Ransomware
El ransomware es un subconjunto de malware en el que los datos en la computadora de la víctima están bloqueados —generalmente mediante cifrado— y se exige el pago antes de que los datos rescatados se descifren y se devuelva el acceso a la víctima. El motivo de los ataques de ransomware suele ser monetario y, a diferencia de otros tipos de ataques, generalmente se notifica a la víctima que se ha producido un exploit y se le dan instrucciones sobre cómo recuperarse del ataque. El pago a menudo se exige en una moneda virtual, como bitcoin, por lo que se desconoce la identidad del ciberdelincuente.
El malware ransomware se puede propagar a través de archivos adjuntos maliciosos que se encuentran en correos electrónicos o en aplicaciones de software malicioso infectadas, dispositivos de almacenamiento externos infectados y sitios web comprometidos. Los ataques también han utilizado el Protocolo de Escritorio Remoto y otros enfoques que no dependen de ninguna forma de interacción del usuario.
¿Cómo funcionan los ataques de ransomware?
Los kits de ransomware en la web profunda han permitido a los ciberdelincuentes comprar y utilizar herramientas de software para crear ransomware con capacidades específicas. Luego pueden generar este malware para su propia distribución, con rescates pagados a sus cuentas de bitcoin. Como ocurre con gran parte del resto del mundo de la tecnología de la información, ahora es posible que aquellos con poca o ninguna experiencia técnica soliciten ransomware como servicio (RaaS) de bajo costo y lancen ataques con un esfuerzo mínimo.
Uno de los métodos más comunes para enviar ataques de ransomware es a través de un correo electrónico de phishing. Un archivo adjunto en el que la víctima cree que puede confiar se agrega a un correo electrónico como enlace. Una vez que la víctima hace clic en ese enlace, el malware del archivo comienza a descargarse.
Otras formas más agresivas de ransomware aprovecharán los agujeros de seguridad para infectar un sistema, por lo que no tienen que depender de engañar a los usuarios. El malware también se puede propagar a través de mensajes de chat, unidades de bus serie universal (USB) extraíbles o complementos de navegador.
Una vez que el malware está en un sistema, comenzará a cifrar los datos de la víctima. Luego agregará una extensión a los archivos, haciéndolos inaccesibles. Una vez hecho esto, los archivos no se pueden descifrar sin una clave conocida solo por el atacante. El ransomware luego mostrará un mensaje a la víctima, explicando que los archivos son inaccesibles y solo se puede acceder a ellos nuevamente al pagar un rescate a los atacantes —comúnmente en forma de bitcoin.
Tipos de ransomware
Los atacantes pueden usar uno de varios enfoques diferentes para extorsionar a sus víctimas con moneda digital:
- Este malware se hace pasar por software de seguridad o soporte técnico. Las víctimas de ransomware pueden recibir notificaciones emergentes que indican que se ha descubierto malware en su sistema. El software de seguridad que el usuario no posee no tendría acceso a esta información. No responder a esto no hará nada más que generar más ventanas emergentes.
- Bloqueadores de pantalla. También conocidos simplemente como bloqueadores, estos son un tipo de ransomware diseñado para bloquear completamente a los usuarios de sus computadoras. Al encender la computadora, una víctima puede ver lo que parece ser un sello oficial del gobierno, lo que hace que la víctima crea que es objeto de una investigación oficial. Después de ser informada de que se ha encontrado software sin licencia o contenido web ilegal en la computadora, se le dan instrucciones a la víctima sobre cómo pagar una multa electrónica. Sin embargo, las organizaciones gubernamentales oficiales no harían esto; en su lugar, pasarían por los canales y procedimientos legales adecuados.
- Ransomware encriptado. También conocidos como ataques de secuestro de datos, estos le dan al atacante acceso y cifran los datos de la víctima y solicitan un pago para desbloquear los archivos. Una vez que esto sucede, no hay garantía de que la víctima recupere el acceso a sus datos —inclusive si lo negocian. El atacante también puede cifrar archivos en dispositivos infectados y ganar dinero vendiendo un producto que promete ayudar a la víctima a desbloquear archivos y prevenir futuros ataques de malware.
- Con este malware, un atacante puede amenazar con publicar los datos de la víctima en línea si la víctima no paga un rescate.
- Ransomware de registro de arranque maestro. Con esto, se cifra todo el disco duro, no solo los archivos personales del usuario, lo que imposibilita el acceso al sistema operativo.
- Ransomware móvil. Este ransomware afecta a los dispositivos móviles. Un atacante puede usar ransomware móvil para robar datos de un teléfono o bloquearlo y solicitar un rescate para devolver los datos o desbloquear el dispositivo.
Si bien los primeros casos de estos ataques a veces simplemente bloquearon el acceso al navegador web o al escritorio de Windows —y lo hicieron de maneras que a menudo podrían ser fácilmente revertidas y reabiertas— los piratas informáticos han creado versiones de ransomware que utilizan cifrado de clave para denegar el acceso a archivos en la computadora.
Los bloqueadores de pantalla y el ransomware de cifrado son los dos tipos principales de ransomware. Conocer la diferencia entre ellos ayudará a una organización a determinar qué hacer a continuación en caso de infección.
Como se describió anteriormente, los bloqueadores de pantalla bloquean completamente a los usuarios de sus computadoras hasta que se realiza un pago. Los bloqueadores de pantalla niegan a un usuario el acceso al sistema y los archivos infligidos; sin embargo, los datos no están encriptados. En los sistemas Windows, un bloqueador de pantalla también bloquea el acceso a los componentes del sistema, como el Administrador de Tareas de Windows y el Editor del Registro. La pantalla está bloqueada hasta que se realice el pago. Por lo general, la víctima recibe instrucciones sobre cómo pagar. Los bloqueadores de pantalla también intentan engañar al usuario para que pague haciéndose pasar por una organización gubernamental oficial.
Cifrar ransomware es una de las formas más efectivas de ransomware en la actualidad. Como se mencionó anteriormente, un atacante obtiene acceso y encripta los datos de la víctima, solicitando un pago para desbloquear los archivos. Los atacantes utilizan complejos algoritmos de cifrado para cifrar todos los datos guardados en el dispositivo. Por lo general, se deja una nota en el sistema infligido con información sobre cómo recuperar los datos cifrados después del pago. En comparación con los bloqueadores de pantalla, el cifrado del ransomware pone los datos de la víctima en un peligro más inmediato y no hay garantía de que los datos regresen a la víctima después de la negociación.
En ambos casos, la víctima puede recibir un mensaje emergente o una nota de rescate por correo electrónico advirtiendo que, si la suma exigida no se paga en una fecha específica, se destruirá la clave privada requerida para desbloquear el dispositivo o descifrar los archivos.
¿A quién ataca el ransomware?
Los objetivos de ransomware pueden variar desde un solo individuo, una pequeña o mediana empresa (PyME) o una organización de nivel empresarial hasta una ciudad entera.
Las instituciones públicas son especialmente vulnerables al ransomware porque carecen de la ciberseguridad para defenderse adecuadamente. Lo mismo ocurre con las PyMEs. Además de la ciberseguridad irregular, las instituciones públicas tienen datos irremplazables que podrían paralizarlas si no estuvieran disponibles. Esto los hace más propensos a pagar.
Estadísticas de ransomware
Una forma en que las estafas de ransomware pueden crecer a una escala tan dañina es a través de la falta de informes. En 2018, safeatlast.co —un sitio web que ofrece a los consumidores calificaciones, reseñas y estadísticas sobre varios sistemas de seguridad— descubrió que menos de una cuarta parte de las pymes informan sobre sus ataques de ransomware. Lo más probable es que esto se deba a que existe una baja probabilidad de que recuperen su dinero.
Sin embargo, la falta de informes no significa que los ataques de ransomware sean poco comunes, especialmente entre las pequeñas empresas. Symantec estimó que las organizaciones más pequeñas con entre uno y 250 empleados tienen la tasa de correo electrónico malicioso dirigido más alta de cualquier grupo demográfico, con uno de cada 323 correos electrónicos maliciosos.
Un análisis de safeatlast.co estimó que, en 2019, una empresa fue víctima de un ataque de ransomware cada 14 segundos. Se espera que ese intervalo se reduzca a cada 11 segundos para 2021. Esto puede atribuirse en parte a la creciente prevalencia de los dispositivos de internet de las cosas (IoT), que experimentan un promedio de 5.200 ataques por mes, según Symantec.
Safeatlast.co estimó en 2018 que el 77% de las empresas sujetas a un ataque de ransomware estaban actualizadas en su tecnología de seguridad de endpoints. Esto demuestra que el uso y el mantenimiento adecuado del software de defensa de punto final promedio no es suficiente para disuadir al último ransomware.
El ransomware es potencialmente la principal preocupación de las empresas porque tiene la capacidad de inmovilizar enormes sumas de dinero y puede extenderse y evolucionar más allá de las defensas estándar rápidamente. Además, los rescates en sí mismos son difíciles de rastrear, ya que alrededor del 95% de todas las ganancias se intercambian utilizando una plataforma de criptomonedas, según safeatlast.co.
¿Cuáles son los efectos del ransomware en las empresas?
El impacto de un ataque de ransomware en una empresa puede ser devastador. Según safeatlast.co, el ransomware costó a las empresas más de $8 mil millones de dólares el año pasado, y más de la mitad de todos los ataques de malware fueron ataques de ransomware. Algunos efectos incluyen los siguientes:
- pérdida de los datos de una empresa;
- tiempo de inactividad como resultado de infraestructura comprometida;
- pérdida de productividad como resultado del tiempo de inactividad;
- pérdida de ingresos potenciales;
- costosos esfuerzos de recuperación que potencialmente superan el propio rescate;
- daño a largo plazo tanto a los datos como a la infraestructura de datos;
- daño a la reputación anterior de una empresa como segura; y
- pérdida de clientes y, en el peor de los casos, la posibilidad de daños personales si la empresa se ocupa de servicios públicos como la sanidad.
¿Cómo se previenen los ataques de ransomware?
Para protegerse contra las amenazas de ransomware y otros tipos de ciberextorsión, los expertos en seguridad instan a los usuarios a hacer lo siguiente:
- Realizar copias de seguridad de los dispositivos informáticos con regularidad.
- Inventariar todos los activos.
- Actualizar el software, incluido el software antivirus.
- Hacer que los usuarios finales eviten hacer clic en enlaces en correos electrónicos o abrir archivos adjuntos de correos electrónicos de extraños.
- Evitar pagar rescates.
- Evitar dar información personal.
- No utilizar memorias USB desconocidas.
- Utilizar únicamente fuentes de descarga conocidas.
- Personalizar la configuración antispam.
- Supervisar la red para detectar actividad sospechosa.
- Utilizar una red segmentada.
- Ajustar el software de seguridad para escanear archivos comprimidos y archivados.
- Desactivar la web después de detectar un proceso sospechoso en una computadora.
Si bien los ataques de ransomware pueden ser casi imposibles de detener, las personas y las organizaciones pueden tomar importantes medidas de protección de datos para garantizar que el daño sea mínimo y la recuperación lo más rápida posible. Las estrategias incluyen las siguientes:
- Compartimentar los sistemas de autenticación y los dominios.
- Mantenga las instantáneas de almacenamiento actualizadas fuera del grupo de almacenamiento principal.
- Aplique límites estrictos sobre quién puede acceder a los datos y cuándo se permite el acceso.
¿Debería pagar el rescate?
La mayoría de las agencias de aplicación de la ley recomiendan no pagar a los atacantes de ransomware, citando que solo invitará a los piratas informáticos a cometer más ataques de ransomware. Sin embargo, cuando una organización se enfrenta a la posibilidad de semanas o más de recuperación, la idea de la pérdida de beneficios puede comenzar a hundirse y una organización puede comenzar a considerar el precio del rescate en comparación con el valor de los datos que se han cifrado. Según Trend Micro, mientras que el 66% de las empresas afirman que no pagarían un rescate, alrededor del 65% sí lo pagan cuando se enfrentan a la decisión. Los atacantes establecen el precio para que valga la pena su tiempo, pero lo suficientemente bajo como para que sea más barato para la organización objetivo pagar a los atacantes en lugar de restaurar los datos cifrados.
Aunque sería comprensible por qué algunas organizaciones querrían pagar el rescate, todavía no se recomienda por varias razones:
- Está lidiando con criminales. Todavía no hay garantía de que los atacantes cumplan con su palabra y descifren los datos. Un boletín de seguridad de Kaspersky de 2016 afirmó que el 20% de las empresas que optaron por pagar el rescate que se les exigió no recuperaron sus archivos.
- Potencial de scareware. El mensaje de rescate podría usarse sin haber accedido a los datos de una organización.
- Clave de descifrado incorrecta o que apenas funciona. Después de pagar el rescate, el descifrador que recibe una organización solo puede funcionar lo suficiente para que los delincuentes digan que cumplieron con lo que prometieron.
- Posibilidad de repetidas demandas de rescate. Los ciberdelincuentes ahora sabrán que la organización objetivo tiene un historial de pago de rescates.
Cómo eliminar el ransomware
No hay garantía de que las víctimas puedan detener un ataque de ransomware y recuperar sus datos; sin embargo, existen métodos que pueden funcionar en algunos casos. Por ejemplo, las víctimas pueden detener y reiniciar su sistema en modo seguro, instalar un programa antimalware, escanear la computadora y restaurar la computadora a un estado anterior no infectado.
Las víctimas también podrían restaurar su sistema a partir de archivos de respaldo almacenados en un disco separado. Si están en la nube, las víctimas podrían reformatear su disco y restaurar desde una copia de seguridad anterior.
Los usuarios de Windows específicamente pueden usar Restaurar Sistema, que es una función que revierte los dispositivos de Windows y sus archivos de sistema a un cierto punto marcado en el tiempo —en este caso, antes de que la computadora se infectara. Para que esto funcione, Restaurar Sistema debe estar habilitado de antemano para que pueda marcar un lugar en el tiempo al que volverá la computadora. Windows habilita Restaurar Sistema de forma predeterminada.
Para obtener un proceso general paso a paso para identificar y eliminar el ransomware, siga estas recomendaciones:
- Cree una copia de seguridad del sistema y haga una copia de seguridad de todos los archivos importantes o integrales. Si una organización no puede recuperar sus archivos, podrá restaurarlos desde una copia de seguridad.
- Asegúrese de que el software de optimización o limpieza del sistema no elimine la infección u otros archivos ransomware necesarios. Los archivos primero deben aislarse e identificarse.
- Ponga en cuarentena el malware con software antimalware. Además, asegúrese de que los atacantes no hayan creado una puerta trasera que les permita acceder al mismo sistema en una fecha posterior.
- Identifique el tipo de ransomware y exactamente qué método de cifrado se utilizó. Las herramientas de recuperación de ransomware y descifrado pueden ayudar a determinar el tipo de ransomware.
- Una vez identificado, las herramientas de recuperación de ransomware se pueden utilizar para descifrar archivos. Debido a los diferentes y cambiantes métodos de ransomware, no hay garantía absoluta de que la herramienta pueda ayudar.
Las herramientas de recuperación de ransomware incluyen productos como McAfee Ransomware Recover y Trend Micro Ransomware File Decryptor.
Ransomware móvil
El ransomware móvil es un malware que retiene los datos de la víctima como rehenes y afecta a los dispositivos móvile —comúnmente teléfonos inteligentes. El ransomware móvil funciona con la misma premisa que otros tipos de ransomware, donde un atacante bloquea el acceso de un usuario a los datos de su dispositivo hasta que realiza un pago al atacante. Una vez que el malware se descarga en el dispositivo infectado, aparece un mensaje exigiendo el pago antes de desbloquear el dispositivo. Si se paga el rescate, se envía un código para desbloquear el dispositivo o descifrar sus datos.
Normalmente, el ransomware móvil se esconde como una aplicación legítima en una tienda de aplicaciones de terceros. Los piratas informáticos suelen elegir aplicaciones populares para imitar, esperando que un usuario desprevenido las descargue y, con ellas, el malware. Los usuarios de teléfonos inteligentes también pueden infectarse con ransomware móvil al visitar sitios web o al hacer clic en un enlace que aparece en un correo electrónico o mensaje de texto.
Los consejos para evitar convertirse en víctima del ransomware móvil incluyen los siguientes:
- No descargue aplicaciones a través de tiendas de aplicaciones de terceros. Confíen solamente en Apple App Store y Google Play Store.
- Mantenga actualizados los dispositivos móviles y las aplicaciones móviles.
- No otorgue privilegios de administrador a aplicaciones a menos que sea de absoluta confianza.
- No haga clic en enlaces que aparecen en correos electrónicos no deseados o en mensajes de texto de fuentes desconocidas.
Los usuarios de dispositivos móviles también deben tener una copia de seguridad de sus datos en una ubicación diferente en caso de que su dispositivo esté infectado. En el peor de los casos, esto al menos garantizaría que los datos del dispositivo no se pierdan de forma permanente.
Historia del ransomware
La primera aparición documentada de ransomware se remonta al virus del caballo de Troya del SIDA en 1989. El troyano del SIDA fue creado por un biólogo formado en Harvard llamado Joseph Popp, que distribuyó 20.000 disquetes infectados con la etiqueta "Información sobre el SIDA — Disquete Introductorio" a investigadores del síndrome de inmunodeficiencia adquirida en la conferencia internacional sobre el SIDA de la Organización Mundial de la Salud. Los asistentes que decidieron insertar el disquete se encontraron con un virus que bloquearía los archivos del usuario en la unidad de la computadora, dejando inutilizable su computadora personal (PC). Para desbloquear sus archivos, los usuarios se vieron obligados a enviar $189 dólares a un apartado postal que pertenecía a PC Cyborg Corp. Finalmente, los usuarios pudieron evitar el virus y descifrar sus archivos porque el virus usaba herramientas de criptografía simétrica de fácil solución.
Aparte del virus de Popp de 1989, el ransomware era relativamente raro hasta mediados de la década de 2000, cuando los atacantes utilizaron un cifrado más sofisticado para extorsionar a sus víctimas. Por ejemplo, el ransomware Archievus utilizó cifrado RSA asimétrico. Reveton, un virus de 2012, acusó al sistema infectado de ser utilizado para actividades ilegales y usó la cámara web del sistema para imitar la filmación del usuario, utilizando tácticas de miedo para cobrar un rescate de $200 dólares.
Hoy en día, el vector de ataque del ransomware se ha extendido para incluir aplicaciones utilizadas en IoT y dispositivos móviles, y los virus incluyen cifrado más complejo. Esto se debe en parte a la disponibilidad de kits de ransomware listos para usar —RaaS— disponibles en la web oscura, que presenta cifrado resultante de la colaboración entre comunidades de desarrolladores de ransomware en la web oscura. El ransomware ahora es mucho más hábil para dirigirse a organizaciones más grandes, en lugar de a individuos, lo que significa que están en juego sumas de dinero exponencialmente mayores. El ransomware ha evolucionado de una molestia menor a una gran amenaza desde los días de Joseph Popp.
Tendencias futuras del ransomware
La más significativa tendencia que se puede esperar del ransomware en los próximos años es un aumento de los ataques a la infraestructura y los servicios públicos porque son instituciones críticas con acceso a grandes sumas de dinero y, a menudo, utilizan tecnología de ciberseguridad antigua u obsoleta. A medida que la tecnología de ransomware continúa avanzando, el margen tecnológico entre los atacantes y los objetivos públicos tiene el potencial de crecer aún más. Dentro de estos sectores públicos específicos, específicamente el cuidado de la salud, los ataques pueden ser más costosos que nunca en los próximos años.
Las predicciones también indican un enfoque creciente en las pequeñas empresas que ejecutan software de seguridad obsoleto. A medida que crece la cantidad de dispositivos comerciales de IoT, las pequeñas empresas ya no pueden pensar que son demasiado pequeñas para ser atacadas. El vector de ataque está creciendo exponencialmente y los métodos de seguridad no. Por esta misma razón, se prevé que los dispositivos domésticos sean objetivos cada vez más probables.
El mayor uso de dispositivos móviles también intensifica el uso de ataques de ingeniería social que abren la puerta a un ataque de ransomware. Los métodos de ataque de ingeniería social, como phishing, cebo, quid pro quo, pretextos y superposición, se aprovechan de la manipulación de la psicología humana.
Un estudio de IBM afirmó que los usuarios tienen tres veces más probabilidades de responder a un ataque de phishing en un dispositivo móvil que en un escritorio, en parte porque es aquí donde los usuarios probablemente verán primero el mensaje.
Verizon también publicó una investigación que indica que el éxito de la ingeniería social en los dispositivos móviles se debe probablemente a que las pantallas más pequeñas limitan la cantidad de información detallada que se muestra. Los dispositivos móviles compensan esto con notificaciones más pequeñas y opciones de un toque para responder a mensajes y enlaces abiertos, lo que hace que la respuesta sea más eficiente pero también acelera el proceso de caer presa de un ataque de phishing.
Otra tendencia es el aumento del robo o intercambio de códigos. Por ejemplo, se descubrió que las principales campañas de ransomware Ryuk y Hermes tenían un código similar. Los funcionarios, al principio, asumieron que ambas variantes de ransomware se originaron en el mismo grupo de actores de ransomware, pero luego descubrieron que gran parte del código de Ryuk simplemente se copió de Hermes. De hecho, Ryuk se originó a partir de un grupo separado y no relacionado de actores de amenazas de otro país.
De acuerdo con CrowdStrike, el ransomware se está convirtiendo en una amenaza mayor y más grave, ya que el 56% de las organizaciones fueron atacadas en 2020. Es cada vez más importante que nunca protegerse contra el ransomware y prevenir ataques.