Ciberataques

Qué es el Ransomware: cómo funciona y cómo evitarlo

Aprende qué es el ransomware y cómo funciona, para que puedas prevenir cualquier ataque que amenace la ciberseguridad de tu empresa.

15/8/2024

Todo director o responsable de TI sabe que estar preparado para el desastre es parte del trabajo. Entre el software malicioso, el malware y las amenazas informáticas, tratamos de anticiparnos a lo peor. Sin embargo, hay una ciberamenaza que ha generado un nivel de ansiedad sin precedentes: el ransomware. Esta forma de malware, que cifra archivos y exige un rescate para liberarlos, ha visto un aumento alarmante en los últimos años.

Recientes casos en Latinoamérica, especialmente los ocurridos en el último año, han avivado el miedo y la preocupación. El incremento significativo de los ataques de ransomware en la región nos lleva a cuestionarnos constantemente: ¿He actualizado todos mis equipos Windows con los últimos parches? ¿Hay vulnerabilidades de día cero de las que no estoy al tanto? ¿Hemos hecho copias de seguridad de todos los archivos críticos?

La realidad es que debemos estar en alerta permanente. Según el informe DBIR de Verizon, el ransomware es una de las tres amenazas informáticas más grandes a nivel mundial, y su impacto no muestra signos de disminuir. En Latinoamérica, esta tendencia es igualmente preocupante, lo que subraya la necesidad de entender qué es el ransomware, cómo funciona y por qué es crucial protegerse contra esta peligrosa ciberamenaza.

¿Qué es el Ransomware?

El ransomware es un tipo de malware extremadamente dañino que puede infectar diversos dispositivos informáticos. En esencia, un ataque de ransomware cifra los archivos de tu equipo de manera maliciosa, con el objetivo de exigir un rescate para su recuperación, usualmente pagado en criptomonedas.

El ransomware puede infiltrarse en tus dispositivos a través de diversas vías. Puede venir adjunto a un correo electrónico, en un documento de Microsoft Word o Excel, en fotos aparentemente inofensivas que abriste en tu equipo de oficina, o incluso en juegos que te han prohibido descargar. Como ocurre con la mayoría de los tipos de malware, solo se necesita una pequeña vulnerabilidad no parcheada en tu sistema para que el ransomware cause daños significativos.

Además, el ransomware es más complejo que el simple cifrado de archivos. Muchos ataques de ransomware emplean técnicas avanzadas similares a las de los troyanos u otros tipos de malware. Por ejemplo, utilizan técnicas de persistencia, como la búsqueda de puertos abiertos en la red privada o la replicación a través de correos electrónicos, para infectar otras máquinas dentro de la organización. Asimismo, emplean técnicas de ofuscación para evitar ser detectados inicialmente, desencadenando ataques masivos con consecuencias graves.

Cómo funciona el Ransomware

El ransomware opera a través de un proceso meticuloso y bien planificado que involucra varias etapas. Cada una de estas etapas está diseñada para maximizar la efectividad del ataque y garantizar que las víctimas se vean obligadas a pagar el rescate. A continuación, se describen las principales fases del funcionamiento del ransomware:

  1. Infiltración y Propagación: El ransomware se introduce en el sistema de la víctima a través de distintos vectores de ataque, como correos electrónicos phishing, descargas de software malicioso, vulnerabilidades en software desactualizado, y sitios web comprometidos. Los correos electrónicos de phishing suelen ser la táctica más común, donde el malware se oculta en archivos adjuntos o enlaces engañosos.
  2. Ejecutación del Código Malicioso: Una vez que el usuario abre el archivo adjunto infectado o hace clic en un enlace malicioso, el código del ransomware se ejecuta. En muchos casos, el ransomware aprovecha vulnerabilidades no parcheadas en el sistema operativo o en aplicaciones comunes para ejecutar su código sin ser detectado.
  3. Cifrado de Archivos: El siguiente paso es el cifrado de los archivos de la víctima. El ransomware busca y cifra archivos importantes en el sistema, como documentos, imágenes, y bases de datos, utilizando algoritmos de cifrado avanzados (por ejemplo, RSA o AES). Este proceso asegura que los archivos no puedan ser accesados sin la clave de descifrado.
  4. Demanda de Rescate: Una vez que los archivos están cifrados, el ransomware muestra un mensaje de rescate en la pantalla de la víctima, informándole sobre la infección y proporcionando instrucciones sobre cómo pagar el rescate para recibir la clave de descifrado. El pago generalmente se solicita en criptomonedas, como Bitcoin, para mantener el anonimato del atacante.
  5. Persistencia y Expansión: En algunos casos, el ransomware puede instalar componentes adicionales para garantizar la persistencia en el sistema infectado y propagarse a otros dispositivos en la red. Esto se logra mediante técnicas de movimiento lateral y la explotación de vulnerabilidades de red, asegurando que la infección se expanda a la mayor cantidad de dispositivos posible.

Tipos de Ransomware comunes

Si bien la mayoría de los ataques tienen en común las condiciones anteriormente descritas, existen muchos métodos comunes o familias de ransomware. Estos ataques, similares a las cepas de enfermedades virales, comparten métodos de entrada, creadores o víctimas comunes. Entre los más destacados están:

Bad Rabbit

Conocido en Europa del Este y en Rusia, este ransomware se hace pasar por una actualización falsa de Flash que proviene de un sitio malicioso. Luego de su instalación, procede a encriptar el equipo y solicitar 0,5 BTC para el desbloqueo.

Cerber

Los reyes del RaaS o "ransomware como servicio", una de las nuevas variantes de ransomware. Cerber ofrece afiliarse a su plataforma e implementar su malware donde tú quieras, quedándose con el 40% del rescate. Utiliza un poderoso cifrado RSA, por lo que si eres víctima, prepárate para pagar el rescate.

CryptoLocker

Considerado por muchos como el padre y modelo de todo el ransomware actual. CryptoLocker comenzó a propagarse a través de una poderosa botnet durante el año 2013, y si bien dicha botnet fue desactivada –y sus autores tras las rejas– CryptoLocker ha inspirado a muchísimos clones, como TorrentLocker.

Petya - NotPetya - GoldenEye

La familia de ransomware Petya tiene una larga historia. No solo su encriptación es poderosa, sino que tienen un componente extra: impidiendo el arranque de Windows. Petya y sus parientes cercanos, NotPetya y GoldenEye, se almacenan en el MBR o registro de arranque maestro del disco duro, encriptando la tabla maestra de archivos (MFT). Esto les da una ventaja: sin modo seguro ni pudiendo iniciar el sistema operativo, el usuario pierde el control total de la máquina.

El caso de NotPetya es especial. En el año 2017, un año después del descubrimiento del Petya original, un grupo aparentemente apoyado por la GRU realizó un ciberataque mundial masivo usando dicho ransomware. El país más afectado fue Ucrania, ya que NotPetya había sido modificado no para solicitar rescate, sino para volverse irreversible. Hasta el día de hoy, NotPetya es considerado el ransomware más destructivo del mundo.

Como trivia, tanto "Petya" como "GoldenEye" son referencias a James Bond.

Jigsaw

Hablando de cultura popular, Jigsaw es un tipo especial de ransomware. Aparte de la referencia literal a las películas de "Saw: El Juego del Miedo" (al usar al muñeco Billy como imagen), Jigsaw va borrando progresivamente tus archivos a medida que pasa el tiempo. Si la victima, no ha pagado el rescate antes de las 72 horas de comenzada la infección del ransomware, se borran todos sus archivos.

Sodinokibi - Revil

Otro ransomware como servicio (Raas) relativamente reciente y denominado "el principe coronado del ransomware" por expertos en seguridad. Se aprovecha de dos vulnerabilidades en equipos Windows, entrando a las máquinas a través de archivos descargados por scripts Javascript maliciosos.

Se cree que Sodinokibi es el causante de la interrupción de servicio en Banco Estado en Chile y en el servicio aduanero de Argentina.

Spider

Un tipo de ransomware muy extendido en Europa. Se propaga a través de correos electrónicos basura, escondido en documentos de Microsoft Word, que contienen software malicioso dentro de los macros. En cuanto dichos macros del documento se ejecutan, el ransomware se instala.

Características de un Ataque de Ransomware: Cómo Reconocerlo

Reconocer los signos de un ataque de ransomware es crucial para poder actuar rápidamente y mitigar el daño. Aquí se describen algunas características y señales comunes que pueden indicar la presencia de ransomware en un sistema:

  1. Acceso Restringido a Archivos: Uno de los signos más evidentes de un ataque de ransomware es la imposibilidad de acceder a archivos que previamente eran accesibles. Los archivos pueden tener nuevas extensiones o nombres alterados, indicando que han sido cifrados.
  2. Mensajes de Rescate: Los atacantes suelen dejar un archivo de texto o un mensaje en la pantalla del dispositivo afectado. Este mensaje explica que los archivos han sido cifrados y proporciona instrucciones sobre cómo pagar el rescate para obtener la clave de descifrado. El mensaje puede aparecer como una ventana emergente o un fondo de escritorio modificado.
  3. Extensiones de Archivos Cambiadas: Los archivos afectados por ransomware a menudo tienen sus extensiones cambiadas a algo inusual, como .encrypted, .locked, o una serie de caracteres aleatorios. Esto indica que los archivos han sido cifrados y renombrados por el malware.
  4. Actividad del Sistema Anómala: Durante un ataque de ransomware, el rendimiento del sistema puede disminuir notablemente. La CPU y el disco duro pueden estar funcionando a máxima capacidad debido al proceso de cifrado, lo que puede ralentizar otras operaciones en el equipo.
  5. Archivos de Registro de Ransomware: Algunos ransomware crean archivos de registro o de texto que detallan el proceso de cifrado y las instrucciones para el pago del rescate. Estos archivos suelen estar ubicados en carpetas visibles y contienen información técnica sobre el ataque.
  6. Alertas de Seguridad: En algunos casos, el software antivirus o de seguridad puede detectar y alertar sobre la presencia de ransomware antes de que complete el cifrado de archivos. Estas alertas pueden proporcionar información sobre el tipo de ransomware y sugerir acciones inmediatas para mitigar el ataque.
  7. Redirección a Sitios Web de Pago: Algunos tipos de ransomware redirigen al usuario a sitios web específicos donde se debe realizar el pago del rescate. Estos sitios suelen estar en la dark web y requieren el uso de navegadores específicos, como Tor, para acceder a ellos.
  8. Solicitudes de Pago en Criptomonedas: Los mensajes de rescate casi siempre solicitan el pago en criptomonedas como Bitcoin. Esta demanda de pago en criptomonedas es un indicativo claro de un ataque de ransomware, ya que proporciona anonimato a los atacantes.
  9. Bloqueo del Sistema Operativo: Algunos ransomware, como Petya y sus variantes, no solo cifran archivos, sino que también bloquean el acceso al sistema operativo, impidiendo que el usuario arranque el equipo normalmente. Este bloqueo total del sistema es un signo inequívoco de un ataque grave de ransomware.

Las consecuencias de un ataque de Ransomware

Un ataque de Ransomware trae consigo una multitud de problemas, muchos de ellos compartidos con el resto de las vulnerabilidades conocidas. Sin embargo, la magnitud y gravedad de los ataques es especialmente dañina para ciertos sectores de nuestras organizaciones.

  1. Interrumpe la continuidad del negocio. Un ataque de ransomware inutiliza de manera inmediata a un número determinado de equipos. Asimismo, al tratar de contener el accionar de los ciberdelincuentes la respuesta lógica es apagar el resto de los equipos, lo que debilita aún más la continuidad de trabajo y negocio de cualquier organización.
  2. Puede significar una pérdida económica importante. En gran parte de los casos, las empresas que se ven envueltas en ataques de ransomware suelen ceder ante la presión y pagar los rescates solicitados por los criminales. Al mismo tiempo, el proceso de recuperación puede ser complicado, y la reparación y/o contratación de especialistas es costosa.
  3. Pone en riesgo información clave del negocio. De no lograr recuperar satisfactoriamente los archivos cifrados, o al sufrir el ataque de un ransomware peligroso e irreversible, es posible perder dichos archivos sin solución.
  4. Disminuye la confianza en la organización. Ser vulnerado suele ser indicativo de una falla en los procesos de seguridad, por lo que todo ataque informático trae como consecuencia desconfianza a nivel externo e interno. Esto se hace extensivo a los usuarios de nuestras plataformas, potenciales clientes que ven con malos ojos una intrusión, e incluso a nuestros propios empleados.
  5. Puede ser la puerta de entrada para otro tipo de ataques. Cuando los cibercriminales encuentran una puerta abierta, el ransomware no es lo único que implementan. De hecho, muchas herramientas de este estilo son complejas y pueden abrir el camino a ataques de fuerza bruta con datos obtenidos de phishing, el compromiso de otros equipos en la red o más malware.

¿Qué hacer si eres víctima de un ataque de Ransomware?

1. Mantén la Calma y No Pagues el Rescate

Aunque puede ser tentador pagar el rescate para recuperar el acceso a tus archivos, esta no es una solución recomendada. Pagar solo incentiva a los atacantes a seguir con sus actividades delictivas y no garantiza que recuperarás tus archivos. Además, la adquisición de criptomonedas para el pago puede ser complicada y riesgosa.

2. Desconecta el Dispositivo de la Red

Inmediatamente desconecta el dispositivo afectado de internet y de cualquier red local. Esto ayudará a prevenir la propagación del ransomware a otros dispositivos en la misma red.

3. Toma Evidencia del Ataque

Captura una foto de la nota de rescate con tu teléfono inteligente y, si es posible, toma una captura de pantalla en el dispositivo afectado. Esta evidencia será útil para reportar el incidente a las autoridades y a los profesionales de ciberseguridad.

4. Ejecuta un Producto de Seguridad Conocido

Descarga e instala un software de seguridad reconocido, como Malwarebytes, Emsisoft Anti-Malware, o Norton Power Eraser. Ejecuta un análisis completo del sistema para identificar y eliminar la amenaza. Estas herramientas están diseñadas para detectar y eliminar ransomware y otros tipos de malware.

5. Identifica la Variante de Ransomware

Utiliza servicios gratuitos como Emsisoft’s Ransomware Identification Tool o ID Ransomware. Estos servicios te permiten cargar una muestra del archivo cifrado o la nota de rescate para identificar la variante específica de ransomware que te ha afectado. Con esta información, podrás buscar herramientas de descifrado específicas.

6. Busca Herramientas de Descifrado

Existen muchas herramientas de descifrado disponibles en línea. Una vez que identifiques la variante de ransomware, visita sitios web como No More Ransom para encontrar la herramienta de descifrado adecuada. Este sitio ofrece una lista actualizada de herramientas de descifrado disponibles para diferentes variantes de ransomware.

7. Aísla los Sistemas Afectados

Para contener la infección, aísla los sistemas afectados. Esto puede incluir la desconexión de dispositivos de la red y la desactivación de unidades compartidas. Este paso es crucial para detener la propagación lateral del ransomware a otros dispositivos en la red.

8. Cambia Todas las Contraseñas

Una vez que hayas desconectado los sistemas afectados y eliminado el ransomware, cambia todas las contraseñas asociadas a tus cuentas en línea y sistemas. Este paso es esencial para asegurar que los atacantes no puedan acceder a tus cuentas nuevamente.

9. Reporta el Ataque a las Autoridades

Comunica el incidente a las autoridades locales o a organismos especializados como el FBI. Aunque es posible que no puedan recuperar tus archivos, reportar el ataque ayuda a las fuerzas del orden a rastrear y combatir a los ciberdelincuentes, y puede prevenir futuros ataques.

10. Considera Asesoramiento Profesional

Si el ataque es particularmente complejo, considera buscar ayuda de una empresa especializada en respuesta a incidentes de ransomware. Estas empresas pueden negociar con los atacantes y trabajar para encontrar una solución que minimice el impacto en tu negocio.

¿Cómo prevenir un ataque de Ransomware?

Implementar medidas de seguridad informática proactivas es esencial para proteger a tu organización contra los ataques de ransomware. Aquí hay pasos técnicos y estratégicos que puedes seguir para mitigar el riesgo:

1. Invertir en un Programa de Seguridad Informática

Contar con un programa de seguridad robusto es fundamental para la defensa contra el ransomware. Esto incluye:

  • Software Antivirus y Antimalware: Instala soluciones de seguridad de alta calidad que incluyan protección contra malware y ransomware. Asegúrate de que estos programas estén configurados para realizar análisis frecuentes y automáticos.
  • Firewall de Red: Implementa y configura adecuadamente firewalls para monitorear y controlar el tráfico entrante y saliente de la red.
  • Sistemas de Detección y Prevención de Intrusiones (IDS/IPS): Estos sistemas ayudan a identificar y bloquear actividades sospechosas antes de que puedan causar daño.

2. Crear Copias de Seguridad Regularmente

Realizar copias de seguridad de tus datos de forma regular es una de las mejores defensas contra el ransomware. Aquí hay algunos puntos clave:

  • Frecuencia de las Copias de Seguridad: Realiza copias de seguridad diarias, semanales y mensuales de tus datos críticos.
  • Almacenamiento de las Copias de Seguridad: Guarda las copias de seguridad en ubicaciones físicas separadas y en la nube. Asegúrate de que las copias de seguridad estén desconectadas de la red principal para evitar que el ransomware las afecte.
  • Pruebas de Recuperación: Realiza pruebas periódicas de recuperación de datos para asegurarte de que las copias de seguridad sean funcionales y estén actualizadas.

3. Mantener los Equipos y Sistemas Operativos Actualizados

Las actualizaciones periódicas de software y sistemas operativos son cruciales para protegerte contra vulnerabilidades explotables:

  • Actualizaciones Automáticas: Configura los sistemas para que reciban actualizaciones automáticas de software y parches de seguridad.
  • Gestión de Parches: Implementa un programa de gestión de parches que incluya la evaluación, prueba y aplicación de parches de seguridad en un plazo oportuno.
  • Vulnerabilidades Críticas: Mantente informado sobre las vulnerabilidades críticas en aplicaciones y sistemas de infraestructura, y prioriza su corrección.

4. Estar Siempre Informado

La educación continua y la concienciación sobre ciberseguridad son esenciales para todos los miembros de la organización:

  • Entrenamiento en Ciberseguridad: Proporciona formación regular a los empleados sobre cómo reconocer y responder a amenazas de ciberseguridad, incluido el ransomware.
  • Boletines de Seguridad: Suscríbete a boletines de seguridad de proveedores de software, organizaciones de ciberseguridad y agencias gubernamentales para mantenerte al tanto de las últimas amenazas y mejores prácticas.
  • Simulaciones de Ataques: Realiza simulaciones periódicas de ataques de phishing y ransomware para evaluar y mejorar la respuesta de la organización ante incidentes de seguridad.

5. Filtrar y Analizar Archivos Adjuntos

El correo electrónico es un vector común de ataque para el ransomware:

  • Sistemas de Filtrado de Correo: Implementa sistemas de filtrado de correo electrónico que bloqueen archivos adjuntos sospechosos y correos electrónicos de fuentes no confiables.
  • Análisis de Archivos Adjuntos: Utiliza soluciones de análisis de archivos adjuntos que escaneen y verifiquen la seguridad de los archivos antes de permitir su descarga o apertura.
  • Educación sobre Phishing: Educa a los empleados sobre los riesgos de abrir archivos adjuntos de correos electrónicos no solicitados o de fuentes desconocidas.

6. Implementar Sistemas de Persistencia

Asegurar tus copias de seguridad y sistemas de persistencia es vital para la recuperación ante un ataque:

  • Copia de Seguridad Incremental: Utiliza estrategias de copia de seguridad incremental que reduzcan el tiempo de restauración y minimicen la pérdida de datos.
  • Almacenamiento Aislado: Asegura que las copias de seguridad se almacenen en medios aislados y protegidos contra el acceso no autorizado.
  • Monitoreo Continuo: Implementa herramientas de monitoreo que supervisen la integridad y accesibilidad de las copias de seguridad en tiempo real.

La buena práctica de defensa contra ransomware comienza antes de que ocurra cualquier ataque. Esperar hasta que el ransomware ataque su red para tomar medidas puede ser demasiado tarde. Prey te ayuda a estar preparado en cada parte del proceso. Desde la copia de seguridad de sus archivos hasta la instalación de antivirus y cortafuegos potentes y la educación en seguridad cibernética, querrá estar preparado para todos los escenarios posibles.

brecha de datos
Protégelos con la seguridad reactiva de Prey.
Prueba Prey ahora
¿Buscas mejorar tus sistemas de seguridad? Podemos mostrarte cómo en pocos minutos.
Ver cómo

Sobre el mismo tema

Entendiendo las ciberamenazas: Qué son y qué puedes hacer al respecto

Las amenazas en línea varían desde infiltraciones de infraestructura hasta brechas de datos y ataques de fuerza bruta. Aprende a reconocerlas y defenderte contra ellas.

10/12/2018
Leer más
Estadísticas de Phishing en Latinoamérica

Te compartimos el panorama de los ataques de phishing en latinoamérica, basado en en un análisis de datos del mundo de la ciberseguridad.

20/10/2022
Leer más
Detección y Prevención de Amenazas Informáticas

La detección de amenazas es tan importante como cualquier otro protocolo de seguridad. Aprende algunos tips esenciales para mantener tu empresa a salvo.

8/9/2022
Leer más
La brecha de Equifax: lo que aprendimos sobre nuestros Datos

La peor brecha de datos de la última mitad de la década tuvo consecuencias desastrosas. ¿Que aprendimos sobre la privacidad de datos y la seguridad?

11/7/2020
Leer más