El ransomware es un tipo de malware que bloquea los archivos del ordenador hasta que la víctima pague un rescate.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es un ataque de ingeniería social?
Carga malintencionada
Ataques en ruta
¿Qué es el desbordamiento del búfer?
¿Qué es la inyección de código SQL?
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
El ransomware es un software malicioso que bloquea los archivos y pide un rescate por ellos. El ransomware puede extenderse con rapidez por toda una red, y en algunos casos una infección se ha movido por varias redes pertenecientes a diferentes organizaciones. La persona o grupo que controla el ransomware solo desbloquea los archivos si la víctima paga el rescate.
Imaginemos que Chuck roba el portátil de Alice, lo guarda en su caja fuerte y le dice que solo podrá recuperarlo si le paga 200 dólares. Así es como operan los grupos de ransomware, solo que en lugar de robar físicamente los ordenadores, lo hacen digitalmente.
Las estrategias para prevenir las infecciones de ransomware incluyen el escaneado de todos los archivos y del tráfico de red en busca de malware, filtrado de consultas de DNS, uso de aislamiento de navegador para prevenir los ataques, y formar a los usuarios sobre las mejores prácticas de seguridad relacionadas con la información. Aunque ninguna estrategia de prevención de ransomware es infalible, mantener copias de seguridad de todos los datos puede ayudar a las empresas a recuperarse más rápido de un ataque de ransomware.
Los ataques típicos de ransomware siguen estos pasos básicos:
La encriptación es el proceso de codificar los datos para que no puedan ser leídos por nadie excepto por aquellos que tengan la clave de encriptación, que pueden utilizar para revertir la encriptación. La inversión de la encriptación se conoce como desencriptación.
La encriptación se utiliza con fines legítimos todo el tiempo y es un elemento fundamental de la seguridad y la privacidad en Internet. Pero los grupos de ransomware utilizan la encriptación de forma maliciosa para impedir que se puedan abrir y utilizar los archivos encriptados, incluidos sus legítimos propietarios.
Imaginemos que Chuck, en vez de robar el portátil de Alice, traduce todos sus archivos a un idioma que ella no puede leer. Algo similar sucede con la encriptación en un contexto de ransomware: Alice sigue teniendo acceso a los archivos, pero no puede leerlos ni utilizarlos. Básicamente, los archivos están perdidos hasta que encuentre una manera de traducirlos.
Pero a diferencia de la traducción de un idioma, desencriptar datos sin la clave de encriptación es casi imposible. El atacante se guarda la clave, por lo que tiene lo que necesita para negociar un rescate.
Lo habitual es que la petición de rescate venga con un límite de tiempo: paga antes de una determinada fecha límite o los archivos quedarán encriptados para siempre. El precio puede aumentar a medida que pasa el tiempo.
Los grupos de ransomware quieren que el pago de la víctima no se pueda rastrear con facilidad hasta ellos. Por esta razón, estos grupos suelen exigir el pago mediante criptomonedas u otros métodos que sean difíciles de rastrear para las fuerzas del orden.
Una vez pagado el rescate, el atacante desencripta los archivos a distancia o envía a la víctima la clave de desencriptación. El atacante casi siempre desencripta los datos encriptados o da la clave una vez se ha pagado el rescate. Al atacante le interesa cumplir su promesa de desbloquear los datos. Sin este paso, las futuras víctimas de ransomware dejarán de pagar el rescate porque saben que no servirá de nada, y los atacantes no ganarán dinero.
Una forma de malware relacionada es el "scareware". El "scareware" muestra un mensaje al usuario en el que se le indica que su dispositivo está infectado con malware y se le exige un pago para eliminarlo. Cuando se instala en un dispositivo, el scareware puede ser persistente y difícil de eliminar. Aunque puede bloquear el ordenador de la víctima, no suele pedir un rescate por los archivos y datos como hace el ransomware.
Los atacantes usan varios métodos para propagar el ransomware, pero lo más frecuente es que utilicen un tipo de malware conocido como "troyano". Un troyano es un archivo malicioso oculto en otra cosa (igual que el ejército griego estaba oculto en el caballo de Troya). Los usuarios tienen que ejecutar los troyanos para que funcionen, y los grupos de ransomware pueden engañarlos para que lo hagan de varias maneras:
También se sabe que los atacantes utilizan las vulnerabilidades para crear gusanos que se propagan por toda una red (e incluso por varias), sin que los usuarios hagan algo para impedirlo. Después de que se filtrara al público una vulnerabilidad desarrollada por la Agencia de Seguridad Nacional estadounidense en 2017, un gusano ransomware, WannaCry, utilizó este vulnerabilidad para infectar más de 200 000 ordenadores casi simultáneamente.
Independientemente del método utilizado, el objetivo es introducir el archivo malicioso, también conocido como carga útil maliciosa, en el dispositivo o la red. Una vez que se ejecuta, la carga maliciosa encripta los archivos del sistema infectado.
Antes de hacerlo, puede comunicarse con el servidor de mando y control del atacante (C&C) para recibir instrucciones. En ocasiones, el atacante esperará el momento oportuno para enviar una orden de encriptación de archivos, y de este modo el ransomware puede permanecer inactivo y sin ser detectado en un dispositivo o red durante días, semanas o incluso meses.
Un informe indicó que el precio medio que pagaban las víctimas de ransomware era de más de 300 000 dólares. Otro informe descubrió que el coste total medio de un ataque de ransomware, en términos de pérdida de negocio y otros factores, además del coste del rescate, era de cerca de 2 millones de dólares.
En 2020, una fuente estimó que los daños financieros causados por ransomware en los 12 meses ascendió a más de 1000 millones de dólares, aunque el coste real fue probablemente superior, si se tienen en cuenta los servicios perdidos y las víctimas que podrían haber pagado un rescate sin anunciarlo públicamente.
Para los delincuentes hay un enorme incentivo económico para llevar a cabo ataques de ransomware, así que es probable que el ransomware siga siendo un importante problema de seguridad.
Se calcula que el 95 % de las organizaciones que pagan el rescate acaban recuperando sus datos. Sin embargo, pagar un rescate puede ser una decisión controvertida. Hacerlo implica dar dinero a delincuentes, lo cual les permite seguir financiando sus empresas delictivas.
En algunos casos, puede que sea factible eliminar el ransomware de un dispositivo sin pagar el rescate. Las víctimas pueden intentar seguir estos pasos:
Sin embargo, estos pasos suelen ser difíciles de ejecutar en la práctica, especialmente cuando se ha infectado toda una red o centro de datos y es demasiado tarde para aislar el dispositivo infectado. Muchos tipos de ransomware son persistentes y se pueden duplicar a sí mismos o ser difícil de eliminar. Y muchos grupos de ransomware utilizan formas avanzadas de encriptación en la actualidad, que hacen que la desencriptación sea casi imposible sin la clave.
Ya que es extremadamente difícil eliminar el ransomware, el mejor enfoque es tratar de prevenir las infecciones de ransomware en primer lugar. Estas son algunas de las estrategias que pueden ayudar:
Incluso con estos métodos, no es posible prevenir al 100 % el ransomware, igual que no es posible prevenir al 100 % cualquier amenaza.
El paso más importante que puede dar una empresa es hacer una copia de seguridad de sus datos, para que si se produce una infección, pueda recurrir a la copia de seguridad en lugar de tener que pagar el rescate.
Similar a un ataque de ransomware, un ataque DDoS de rescate es básicamente un intento de extorsión. Un atacante amenaza con llevar a cabo un ataque DDoS contra un sitio web o una red a menos que se realice un pago. En algunos casos, el atacante puede comenzar el ataque DDoS primero y luego exigir el pago. Los ataques DDoS de rescate los puede detener un proveedor de mitigación DDoS (como Cloudflare).
Leer con más profundidad sobre los DDoS de rescate.
Los productos de Cloudflare bloquen el paso de varios vectores de amenaza que pueden producir una infección de ransomware. El filtrado de DNS de Cloudflare bloquea los sitios web no seguros. Cloudflare Browser Isolation evita las descargas no autorizadas y otros ataques basados en el navegador. Por último, una arquitectura Zero Trust puede ayudar a evitar que el ransomware se propague dentro de una red.