¿Qué es el ransomware?

Descubra la complejidad del ransomware gracias a una útil información sobre su historia, sus mecanismos y las contramedidas aplicables.

Información general

Definición
Cómo funciona
Tipos de ataques
Detectar y prevenir ataques

Soluciones de seguridad

El ransomware es un software malicioso que cifra sistemas y archivos importantes en la red informática de una organización, para que no sea posible acceder a ellos. Aunque, originalmente, se centraba en ordenadores individuales, ahora se dirige contra sistemas más grandes e importantes, como servidores y bases de datos, lo que lo convierte en un problema aún mayor. Por lo general, estos ataques solicitan a las víctimas que paguen dinero, a menudo en criptomonedas, para poder recuperar sus archivos y sistemas.

Durante los últimos años, el ransomware ha ido creciendo en complejidad. Existen nuevas versiones que no solo bloquean archivos, sino que también roban información confidencial, como, por ejemplo, contraseñas. Luego, los delincuentes emplean la información que han robado para presionar todavía más a las víctimas y conseguir que paguen el rescate. Este tipo de ataque informático afecta a muchos sectores, entre los que se incluye la administración pública, la atención sanitaria y los servicios públicos clave, lo que provoca importantes pérdidas económicas e interrupciones de su funcionamiento.

¿Cómo funciona?

El ransomware es muy eficaz porque utiliza el cifrado asimétrico: un método seguro basado en claves privadas y públicas distintas.

El malware suele infiltrarse en un sistema a través de correos electrónicos engañosos, enlaces maliciosos o brechas en la seguridad. Una vez dentro, libera un código que pone en marcha el cifrado y bloquea archivos valiosos, como documentos, imágenes y bases de datos. La clave privada necesaria para desbloquear estos archivos se proporciona normalmente tras el pago de un rescate.

Existen diferentes categorías de ransomware, entre las que cabe destacar la de "cifrado", centrada principalmente en bloquear archivos, y la de "bloqueo de pantalla", que veta el acceso del usuario mostrando una pantalla de bloqueo. En ambos casos, para que las víctimas puedan recuperar el control de sus datos o sistemas, se les solicita que paguen un rescate, a menudo en monedas digitales, como los bitcoins.

No obstante, es importante destacar que pagar el rescate no garantiza la recuperación de los archivos. En algunos casos, puede que, después del pago, las víctimas no reciban la clave de descifrado o se encuentren con más malware instalado en sus sistemas.

Los riesgos del ransomware han ido en aumento con la aparición del ransomware como servicio (RaaS), el cual permite que haya más delincuentes capaces de llevar a cabo este tipo de ataques. Además, el ransomware actual puede aprovecharse de las vulnerabilidades del sistema para propagarse por toda la organización, con lo que un problema localizado pasa a convertirse en una crisis más extendida que exige atención inmediata.

El ransomware como servicio (Ransomware as a Service) ha simplificado el acceso al ransomware, haciendo posible que personas con una experiencia técnica modesta puedan realizar estos ataques. Se trata de un modelo de funcionamiento muy similar al de los servicios de software tradicionales, por el cual se ofrecen las herramientas para lanzar ataques informáticos sofisticados.

El modelo de RaaS pone en colaboración a dos grupos principales: los creadores del ransomware y sus afiliados. Los creadores desarrollan el ransomware y los sistemas precisos para propagarlo. Los afiliados, reclutados en Internet, son los responsables de desplegar el ransomware. Existen grupos de RaaS que incluso invierten grandes sumas de dinero para reclutar afiliados. En cuanto estos se integran en el sistema, pueden llevar a cabo sus propias campañas de ransomware aprovechando la infraestructura existente.

Desde el punto de vista económico, el RaaS ofrece muchas maneras de generar dinero. Puede que los afiliados abonen una cuota periódica, realicen un pago único o compartan sus ganancias con los creadores. Este proceso suele ser transparente y gestionarse mediante paneles de control en Internet, donde los afiliados pueden monitorizar los resultados obtenidos, como la cantidad de infecciones y los ingresos generados. Los pagos suelen realizarse mediante criptomonedas, como los bitcoins, para garantizar su anonimato.

Lo que convierte al RaaS en un problema aún mayor es su presencia en la Internet oscura, donde actúa como cualquier otro mercado sujeto a la competencia. Al igual que los servicios de software legítimos, las plataformas de RaaS cuentan con reseñas de sus clientes, servicio de soporte técnico a todas horas y ofertas de paquetes. Hasta utilizan técnicas de marketing que emulan las de las empresas convencionales.

Tipos de ataques de ransomware

El mundo del ransomware evoluciona rápidamente y se torna más complicado según van surgiendo nuevos tipos de esta amenaza. Comprender sus diferentes formas es vital para implementar una defensa sólida y flexible contra los ataques informáticos.

Además, existen varias familias de ransomware, como WannaCryptor, Stop/DJVU y Phobos, cada una de las cuales posee unas características particulares. Ser consciente de estas diferencias ayuda a diseñar estrategias de defensas especializadas más concretas y eficaces.

A continuación, se muestra una lista de los tipos de ransomware más frecuentes, clasificados según su modus operandi.

• Ransomware de cifrado: El ransomware de cifrado es un pilar de las herramientas maliciosas y se especializa en cifrar archivos y datos, a menudo utilizando algoritmos de cifrado avanzados. Esta táctica vuelve inaccesibles los datos hasta que se aplique una clave de descifrado, que normalmente solo puede obtenerse mediante el pago de un rescate en criptomonedas. Encuadradas en esta categoría, las familias de ransomware como WannaCryptor han cobrado notoriedad por su impacto amplio y devastador.

• Bloqueadores: Los bloqueadores se centran en la interacción del sistema en vez de en la integridad de los datos e inhabilitan funciones clave del ordenador, mostrando a menudo una nota de rescate en una pantalla bloqueada. Aunque puede que no cifren los datos, el trastorno que causan es palpable. Se sabe que la familia de ransomware Phobos, por ejemplo, acompaña tácticas de bloqueo con métodos de cifrado.

• Scareware: El scareware, que se basa sobre todo en la manipulación psicológica, se hace pasar por un software antivirus legítimo. Abruma a los usuarios con incesantes alertas sobre infecciones de malware imaginarias y, a menudo, exige el pago por sus “servicios de eliminación”. Ciertas variantes avanzadas también son capaces de bloquear el ordenador, siguiendo las técnicas empleadas por los bloqueadores. Muchas veces, el scareware constituye la puerta de entrada para las tristemente famosas estafas del soporte técnico.

• Doxware o leakware: El doxware (también llamado leakware) plantea una amenaza reforzada al apoderarse de datos confidenciales y amenazar con hacerlos públicos. En este caso, hay más en juego por el riesgo que conlleva para la reputación. A veces, es posible encontrar ransomware supuestamente relacionado con la policía, que se hace pasar por alguna autoridad pública y afirma que el usuario puede evitar consecuencias legales abonando una multa.

• Ransomware para dispositivos móviles: Como los smartphones y las tablets son omnipresentes hoy en día, el ransomware los ha escogido también como blanco. Estos ataques tienen el objetivo de atentar contra la usabilidad del dispositivo o los datos almacenados en él, con el fin de forzar a las víctimas a que paguen por restaurarlos.

• Extorsión DDoS: Aunque no es una forma convencional de ransomware, la extorsión DDoS aplica principios similares, pues obliga a las víctimas a realizar pagos para evitar consecuencias. En este caso, la amenaza radica en sobrecargar una red o sitio web mediante una afluencia desmedida de tráfico, lo que interrumpe temporalmente su funcionamiento.

¿Cómo recuperarse de una infección de ransomware?

Para descifrar los archivos comprometidos por el ransomware, necesitará una herramienta de descifrado adecuada. Identifique la variante concreta del ransomware que afecta a su sistema y consulte a expertos en seguridad informática para conocer la disponibilidad de herramientas.

Muchas de ellas, como las herramientas de reparación de ransomware que ofrecen los Laboratorios de Bitdefender, están disponibles gratuitamente. Es fundamental que actúe con rapidez y decisión para evitar que el ransomware se difunda más, evaluar su impacto y poner en marcha los procedimientos de recuperación.

Básese en el siguiente plan de acción como hoja de ruta para recuperarse del ransomware y establecer posteriormente una protección a largo plazo. Describe los pasos clave, desde los primeros síntomas de un ataque hasta el análisis posterior al incidente, para ayudarle a restaurar los sistemas afectados y reforzar sus medidas de seguridad informática.

Aislamiento y contención

Lo primero debe ser limitar la capacidad del malware de extenderse por su infraestructura.

• Aislar los dispositivos afectados: Desconecte inmediatamente de la red, de Internet y de otros dispositivos el hardware que se haya visto comprometido.

• Detener la propagación: Corte toda forma de conexión inalámbrica (Wi-Fi, Bluetooth) y aísle los dispositivos que muestren un comportamiento anómalo para evitar que se extienda por toda la empresa.

Evaluación e identificación:

Acto seguido, analice detalladamente el impacto y el origen del ataque para poder calibrar los pasos siguientes.

• Evaluar los daños: Examine los sistemas en busca de archivos cifrados o nombres anómalos de archivos y reúna informes de los usuarios sobre sus problemas de acceso a los archivos. Elabore una lista completa de los sistemas que se han visto comprometidos.

• Localizar al paciente cero: Examine las notificaciones de antivirus, plataformas de detección y respuesta en los endpoints (EDR) e información proporcionada por los usuarios, como correos electrónicos sospechosos, para determinar el origen de la infección.

• Identificar la variante de ransomware: Haga uso de recursos de identificación de ransomware, como la herramienta de reconocimiento de ransomware de Bitdefender, o revise la información de la nota de rescate para concretar cuál es la cepa de ransomware que le afecta.

Obligaciones legales:

Una vez aplicadas las respuestas técnicas inmediatas, es crucial que aborde sus responsabilidades legales.

• Notificar a las autoridades: Informe del incidente a las fuerzas del orden competentes. Esto no solo podría contribuir a la recuperación de sus datos, sino que a veces es esencial para el cumplimiento de normas como CIRCIA (Estados Unidos) o RGPD (Unión Europea).

Recuperación y restauración:

Una vez sentadas las bases, la atención se dirige a restaurar los sistemas que se han visto comprometidos y garantizar la total erradicación del malware.

• Revisar sus copias de seguridad: Si dispone de copias de seguridad actualizadas, inicie la restauración del sistema, pero asegúrese primero de que las herramientas antivirus y antimalware hayan eliminado todo vestigio del ransomware antes de restaurar el sistema.

• Buscar herramientas de descifrado: Cuando carezca de copias de seguridad válidas, plantéese buscar herramientas de descifrado gratuitas, como las de Bitdefender mencionadas anteriormente. Antes de intentar descifrar nada, asegúrese de eliminar cualquier posible rastro de malware.

Desinfección del sistema y actualizaciones de seguridad:

Una vez neutralizadas las amenazas inmediatas, llega el momento de identificar sus puntos débiles y mejorar su arquitectura de seguridad informática.

• Erradicar la amenaza: Lleve a cabo un análisis de la causa raíz, normalmente con la ayuda de un experto en seguridad informática de confianza, para identificar todas las vulnerabilidades del sistema y eliminar por completo la amenaza de su red.

• Priorizar la restauración: Céntrese en restaurar primero los sistemas más críticos, teniendo en cuenta su efecto sobre la productividad y el flujo de ingresos.

Medidas finales y planificación de futuro

Conforme vaya progresando la normalización, permanezca atento a las estrategias a largo plazo para mitigar la probabilidad de futuros ataques.

• Restablecer o reconstruir: Si no se dispone de copias de seguridad ni se pueden obtener claves de descifrado, puede que sea inevitable restablecer los sistemas a la configuración de fábrica o realizar una reconstrucción completa.

• Prepararse para el futuro: Tenga en cuenta que quienes ya han sido víctimas de un ransomware corren un mayor riesgo de sufrir otros ataques de este tipo. Así pues, la auditoría posterior al incidente debe centrarse en posibles actualizaciones de la seguridad para mitigar riesgos futuros.

En definitiva, unas medidas coordinadas y bien informadas para la recuperación pueden disminuir los daños y acelerar la vuelta a la normalidad.

¿Cómo evitar los ataques de ransomware?

Tanto consumidores domésticos como organizaciones de cualquier tamaño afrontan la creciente frecuencia y sofisticación de los ataques de ransomware. No obstante, el impacto del ransomware puede mitigarse notablemente, o hasta evitarse, con una juiciosa combinación de intervenciones tecnológicas y formación en materia de seguridad informática.

• Mantenga actualizadas sus soluciones de seguridad informática: Dótese de un software de ciberseguridad siempre actualizado, que lleve a cabo un análisis activo y ofrezca protección en tiempo real contra diversas formas de amenazas digitales, incluido el ransomware (tecnología contra ransomware).

• Tenga cuidado con el correo electrónico: Actúe con cautela si recibe mensajes con enlaces o archivos adjuntos. Implemente tecnologías avanzadas de filtrado de mensajes y antispam para reforzar la seguridad de su correo electrónico.

• Implemente una sólida estrategia de copias de seguridad: Realice con regularidad copias de seguridad de sus datos vitales siguiendo la denominada “estrategia 3-2-1” (es decir: tres copias de sus datos, dos tipos diferentes de medios y una copia almacenada sin conexión) para facilitar una rápida recuperación en caso de ataque.

• Seguridad multicapa de redes y endpoints: Aplique sistemas avanzados de protección de endpoints unidos a la segmentación de la red y la monitorización en tiempo real. Seguir esta filosofía limita la propagación del ransomware e identifica anticipadamente las actividades anormales en la red.

• Privilegios mínimos y autenticación multifactor: Ponga en práctica el “principio de concesión de privilegios mínimos” en los controles de acceso de los usuarios y aplique la autenticación multifactor para incorporar una capa más de seguridad.

• Auditorías periódicas de seguridad y planificación de incidentes: Evalúe periódicamente su posición de seguridad mediante auditorías exhaustivas, incluidas pruebas en espacio aislado, y cuente con un plan de respuesta ante incidentes bien ensayado para poder hacer frente a las vulnerabilidades y reaccionar eficazmente ante posibles infracciones.

• Formación y concienciación continuas: Invierta en programas de formación continua de su equipo en materia de seguridad, para que sean conscientes de las señales de alarma, como la ingeniería social y los intentos de phishing, y dispongan así de otra capa más de defensa.

Al incorporar estos diversos enfoques a su estrategia de seguridad informática, su organización estará mejor equipada para mitigar los riesgos de unos ataques de ransomware que cada vez son más sofisticados.

Proteja su organización contra los ataques de ransomware

Todos los consejos y medidas expuestos anteriormente pueden fallar. De ahí que los expertos recomienden, tanto a los usuarios domésticos como a los empresariales, que implementen soluciones avanzadas de seguridad empresarial. Bitdefender ofrece productos adaptados a las necesidades personales y empresariales, los cuales acumulan galardones y primeros puestos en pruebas de instituciones independientes.

En el mundo empresarial, los productos GravityZone de Bitdefender brindan soluciones escalables: desde pequeñas hasta grandes empresas. Estas soluciones incorporan avanzados mecanismos de prevención que incluyen capacidad de detección y respuesta en los endpoints (EDR), tecnologías de protección multicapa contra phishing, ransomware y ataques sin archivos y prevención avanzada con contexto de las amenazas y generación de informes.

Integrando las soluciones de seguridad de Bitdefender en su red, aumenta la eficacia de las salvaguardas ya existentes, como cortafuegos y sistemas de prevención contra intrusos. Esto proporciona una defensa integral y resiliente contra las amenazas de malware, lo que dificulta la penetración de los atacantes en sus sistemas.

Preguntas más frecuentes

¿El ransomware roba los datos?

El ransomware se centra principalmente en cifrar datos para que sean inaccesibles, en lugar de robarlos.

No obstante, las últimas variantes del ransomware han ido evolucionando hacia tácticas como extraer los datos y amenazar con publicarlos a menos que se abone un rescate. Esta operativa se denomina “doble extorsión”.

Así pues, aunque la función primordial del ransomware es cifrar los datos, existen también variantes centradas en robarlos como forma de extorsión adicional.

¿Es posible descifrar los archivos afectados por el ransomware?

Poder descifrar los archivos afectados por el ransomware depende de varios factores, como la variante concreta de ransomware involucrada y la disponibilidad de herramientas de descifrado.

Para algunas cepas de ransomware más antiguas o menos sofisticadas, las empresas e investigadores de seguridad informática han desarrollado herramientas de descifrado gratuitas que pueden ayudar a recuperar los datos. En cambio, para las variantes más modernas o avanzadas, el descifrado sin poseer la clave que únicamente posee el atacante puede resultar extremadamente difícil o prácticamente imposible.

Puede ver aquí las herramientas gratuitas de Bitdefender disponibles actualmente.

¿Puede el ransomware afectar al almacenamiento en la nube?

Sí, el ransomware puede atacar al almacenamiento en la nube. Aunque los proveedores de este tipo de almacenamiento implementan sólidas medidas de seguridad para proteger los datos, no son totalmente inmunes a los ataques de ransomware. Si el endpoint de un usuario resulta comprometido y posee privilegios de sincronización con el almacenamiento en la nube, los archivos cifrados o comprometidos podrían sobrescribir los que había en buen estado en la nube.

Además, existen variantes avanzadas de ransomware diseñadas para detectar y cifrar unidades de red y recursos de almacenamiento en la nube a los que pueda acceder el sistema infectado. Por ello, depender únicamente del almacenamiento en la nube como forma de protección contra el ransomware no es una estrategia infalible: es crucial adoptar medidas de protección adicionales.