¿Qué es el ransomware? | Significado de ransomware

El ransomware es un tipo de malware que bloquea los archivos del ordenador hasta que la víctima pague un rescate.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir ransomware
  • Explicar cómo funciona el ransomware
  • Describir las técnicas de prevención de ransomware
  • Enumerar ataques famosos de ransomware

Copiar enlace del artículo

¿Qué es el ransomware?

¿Qué es el ransomware? - El ransomware infecta un ordenador y encripta los archivos

El ransomware es un software malicioso que bloquea los archivos y pide un rescate por ellos. El ransomware puede extenderse con rapidez por toda una red, y en algunos casos una infección se ha movido por varias redes pertenecientes a diferentes organizaciones. La persona o grupo que controla el ransomware solo desbloquea los archivos si la víctima paga el rescate.

Imaginemos que Chuck roba el portátil de Alice, lo guarda en su caja fuerte y le dice que solo podrá recuperarlo si le paga 200 dólares. Así es como operan los grupos de ransomware, solo que en lugar de robar físicamente los ordenadores, lo hacen digitalmente.

Las estrategias para prevenir las infecciones de ransomware incluyen el escaneado de todos los archivos y del tráfico de red en busca de malware, filtrado de consultas de DNS, uso de aislamiento de navegador para prevenir los ataques, y formar a los usuarios sobre las mejores prácticas de seguridad relacionadas con la información. Aunque ninguna estrategia de prevención de ransomware es infalible, mantener copias de seguridad de todos los datos puede ayudar a las empresas a recuperarse más rápido de un ataque de ransomware.

¿Cómo funciona el ransomware?

Los ataques típicos de ransomware siguen estos pasos básicos:

  1. El ransomware establece un punto de apoyo en un dispositivo o red.
  2. Encripta los archivos que encuentra.
  3. Muestra un mensaje exigiendo un pago para desencriptar los archivos.

La encriptación es el proceso de codificar los datos para que no puedan ser leídos por nadie excepto por aquellos que tengan la clave de encriptación, que pueden utilizar para revertir la encriptación. La inversión de la encriptación se conoce como desencriptación.

La encriptación se utiliza con fines legítimos todo el tiempo y es un elemento fundamental de la seguridad y la privacidad en Internet. Pero los grupos de ransomware utilizan la encriptación de forma maliciosa para impedir que se puedan abrir y utilizar los archivos encriptados, incluidos sus legítimos propietarios.

Imaginemos que Chuck, en vez de robar el portátil de Alice, traduce todos sus archivos a un idioma que ella no puede leer. Algo similar sucede con la encriptación en un contexto de ransomware: Alice sigue teniendo acceso a los archivos, pero no puede leerlos ni utilizarlos. Básicamente, los archivos están perdidos hasta que encuentre una manera de traducirlos.

Pero a diferencia de la traducción de un idioma, desencriptar datos sin la clave de encriptación es casi imposible. El atacante se guarda la clave, por lo que tiene lo que necesita para negociar un rescate.

Funciones comunes de las peticiones de rescate

Lo habitual es que la petición de rescate venga con un límite de tiempo: paga antes de una determinada fecha límite o los archivos quedarán encriptados para siempre. El precio puede aumentar a medida que pasa el tiempo.

Los grupos de ransomware quieren que el pago de la víctima no se pueda rastrear con facilidad hasta ellos. Por esta razón, estos grupos suelen exigir el pago mediante criptomonedas u otros métodos que sean difíciles de rastrear para las fuerzas del orden.

Una vez pagado el rescate, el atacante desencripta los archivos a distancia o envía a la víctima la clave de desencriptación. El atacante casi siempre desencripta los datos encriptados o da la clave una vez se ha pagado el rescate. Al atacante le interesa cumplir su promesa de desbloquear los datos. Sin este paso, las futuras víctimas de ransomware dejarán de pagar el rescate porque saben que no servirá de nada, y los atacantes no ganarán dinero.

¿Cuáles son los principales tipos de ransomware?

  • " Crypto" o ransomware encriptador: este es el tipo más habitual. Funciona como se ha descrito anteriormente.
  • Locker ransomware: en lugar de encriptar los datos, este tipo de ransomware simplemente bloquea a los usuarios de sus dispositivos.
  • Doxware: Doxware copia datos personales confidenciales y amenaza con sacarlos a la luz a menos que la víctima realice un pago. Doxware no suele encriptar los datos.

Una forma de malware relacionada es el "scareware". El "scareware" muestra un mensaje al usuario en el que se le indica que su dispositivo está infectado con malware y se le exige un pago para eliminarlo. Cuando se instala en un dispositivo, el scareware puede ser persistente y difícil de eliminar. Aunque puede bloquear el ordenador de la víctima, no suele pedir un rescate por los archivos y datos como hace el ransomware.

¿Cómo llega el ransomware a un dispositivo o red?

Los atacantes usan varios métodos para propagar el ransomware, pero lo más frecuente es que utilicen un tipo de malware conocido como "troyano". Un troyano es un archivo malicioso oculto en otra cosa (igual que el ejército griego estaba oculto en el caballo de Troya). Los usuarios tienen que ejecutar los troyanos para que funcionen, y los grupos de ransomware pueden engañarlos para que lo hagan de varias maneras:

  • Ingeniería social. Con frecuencia, los archivos maliciosos se ocultan en archivos adjuntos inofensivos en los correos electrónicos, y las bandas de ransomware envían correos electrónicos dirigidos que hacen creer a los destinatarios que tienen que abrir o descargar el archivo adjunto malicioso.
  • Descargas no autorizadas. Una descarga no autorizada es cuando al abrir una página web se descarga automáticamente un archivo. Las descargas no autorizadas tienen lugar en sitios web infectados o controlados por un atacante.
  • Infectar aplicaciones aparentemente legítimas que los usuarios descargan e instalan. Un atacante puede poner en riesgo una aplicación en la que el usuario confía, de modo que al abrirla también se instala el malware.
  • Crear aplicaciones falsas que en realidad son maliciosas. En ocasiones, los atacantes incluso disfrazan su malware como software antimalware.

También se sabe que los atacantes utilizan las vulnerabilidades para crear gusanos que se propagan por toda una red (e incluso por varias), sin que los usuarios hagan algo para impedirlo. Después de que se filtrara al público una vulnerabilidad desarrollada por la Agencia de Seguridad Nacional estadounidense en 2017, un gusano ransomware, WannaCry, utilizó este vulnerabilidad para infectar más de 200 000 ordenadores casi simultáneamente.

Independientemente del método utilizado, el objetivo es introducir el archivo malicioso, también conocido como carga útil maliciosa, en el dispositivo o la red. Una vez que se ejecuta, la carga maliciosa encripta los archivos del sistema infectado.

Antes de hacerlo, puede comunicarse con el servidor de mando y control del atacante (C&C) para recibir instrucciones. En ocasiones, el atacante esperará el momento oportuno para enviar una orden de encriptación de archivos, y de este modo el ransomware puede permanecer inactivo y sin ser detectado en un dispositivo o red durante días, semanas o incluso meses.

El coste de los ataques de ransomware

Un informe indicó que el precio medio que pagaban las víctimas de ransomware era de más de 300 000 dólares. Otro informe descubrió que el coste total medio de un ataque de ransomware, en términos de pérdida de negocio y otros factores, además del coste del rescate, era de cerca de 2 millones de dólares.

En 2020, una fuente estimó que los daños financieros causados por ransomware en los 12 meses ascendió a más de 1000 millones de dólares, aunque el coste real fue probablemente superior, si se tienen en cuenta los servicios perdidos y las víctimas que podrían haber pagado un rescate sin anunciarlo públicamente.

Para los delincuentes hay un enorme incentivo económico para llevar a cabo ataques de ransomware, así que es probable que el ransomware siga siendo un importante problema de seguridad.

Se calcula que el 95 % de las organizaciones que pagan el rescate acaban recuperando sus datos. Sin embargo, pagar un rescate puede ser una decisión controvertida. Hacerlo implica dar dinero a delincuentes, lo cual les permite seguir financiando sus empresas delictivas.

Eliminar el ransomware

En algunos casos, puede que sea factible eliminar el ransomware de un dispositivo sin pagar el rescate. Las víctimas pueden intentar seguir estos pasos:

  1. Aislar la máquina infectada desconectándola de todas las redes.
  2. Escanear y eliminar los archivos maliciosos con un software antimalware.
  3. Restaurar los archivos desde una copia de seguridad o utilizar una herramienta de desencriptación para desencriptar los archivos.

Sin embargo, estos pasos suelen ser difíciles de ejecutar en la práctica, especialmente cuando se ha infectado toda una red o centro de datos y es demasiado tarde para aislar el dispositivo infectado. Muchos tipos de ransomware son persistentes y se pueden duplicar a sí mismos o ser difícil de eliminar. Y muchos grupos de ransomware utilizan formas avanzadas de encriptación en la actualidad, que hacen que la desencriptación sea casi imposible sin la clave.

Prevenir el ransomware

Ya que es extremadamente difícil eliminar el ransomware, el mejor enfoque es tratar de prevenir las infecciones de ransomware en primer lugar. Estas son algunas de las estrategias que pueden ayudar:

  • El antimalware puede escanear todos los archivos para asegurarse de que no sean maliciosos y no contengan ransomware (esto no detectará todas las variedades de ransomware).
  • El filtrado de DNS puede evitar que los usuarios carguen sitios inseguros, y posiblemente impedir que la carga útil maliciosa se comunique con el servidor C&C del atacante.
  • El aislamiento de navegador puede cerrar varios posibles vectores de ataque, incluyendo las descargas no autorizadas.
  • Los filtros de seguridad del correo electrónico pueden marcar los correos electrónicos y archivos adjuntos como sospechosos.
  • Los equipos de TI pueden restringir los tipos de aplicaciones que pueden instalarse en un dispositivo para evitar que los usuarios instalen malware de forma accidental.
  • Los equipos de seguridad pueden formar a los usuarios para que identifiquen los correos electrónicos sospechosos, no hagan clic en enlaces no fiables y carguen sitios que no sean seguros, e instalen solo aplicaciones seguras y de confianza.

Incluso con estos métodos, no es posible prevenir al 100 % el ransomware, igual que no es posible prevenir al 100 % cualquier amenaza.

El paso más importante que puede dar una empresa es hacer una copia de seguridad de sus datos, para que si se produce una infección, pueda recurrir a la copia de seguridad en lugar de tener que pagar el rescate.

¿Cuáles fueron algunos ataques famosos de ransomware?

  • CryptoLocker (2013): Los ataques de ransomware con el troyano CryptoLocker tuvieron lugar desde septiembre de 2013 hasta mayo de 2014 e infectaron cientos de miles de sistemas. CryptoLocker se propagó principalmente a través de archivos adjuntos maliciosos en el correo electrónico. Se calcula que los atacantes ganaron unos 3 millones de dólares antes de que se dieran por concluidos los ataques.
  • WannaCry (2017): WannaCry fue un gusano ransomware que se aprovechó de una vulnerabilidad conocida como EternalBlue para propagarse de ordenador a ordenador; originalmente, esta vulnerabilidad la había desarrollado la NSA. WannaCry infectó más de 200 000 ordenadores en 150 países el 12 de mayo de 2017, hasta que un investigador de seguridad descubrió cómo desactivar el malware. Estados Unidos y el Reino Unido determinaron posteriormente que el ataque tenía su origen en Corea del Norte.
  • NotPetya (2017): NotPetya fue una variante de un tipo anterior de malware llamado Petya. NotPetya infectó a organizaciones de toda Europa y Estados Unidos, pero afectó especialmente a Rusia y Ucrania.
  • Ryuk (2018): El ransomware Ryuk se ha utilizado sobre todo para atacar a grandes empresas. Sus usuarios exigen cuantiosos rescates a las víctimas. El FBI estimó que los atacantes que estaban detrás de Ryuk ganaron más de 61 millones de dólares en pagos de rescates en 2018 y 2019. Ryuk se sigue utilizando todavía en 2021.
  • Ataque al oleoducto Colonial (2021): el mayor oleoducto de Estados Unidos fue desconectado por un ataque de ransomware en mayo de 2021. El FBI declaró que un grupo de ransomware llamado DarkSide fue el responsable del ataque.

¿Qué es un ataque DDoS de rescate?

Similar a un ataque de ransomware, un ataque DDoS de rescate es básicamente un intento de extorsión. Un atacante amenaza con llevar a cabo un ataque DDoS contra un sitio web o una red a menos que se realice un pago. En algunos casos, el atacante puede comenzar el ataque DDoS primero y luego exigir el pago. Los ataques DDoS de rescate los puede detener un proveedor de mitigación DDoS (como Cloudflare).

Leer con más profundidad sobre los DDoS de rescate.

¿Ayuda Cloudflare a prevenir los ataques de ransomware?

Los productos de Cloudflare bloquen el paso de varios vectores de amenaza que pueden producir una infección de ransomware. El filtrado de DNS de Cloudflare bloquea los sitios web no seguros. Cloudflare Browser Isolation evita las descargas no autorizadas y otros ataques basados en el navegador. Por último, una arquitectura Zero Trust puede ayudar a evitar que el ransomware se propague dentro de una red.

Ventas