¿Qué es el ransomware?

Obtén más información sobre el ransomware, cómo funciona y cómo puedes obtener protección personal y para tu empresa frente a este tipo de ataques.

Definición del ransomware

El ransomware es un tipo de software malintencionado, o malware, que amenaza a una víctima con destruir o bloquear el acceso a sistemas o datos críticos hasta que se pague un rescate. Históricamente, la mayoría del ransomware estaba dirigido a usuarios, pero recientemente el ransomware controlado por personas, que está dirigido a organizaciones, se convirtió en una amenaza mayor y más difícil de evitar y solucionar. Con el ransomware controlado por personas, un grupo de atacantes usan sus conocimientos para obtener acceso a la red empresarial de una organización. Algunos ataques de este tipo son tan sofisticados que los atacantes usan documentos financieros internos que descubrieron para determinar un precio para el rescate.

Ataques de ransomware recientes

Por desgracia, las menciones a las amenazas de ransomware en las noticias se convirtieron en algo frecuente. Solo en 2021, los ataques de ransomware aumentaron en un 935%. Como podrás imaginarte, los efectos pueden ser devastadores. Este es un resumen de los ataques de ransomware más recientes y cómo afectaron las organizaciones.

 

Kronos
 

El gigante de los Recursos humanos (RR. HH.) Kronos sufrió un ataque de ransomware en diciembre de 2021, en el que se vieron afectados su sistema de días libres y nóminas para los clientes que usan Kronos Private Cloud. Dado que muchas organizaciones, entre las que se incluyen la Autoridad de transporte metropolitano de la ciudad de Nueva York, la Universidad George Washington y el Departamento de transporte de Oregon, dependen de Kronos para sus servicios de RR. HH., la vulneración de datos personales e información de los empleados resultó un problema serio.

 

Colonial Pipeline
 

En mayo de 2021, el oleoducto estadounidense Colonial Pipeline tuvo que detener sus servicios para evitar vulneraciones adicionales después de que un ataque de ransomware pusiera en peligro la información personal de sus empleados. Los efectos fueron catastróficos y los precios del gas se dispararon en toda la costa este de EE. UU., que tiene una gran dependencia del Colonial Pipeline. En última instancia, la empresa pagó un rescate en criptomonedas de 4.4 millones de USD al grupo criminal de hackers DarkSide; posteriormente el FBI recuperó unos 2.3 millones de USD.

 

Brenntag
 

La empresa de distribución de productos químicos alemana Brenntag, al igual que Colonial Pipeline, sufrió un ataque de ransomware de DarkSide. En este ataque, que tuvo lugar en abril de 2021, DarkSide afirmó que pudo vulnerar la red de Brenntag mediante credenciales robadas que compraron a un vendedor sin identificar. En el ataque se robaron las fechas de nacimiento, números de la seguridad social y números de carnet de conducir de más de 6000 personas, así como ciertos datos médicos. Tras lograr rebajar el precio original del rescate a 4.4 millones de USD, Brenntag pagó.

 

JBS
 

JBS, el mayor proveedor de carne del mundo, fue objetivo de un ataque de ransomware en mayo de 2021 que afectó a sus operaciones en Norteamérica y Australia. Tras dejar su sitio web sin conexión temporalmente y detener la producción, JBS se vio presionada a actuar para prevenir que se viese interrumpida la cadena de suministro de alimentos y evitar que aumentase el precio de la comida . JBS acabó pagando un rescate de 11 millones de USD en Bitcoin al grupo ciberdelincuente REvil.

¿Cómo funciona el ransomware?

Los ataques de ransomware se basan en tomar el control de los datos o dispositivos de una persona o una organización como medio para exigir dinero. En años anteriores, los ataques de ingeniería social eran los más comunes, pero recientemente, el ransomware controlado por humanos se volvió popular entre los criminales debido al potencial de un pago grande.

 

Ransomware con ingeniería social


Estos ataques usan phishing, una forma de engaño en la que el atacante se hace pasar por una empresa o sitio web legítimo, para engañar a la víctima y que haga clic en un enlace o abra un datos adjuntos de un correo electrónico que instalarán ransomware en su dispositivo. Los ataques suelen usar mensajes alarmistas que llevan a la víctima a actuar por miedo. Por ejemplo, un ciberdelincuente puede hacerse pasar por un banco conocido y enviar un correo electrónico alertando a alguien de que su cuenta se inmovilizó debido a actividad sospechosa e indicándole que haca clic en el enlace del correo electrónico para solucionar ese problema. Cuando hagan clic se instalará el ransomware.

 

 

Ransomware controlado por humanos


Los ataques de ransomware controlado por humanos suelen comenzar con credenciales de cuenta robadas. Cuando los atacantes obtienen acceso de este modo, usan la cuenta robada para determinar las credenciales de cuentas con ámbitos de acceso más amplio y buscar datos y sistemas crítico para la empresa con el potencial de un pago grande. Después, instalan ransomware en esos sistemas o datos críticos para la empresa, por ejemplo, pueden cifrar datos confidenciales para que la organización no pueda tener acceso a ellos hasta que pague un rescate. Los ciberdelincuentes tienden a solicitar el pago en una criptomoneda debido al anonimato.

 

Estos atacantes tienen como objetivo grandes organizaciones que puedan pagar un rescate más elevado que un usuario medio; en ocasiones llegan a solicitar millones de dólares. Dado el alto riesgo que implica una vulneración de esta escala, muchas organizaciones optan por pagar el rescate en lugar de que se filtren sus datos confidenciales o arriesgarse a ataques adicionales de ciberdelincuentes, aunque los pagos no garanticen que no llegue a pasar ninguno de los dos supuestos.

 

Dado que aumentaron los ataques de ransomware controlado por humanos, los delincuentes detrás de estos ataques se volvieron más organizados. De hecho, muchas operaciones de ransomware ahora usan un modelo de Ransomware como servicio, lo que implica que un conjunto de delincuentes desarrolladores crean el ransomware y después contratan a otros ciberdelincuentes afiliados para piratear la red de una organización e instalar el ransomware; los beneficios se reparten entre los dos grupos basándose en unos porcentajes acordados.

Diferentes tipos de ataques de ransomware

El ransomware suele darse de dos formas: criptorransomware y ransomware de bloqueo.

 

Criptorransomware


Cuando una persona o una organización sufre un ataque de criptorransomware, el atacante cifra los datos confidenciales o archivos de la víctima para que no pueda tener acceso a menos que pague el rescate seleccionado. En teoría, una vez la víctima pague, recibirá una clave de cifrado para obtener acceso a sus archivos o datos. Sin embargo, aunque la víctima pague el rescate, nada garantiza que los ciberdelincuentes enviarán la clave de cifrado o devolverán el control. Doxware es un tipo de criptorransomware que cifra y amenaza con revelar de forma pública la información personal de la víctima, normalmente con el objetivo de usar la vergüenza o la posible humillación para que paguen el rescate.

 

Ransomware de bloqueo


En un ataque de ransomware de bloqueo, una víctima pierde el acceso a su dispositivo y no puede iniciar sesión en él. La víctima verá un aviso de rescate en pantalla en el que se explica que se bloqueó su acceso y se incluyen instrucciones de pago de un rescate para recuperar el acceso. Esta forma de ransomware no suele implicar el cifrado, por lo que, cuando la víctima recupera el acceso a su dispositivo, se conservan los datos y archivos confidenciales.

Responder a un ataque de ransomware

Si sufres un ataque de ransomware, tienes opciones para combatirlo y eliminarlo.

 

Ten cuidado con el pago de un rescate


Aunque puede resultar tentador pagar el rescate con la esperanza de hacer desaparecer el problema, nada garantiza que los ciberdelincuentes cumplirán su palabra y le devolverán el acceso a tus datos. Los expertos de seguridad y los organismos policiales recomiendan que las víctimas de ataques de ransomware no paguen los rescates solicitados, porque hacerlo puede llevar a que las víctimas se vean expuestas a futuras amenazas y estarían apoyando de forma activa las actividades criminales. Si ya pagaste, ponte en contacto directamente con tu banco; es posible que pueda detener el pago si lo hiciste con una tarjeta de crédito.

 

Aísla los datos infectados


Tan pronto como puedas, aísla los datos en peligro para ayudar a evitar que el ransomware se difunda a otras áreas de la red.

 

Ejecuta un programa antimalware


Muchos ataques de ransomware pueden combatirse instalando un programa antimalware para quitar el ransomware. Una vez hayas escogido una solución antimalware fiable, como Windows Defender, asegúrate de mantenerla actualizada y siempre ejecutándose para contar con protección frente a los ataques más recientes.

 

Denuncia el ataque


Ponte en contacto con las agencias policiales locales o estatales para denunciar el ataque. En los Estados Unidos, serían la oficina local del FBI, el IC3, o el Servicio Secreto. Aunque este paso seguramente no solucionará ninguna de tus preocupaciones inmediatas, es importante porque estas autoridades siguen y supervisan de forma activa distintos ataques. Proporcionarles información sobre tu experiencia puede resultar útil a la hora de encontrar y procesar a un ciberdelincuente o un grupo de ciberdelincuentes.

Protección contra ransomware

El hecho de que los ataques de ransomware sean más frecuentes que nunca y que la mayoría de la información personal de la gente se almacene de forma digital hace que las posibles repercusiones de un ataque sean desalentadoras. Por suerte, hay muchas opciones para mantener tu vida digital protegida para que otra persona no pueda tener acceso a ella. Esta es la forma de lograr tranquilidad con protección contra ransomware proactiva.

 

Instala un programa antimalware


La mejor forma de protección es la prevención. Muchos ataques de ransomware pueden detectarse y bloquearse con un servicio antimalware de confianza, como Microsoft Sentinel, Microsoft 365 Defender o Microsoft Defender for Cloud. Cuando usas un programa antimalware, tu dispositivo analiza los archivos o enlaces que intentes abrir para garantizar que sean seguros. Si un archivo o sitio web es malintencionado, el programa antimalware te alertará y sugerirá que no lo abras. Estos programas también pueden eliminar el ransomware de un dispositivo que ya se haya visto infectado.

 

Realiza capacitaciones frecuentes


Mantén a los empleados informados sobre cómo detectar los signos de phishing y otros ataques de ransomware con capacitaciones frecuentes. Esto no solo les enseñará prácticas laborales más seguras, sino que también les mostrará cómo tener mayor seguridad al usar sus dispositivos personales.

 

Da el salto a la nube


Cuando mueves tus datos a un servicio basado en la nube, como el Servicio de copia de seguridad en la nube de Azurela Copia de seguridad de Azure Block Blob Storage, o los servicios de Copia de seguridad y recuperación de Office 365, puedes crear fácilmente copias de seguridad de tus datos para mantenerlos más seguros. Si tus datos se ven en peligro debido a ransomware, estos servicios ayudarán a garantizar que la recuperación sea inmediata y completa.

 

Adopta un modelo de Confianza cero


Un modelo de Confianza cero evalúa todos los dispositivos y usuarios para determinar el riesgo antes de permitir que obtengan acceso a aplicaciones, archivos, bases de datos y otros dispositivos, lo que reduce las probabilidades de que una identidad o dispositivo malintencionado pueda tener acceso a los recursos e instalar ransomware. Por ejemplo, se demostró que implementar la autenticación multifactor, un componente del modelo de Confianza cero, reduce la eficacia de los ataques de identidad en más de un 99%. Para evaluar el estado de madurez de Confianza cero de tu organización, realiza nuestra Evaluación de madurez de Confianza cero.

 

Únete a un grupo para compartir información


Los grupos de compartir información, que suelen estar organizados por sector o ubicación geográfica, fomentan que aquellas organizaciones con estructuras similares colaboren para obtener soluciones de ciberseguridad. Los grupos también ofrecen a las organizaciones distintos beneficios, como servicios de respuesta ante incidentes y análisis forense digital, noticias sobre las últimas amenazas, y supervisión de intervalos de IP públicas y dominios.

 

Mantén copias de seguridad sin conexión


Dado que algunos ransomware intentan encontrar y eliminar cualquier copia de seguridad online que tengas, es buena idea mantener una copia de seguridad sin conexión de los datos confidenciales actualizada en la que hagas pruebas frecuentes para garantizar que se puede restaurar si alguna vez sufres un ataque de ransomware. Por desgracia, mantener una copia de seguridad sin conexión no solucionará el problema si sufres un ataque de criptorransomware, pero puede ser una herramienta eficaz para usar en un ataque de ransomware de bloqueo.

 

Mantén el software actualizado


Además de mantener las soluciones antimalware actualizadas (evalúa activar las actualizaciones automáticas), asegúrate de descargar e instalar otras actualizaciones del sistema y revisiones de software tan pronto como estén disponibles. Esto ayuda a minimizar las vulnerabilidades de seguridad que podría aprovechar un ciberdelincuente para obtener acceso a tu red o dispositivos.

 

Crea un plan de respuesta ante incidentes


De la misma forma que deberías tener un plan de emergencia para salir del edificio en caso de incendio, crear un plan de respuesta ante incidentes para un posible ataque de ransomware te proporcionará pasos para afrontar distintos tipos de ataques y volver a la normalidad tan pronto como sea posible.

Preguntas más frecuentes

|

Por desgracia, prácticamente todo el mundo que tenga presencia online puede verse afectado por un ataque de ransomware. Los dispositivos personales y las redes empresariales suelen ser objetivos frecuentes de cibercriminales.

 

Sin embargo, invertir en soluciones proactivas, como servicios de protección contra amenazas, es una forma viable de prevenir que el ransomware llegue a infectar tu red o dispositivos. Por tanto, las personas y organizaciones que cuentan con programas antimalware y otros protocolos de seguridad establecidos, como el modelo de Confianza cero, antes de que se produzca un ataque de ransomware tiene menos posibilidades de ser víctimas de uno.

Los ataques de ransomware tradicional se producen cuando una persona es engañada por contenido malintencionado, como abrir un correo electrónico infectado o visitar un sitio web dañino, que instala ransomware en su dispositivo.

 

En un ataque de ransomware controlado por humanos, un grupo de atacantes establece como objetivo y vulnera los datos confidenciales de una organización, normalmente mediante credenciales robadas.

 

Con frecuencia, tanto en el ransomware de ingeniería social como en el controlado por humanos, la víctima u organización recibirá un aviso de ransomware que detalla los datos que se robaron y el coste de recuperarlos. Sin embargo, pagar el rescate no garantiza que los datos se devolverán o que se evitarán futuras vulneraciones.

Los efectos de un ataque de ransomware pueden ser devastadores. Tanto a nivel individual como de la organización, las víctimas pueden verse obligadas a pagar rescates elevados sin garantía de que recuperarán su datos o que no se producirán ataques adicionales. Si un ciberdelincuente filtra la información confidencial de una organización, su reputación puede verse afectada y acabar teniendo una imagen de que no se puede confiar en ella. Y, dependiendo del tipo de información que se filtre y del tamaño de la organización, cientos de personas podrían estar en riesgo de convertirse en víctimas de robo de identidad o de otros cibercrímenes.

Los ciberdelincuentes que infectan los dispositivos de víctimas con ransomware quieren dinero. Tienden a establecer rescates en criptomonedas debido a su anonimato y dificultad para realizar un seguimiento de ellas. En un ataque de ransomware mediante ingeniería social que tiene como objetivo un individuo, el rescate puede ser de cientos o miles de dólares. En un ataque de ransomware controlado por humanos que tiene como objetivo una organización, el rescate podría ser de millones de dólares. Estos ataques más sofisticados contra organizaciones pueden usar información financiera confidencial que encontraron los ciberdelincuentes al vulnerar la red como base para establecer un rescate que consideren que puede permitirse la organización.

Las víctimas deberían denunciar los ataques de ransomware a las fuerzas policiales locales o estatales. En los Estados Unidos, serían la oficina local del FBI, el IC3, o el Servicio Secreto. Los expertos en seguridad y las fuerzas policiales recomiendan que las víctimas no paguen los rescates; si ya pagaste, ponte en contacto de inmediato con tu banco o las autoridades locales. Es posible que tu banco pueda bloquear el pago si lo realizaste con una tarjeta de crédito.