multifactorial y verifica de manera periódica que las credenciales de todos los activos y software estén asignadas adecuadamente.
También te recomendamos configurar tus sistemas operativos para que solo las aplicaciones autorizadas puedan ser descargadas, para bloquear los recursos de sitios web no confiables, así como para protegerte de los dominios de email desconocidos (utiliza antispam).
Filtra tus archivos de correo electrónico bloqueando aquellos que tengan extensión .exe, .bat, .cmd, .scr, .js. Pues estas son algunas de las que contienen el malware.
Finalmente queremos recalcar que es mucho mejor que utilices una VPN, así como que contratar un experto en ciberseguridad te ayudará a conocer mejor tus vulnerabilidades y a reducir las posibilidades de ser atacado.
Cuando un ciberatacante envía un descargable por email, tiene la capacidad de ocultar su extensión (con una doble extensión), por ejemplo hacer parecer que un .exe es un .pdf. Algo que se vería más o menos así: archivo.pdf.exe, pero que es invisible para el usuario.
Afortunadamente puedes configurar tus equipos para que muestren las direcciones ocultas de los archivos.
Un software de detección de malware, como el antivirus, te permitirá escanear correos electrónicos y USBs para detectar la intrusión del ransomware antes de que logre cifrar toda la información.
Las copias de seguridad o backups son elementos esenciales en la recuperación de incidentes.
Al tener un respaldo, debes asegurarte de que este funciona correctamente e internarlo en un dispositivo externo que sea independiente a la red y a la conexión.
Como mínimo te sugerimos que tengas dos dispositivos distintos con las copias de seguridad y verificar mensualmente su capacidad de restaurar la información.
No es recomendable mantener los backups en la nube ya que al estar conectada a los sistemas y redes empresariales, se expone la copia a la infección.
La segmentación de la red es una práctica esencial en la ciberseguridad que ayuda a limitar la cantidad de máquinas a las que un atacante puede llegar desde un único punto de entrada.
Cuando un equipo se encuentra en un segmento de red aislado del resto, es muy poco probable que se vea infectado. Esto reduce significativamente el riesgo de propagación de malware.
Es recomendable el uso de subredes que representen áreas lógicas de la organización, como departamentos o equipos de trabajo específicos.
Los equipos dentro de cada subred pueden tener acceso restringido sólo a los recursos y sistemas necesarios para llevar a cabo sus funciones, limitando así la exposición a posibles amenazas.
Las actualizaciones de tus sistemas tienen que abarcar dos ejes:
Estas son prácticas esenciales para reducir la exposición a riesgos y mejorar la resiliencia ante posibles ataques.
El ransomware representa un gran peligro para las empresas en la actualidad, con el potencial de causar pérdidas financieras significativas, interrupción de operaciones y daño a la reputación.
Es esencial que las organizaciones comprendan la naturaleza de este malware, sus métodos de propagación y los riesgos asociados. Además, es necesario implementar medidas sólidas de prevención y protección de sus sistemas.
La preparación es crucial en la lucha contra el ransomware, toma medidas proactivas para protegerte de esta amenaza en constante evolución. Esperamos que nuestras recomendaciones sean de ayuda.