¿Qué es el ransomware?
Obtén más información sobre el ransomware, cómo funciona y cómo puedes obtener protección personal y para tu empresa frente a este tipo de ataques.
Definición del ransomware
El ransomware es un tipo de software malintencionado o malwareque amenaza a una víctima con destruir o bloquear el acceso a sistemas o datos críticos hasta que se pague un rescate. Históricamente, la mayoría del ransomware estaba dirigido a usuarios, pero recientemente el ransomware controlado por personas, que está dirigido a organizaciones, se ha convertido en una amenaza mayor y más difícil de evitar y solucionar. Con el ransomware controlado por personas, un grupo de atacantes usan sus conocimientos para obtener acceso a la red empresarial de una organización. Algunos ataques de este tipo son tan sofisticados que los atacantes usan documentos financieros internos que han descubierto para determinar un precio para el rescate.
Ataques de ransomware en las noticias
Desafortunadamente, las menciones de amenazas de ransomware en las noticias no son comunes. Algunos de los recientes ataques de ransomware con más repercusión han afectado a proveedores críticos de infraestructuras, atención sanitaria y servicios de TI. Estos ataques son cada vez más atrevidos en lo que respecta a su ámbito de ataque, por lo que sus efectos se han vuelto más impredecibles. Este es un resumen de algunos ataques de ransomware y cómo afectaron a las organizaciones:
- En marzo de 2022, el servicio postal de Grecia fue víctima de un ataque de ransomware. El ataque interrumpió temporalmente la entrega de correo y afectó al procesamiento de transacciones financieras.
- Una de las aerolíneas más importantes de la India sufrió un ataque de ransomware en mayo de 2022. El incidente produjo retrasos y cancelaciones de vuelos, y cientos de pasajeros quedaron abandonados.
- Una gran empresa de Recursos humanos sufrió un ataque de ransomware en diciembre de 2021 en el que se vieron afectados su sistema de días libres y nóminas para los clientes de su servicio en la nube.
- En mayo de 2021, un oleoducto estadounidense tuvo que detener sus servicios para evitar vulneraciones adicionales después de que un ataque de ransomware pusiese en peligro la información personal de miles de empleados. Los efectos del ataque hicieron que los precios del combustible en la costa este del país aumentasen de forma desproporcionada.
- Una compañía de distribución de material químico alemana sufrió un ataque de ransomware en abril de 2021. Se robaron las fechas de nacimiento, números de la seguridad social y números de carnet de conducir de más de 6000 personas, así como ciertos datos médicos.
- El mayor proveedor de carne del mundo fue objetivo de un ataque de ransomware en mayo de 2021. Tras inhabilitar su sitio web y parar la producción, la compañía acabó pagando un rescate de 11 millones de USD en Bitcoin.
¿Cómo funciona el ransomware?
Los ataques de ransomware se basan en tomar el control de los datos o dispositivos de una persona o una organización como medio para exigir dinero. En años anteriores, los ataques de ingeniería social eran los más comunes, pero recientemente, el ransomware controlado por humanos se ha vuelto popular entre los delincuentes debido a los grandes pagos que se pueden conseguir.
Ransomware de ingeniería social
Estos ataques usan phishing, una forma de engaño en la que el atacante se hace pasar por una empresa o sitio web legítimo, para engañar a la víctima y que haga clic en un enlace o abra datos adjuntos de un correo electrónico que instalarán ransomware en su dispositivo. Los ataques suelen usar mensajes alarmistas que llevan a la víctima a actuar por miedo. Por ejemplo, un ciberdelincuente puede hacerse pasar por un banco conocido y enviar un correo electrónico en el que se alerta a alguien de que su cuenta se ha congelado debido a actividad sospechosa y se le indica que haga clic en el vínculo del correo electrónico para solucionar ese problema. Cuando hagan clic en el vínculo, se instalará el ransomware.
Ransomware controlado por humanos
Los ataques de ransomware controlado por humanos suelen comenzar con credenciales de cuenta robadas. Cuando los atacantes obtienen acceso de este modo, usan la cuenta robada para determinar las credenciales de cuentas con ámbitos de acceso más amplio y buscar datos y sistemas crítico para la empresa con el potencial de un pago grande. Después, instalan ransomware en esos sistemas o datos críticos para la empresa, por ejemplo, pueden cifrar datos confidenciales para que la organización no pueda acceder a ellos hasta que pague un rescate. Los ciberdelincuentes tienden a solicitar el pago en criptomoneda debido al anonimato que proporciona.
Estos atacantes tienen como objetivo grandes organizaciones que puedan pagar un rescate más elevado que un usuario medio; en ocasiones llegan a solicitar millones de dólares. Dado el alto riesgo que implica una vulneración de este nivel, muchas organizaciones optan por pagar el rescate en lugar de que se filtren sus datos confidenciales o de arriesgarse a sufrir ataques adicionales de ciberdelincuentes, aunque los pagos no garanticen que no llegue a pasar ninguno de los dos supuestos.
Dado que han aumentado los ataques de ransomware controlado por humanos, los delincuentes detrás de estos ataques se han vuelto más organizados. De hecho, muchas operaciones de ransomware ahora usan un modelo de Ransomware como servicio, lo que implica que un conjunto de delincuentes desarrolladores crean el ransomware y después contratan a otros ciberdelincuentes afiliados para piratear la red de una organización e instalar el ransomware; los beneficios se reparten entre los dos grupos basándose en unos porcentajes acordados.
Diferentes tipos de ataques de ransomware
El ransomware suele darse de dos formas: ransomware de cifrado y ransomware de bloqueo.
Ransomware de cifrado
Cuando una persona o una organización sufre un ataque de ransomware de cifrado, el atacante cifra los datos confidenciales o archivos de la víctima para que no pueda acceder a menos que pague el rescate seleccionado. En teoría, una vez la víctima pague, recibirá una clave de cifrado para obtener acceso a sus archivos o datos. Sin embargo, aunque la víctima pague el rescate, nada garantiza que los ciberdelincuentes envíen la clave de cifrado o devuelvan el control. El doxware es un tipo de ransomware de cifrado que cifra y amenaza con revelar de forma pública la información personal de la víctima, normalmente con el objetivo de usar la vergüenza o la posible humillación para que paguen el rescate.
Ransomware de bloqueo
En un ataque de ransomware de bloqueo, una víctima pierde el acceso a su dispositivo y no puede iniciar sesión en él. La víctima verá un aviso de rescate en pantalla en el que se explica que se ha bloqueado su acceso y se incluyen instrucciones de pago de un rescate para recuperar el acceso. Esta forma de ransomware no suele implicar el cifrado, por lo que, cuando la víctima recupera el acceso a su dispositivo, se conservan los datos y archivos confidenciales.
Responder a un ataque de ransomware
Si sufres un ataque de ransomware, tienes opciones para combatirlo y eliminarlo.
Tener cuidado con el pago de un rescate
Aunque puede resultar tentador pagar el rescate con la esperanza de hacer desaparecer el problema, nada garantiza que los ciberdelincuentes cumplan su palabra y te devuelvan el acceso a los datos. Los expertos en seguridad y los organismos policiales recomiendan que las víctimas de ataques de ransomware no paguen los rescates solicitados, porque hacerlo puede llevar a que las víctimas se vean expuestas a futuras amenazas y estarían apoyando de forma activa las actividades criminales. Si ya has pagado, ponte en contacto directamente con tu banco; es posible que pueda detener el pago si lo has hecho con una tarjeta de crédito.
Aislar los datos infectados
Tan pronto como puedas, aísla los datos en peligro para evitar que el ransomware se difunda a otras áreas de la red.
Ejecutar un programa antimalware
Muchos ataques de ransomware pueden combatirse instalando un programa antimalware para quitar el ransomware. Una vez que hayas escogido una solución antimalware fiable, como Microsoft Defender, asegúrate de mantenerla actualizada y en constante ejecución para contar con protección frente a los ataques más recientes.
Denunciar el ataque
Ponte en contacto con las agencias policiales locales o estatales para denunciar el ataque. En Estados Unidos, serían la oficina local del FBI, el IC3, o el Servicio Secreto. Aunque este paso seguramente no solucionará ninguna de tus preocupaciones inmediatas, es importante porque estas autoridades siguen y supervisan de forma activa distintos ataques. Proporcionarles información sobre tu experiencia puede resultar útil a la hora de encontrar y procesar a un ciberdelincuente o un grupo de ciberdelincuentes.
Protección contra ransomware
El hecho de que los ataques de ransomware sean más frecuentes que nunca y que la mayoría de la información personal de la gente se almacene de forma digital hace que las posibles repercusiones de un ataque sean desalentadoras. Por suerte, hay muchas opciones para mantener tu vida digital protegida para que no pueda acceder a ella otra persona. Para que no tengas que preocuparte, aquí tienes una descripción de cómo protegerte frente al ransomwarede forma proactiva.
Instalar un programa antimalware
La mejor forma de protección es la prevención. Muchos ataques de ransomware pueden detectarse y bloquearse con un servicio antimalware de confianza, como Microsoft Defender para punto de conexión, Microsoft Defender XDR o Microsoft Defender for Cloud. Cuando usas un programa antimalware, lo primero que hace tu dispositivo es analizar los archivos o vínculos que intentas abrir para garantizar que sean seguros. Si un archivo o sitio web es malintencionado, el programa antimalware te alertará y sugerirá que no lo abras. Estos programas también pueden eliminar el ransomware de un dispositivo que ya se haya visto infectado.
Realizar sesiones de formación frecuentes
Mantén a los empleados informados sobre cómo detectar los signos de phishing y otros ataques de ransomware con formaciones frecuentes. Esto no solo les enseñará prácticas laborales más seguras, sino que también les mostrará cómo estar más protegidos al usar sus dispositivos personales.
Migrar a la nube
Cuando mueves tus datos a un servicio basado en la nube, como el Servicio de copia de seguridad en la nube de Azure o la Copia de seguridad de Azure Block Blob Storage, puedes crear fácilmente copias de seguridad de tus datos para mantenerlos más seguros. Si tus datos se ven en peligro debido a ransomware, estos servicios ayudarán a garantizar que la recuperación sea inmediata y completa.
Adoptar un modelo de Confianza cero
Un modelo de Confianza cero evalúa todos los dispositivos y usuarios para determinar el riesgo antes de permitir que accedan a aplicaciones, archivos, bases de datos y otros dispositivos, lo que reduce las probabilidades de que una identidad o un dispositivo malintencionado pueda acceder a los recursos e instalar ransomware. Por ejemplo, se ha demostrado que implementar la autenticación multifactor, un componente del modelo de Confianza cero, reduce la eficacia de los ataques de identidad en más de un 99 %. Para evaluar el estado de madurez de Confianza cero de tu organización, realiza la evaluación de madurez de Confianza cerode Microsoft.
Unirse a un grupo de información compartida
Los grupos de compartir información, que suelen estar organizados por sector o ubicación geográfica, fomentan que aquellas organizaciones con estructuras similares colaboren para obtener soluciones de ciberseguridad . Los grupos también ofrecen a las organizaciones distintos beneficios, como servicios de respuesta ante incidentes y análisis forense digital, noticias sobre las últimas amenazas, y supervisión de intervalos de IP públicas y dominios.
Mantener copias de seguridad sin conexión
Dado que algunos ransomware intentan encontrar y eliminar cualquier copia de seguridad online que tengas, es buena idea mantener una copia de seguridad sin conexión de los datos confidenciales actualizada en la que hagas pruebas frecuentes para garantizar que se puede restaurar si alguna vez sufres un ataque de ransomware. Por desgracia, mantener una copia de seguridad sin conexión no solucionará el problema si sufres un ataque de ransomware de cifrado, pero puede ser una herramienta eficaz frente a un ataque de ransomware de bloqueo.
Mantener el software actualizado
Además de mantener las soluciones antimalware actualizadas (contempla activar las actualizaciones automáticas), asegúrate de descargar e instalar otras actualizaciones del sistema y revisiones de software tan pronto como estén disponibles. Esto ayuda a minimizar las vulnerabilidades de seguridad que podría aprovechar un ciberdelincuente para obtener acceso a tu red o dispositivos.
Crear un plan de respuesta ante incidentes
De la misma forma que tener un plan de emergencia para salir del edificio en caso de incendio te protege ante imprevistos, crear un plan de respuesta ante incidentes para un posible ataque de ransomware te proporcionará pasos para afrontar distintos escenarios de ataque y volver a la normalidad tan pronto como sea posible.
Protegerlo todo con Seguridad de Microsoft
Microsoft Sentinel
Obtén una vista completa de toda la empresa con una solución de administración de eventos e información de seguridad (SIEM) nativa de nube.
Microsoft Defender XDR
Mantén seguros los puntos de conexión, las identidades el correo electrónico y las aplicaciones con detección y respuesta extendidas (XDR).
Microsoft Defender for Cloud
Defiende los entornos multinube e híbridos desde el desarrollo hasta el tiempo de ejecución.
Inteligencia contra amenazas de Microsoft Defender
Comprende a los actores de amenazas y sus herramientas con un mapa de Internet completo y en constante actualización.
Combatir amenazas de ransomware
Adelántate a las amenazas mediante interrupción y respuesta automáticas frente a ataques con Seguridad de Microsoft.
Informe de protección digital de Microsoft
Familiarízate con el panorama de amenazas actual y con cómo crear una defensa digital.
Crear un programa contra ransomware
Descubre cómo Microsoft creó el Estado óptimo de resistencia frente al ransomware para eliminar ransomware.
Usar un cuaderno de estrategias para bloquear ransomware
Define y visualiza cuál es la función de cada persona en el proceso de bloqueo de ransomware.
Preguntas más frecuentes
-
Por desgracia, prácticamente todo el mundo que tenga presencia online puede verse afectado por un ataque de ransomware. Los dispositivos personales y las redes empresariales suelen ser objetivos frecuentes de ciberdelincuentes.
No obstante, invertir en soluciones proactivas, como servicios de protección contra amenazas, es una forma viable de evitar que el ransomware llegue a infectar tu red o dispositivos. Por tanto, las personas y organizaciones que cuentan con programas antimalware y otros protocolos de seguridad establecidos, como el modelo de Confianza cero, antes de que se produzca un ataque de ransomware tiene menos posibilidades de ser víctimas de uno.
-
Los ataques de ransomware tradicionales se producen cuando se engaña a una persona para que interactúe con contenido malintencionado, como abrir un correo electrónico infectado o visitar un sitio web dañino, que instala ransomware en su dispositivo.
En un ataque de ransomware controlado por humanos, un grupo de atacantes establece como objetivo y vulnera los datos confidenciales de una organización, normalmente mediante credenciales robadas.
Con frecuencia, tanto en el ransomware de ingeniería social como en el controlado por humanos, la víctima u organización recibirá un aviso de ransomware que detalla los datos que se robaron y el coste de recuperarlos. Sin embargo, pagar el rescate no garantiza que los datos se devolverán o que se evitarán futuras vulneraciones.
-
Los efectos de un ataque de ransomware pueden ser devastadores. Tanto a nivel individual como de la organización, las víctimas pueden verse obligadas a pagar rescates elevados sin garantía de que recuperarán sus datos o que no se producirán ataques adicionales. Si un ciberdelincuente filtra la información confidencial de una organización, su reputación puede verse afectada y el público podría desconfiar de ella. Y, dependiendo del tipo de información que se filtre y del tamaño de la organización, cientos de personas podrían estar en riesgo de convertirse en víctimas de robo de identidad o de otros cibercrímenes.
-
Los ciberdelincuentes que infectan los dispositivos de víctimas con ransomware quieren dinero. Tienden a establecer rescates en criptomoneda debido al anonimato que proporcionan y la dificultad de realizar un seguimiento. En un ataque de ransomware mediante ingeniería social que tiene como objetivo un individuo, el rescate puede ser de cientos o miles de dólares. En un ataque de ransomware controlado por humanos que tiene como objetivo una organización, el rescate podría ser de millones de dólares. Estos ataques más sofisticados contra organizaciones pueden usar información financiera confidencial que encontraron los ciberdelincuentes al vulnerar la red como base para establecer un rescate que consideren que puede permitirse la organización.
-
Las víctimas deberían denunciar los ataques de ransomware a las fuerzas policiales locales o estatales. En Estados Unidos, serían la oficina local del FBI, el IC3, o el Servicio Secreto. Los expertos en seguridad y las fuerzas policiales recomiendan que las víctimas no paguen los rescates; si ya has pagado, ponte en contacto de inmediato con tu banco o las autoridades locales. Es posible que tu banco pueda bloquear el pago si lo realizaste con una tarjeta de crédito.
Seguir a Seguridad de Microsoft