Ataque de ransomware: ¿qué es y cómo funciona?

Por lo general, la motivación detrás de un ataque de ransomware es el dinero. Otras veces el objetivo es interrumpir las operaciones comerciales, para provocar inactividad en la web de una empresa, afectando su reputación y tráfico de usuarios.

Según el informe Threat Landscape 2022 de la Agencia de Ciberseguridad de la Unión Europea (ENISA), el ransomware fue la principal amenaza cibernética de 2021 y 2022. Las estadísticas globales respaldan estos hallazgos: en 2022 alrededor del 68% de los ciberataques reportados en todo el mundo fueron de ransomware (con 155 millones de casos reportados). Y, en el caso de Latinoamérica, México ocupa el segundo lugar como el país más amenazado en 2024 por este tipo de ataques, solo detrás de Brasil.

Esto, sumado al creciente aumento del número de hackers aficionados, una de las mayores amenazas online para 2024, deja en evidencia que tomar conciencia sobre ciberseguridad e implementar medidas preventivas de protección online, se vuelve cada vez más necesario.

El ransomware encripta archivos valiosos, es decir, los vuelve inaccesibles. Además, interrumpe el funcionamiento normal del equipo. Y, si no se detecta a tiempo, una infección activa de ransomware puede propagarse a otros dispositivos o redes.

Existen cientos de tipos de ransomware y, con los avances en tecnología, cada generación de software malicioso es más avanzada y diestra en realizar un ciberataque que la anterior. Sin embargo, estos suelen seguir una serie de pasos específicos para acceder a los archivos de la víctima, encriptarlos y exigir un rescate.

El ransomware, por lo general, emplea la encriptación asimétrica, una técnica de criptografía que depende de un par de claves para el cifrado de archivos. El delincuente genera dos claves para la víctima: una pública y una privada. La privada se almacena en el servidor del atacante. Los ciberdelincuentes que desarrollan ransomware, utilizan algoritmos robustos de encriptación. Estos algoritmos son casi imposibles de descifrar sin la clave adecuada.

Así es como suelen proceder quienes están detrás de este delito:

• Investigación. El atacante recopila información sobre un objetivo, sea una persona o una institución. Luego, identifica posibles vulnerabilidades en el software o desarrolla métodos para intentar engañar a sus víctimas.
• Infección. El delincuente introduce el ransomware en el sistema a atacar, a través de la descarga de un archivo infectado o un link que conduce a un sitio malicioso. Los criminales logran esto a través de ataques de phishing (correos electrónicos con archivos adjuntos o enlaces infectados, conocidos como spear phishing), aprovechándose de fallas de seguridad en el software o debido a la inseguridad de conectarse a redes WiFi públicas. Los atacantes también pueden usar técnicas de ingeniería social. Por ejemplo, pueden hacer pasar el ransomware como actualizaciones del equipo o del sistema operativo. Si se cae en la trampa, los usuarios dejarán la puerta abierta al programa malicioso sin saberlo.
• Encriptación. Una vez descargado, el ransomware infecta la computadora o la red a la que está conectada. Se ejecutará de forma automática con el objetivo de encriptar archivos y documentos. El dispositivo se volverá inaccesible y los archivos ilegibles sin la clave de descifrado.
• Expansión. Después de infectar el sistema operativo, el hacker intentará acceder a otros sistemas o redes conectadas, para propagar aún más el alcance del daño.
• Demanda de rescate. Una vez encriptados los archivos, el software malicioso notificará al usuario que se debe pagar un rescate por el dispositivo infectado y los documentos secuestrados. Por lo general, es aquí donde se dan instrucciones sobre cómo pagar para obtener la clave de descifrado, con frecuencia en criptomonedas que son más difíciles de rastrear. Es posible que la nota amenace con modificar o destruir los datos encriptados o eliminar la clave de descifrado si el afectado no paga el rescate a tiempo.
• Pago de rescate (no recomendado). Algunas víctimas de ransomware pueden optar por pagar a los hackers con la esperanza de recuperar sus archivos. Sin embargo, no hay garantía de que los ciberdelincuentes otorguen acceso a los mismos.

Los afectados pueden ser usuarios individuales, organizaciones o empresas. De acuerdo con datos de Statista, los ataques de ransomware por lo general suelen estar dirigidos a instituciones y organizaciones relacionadas con los sectores de la salud, las finanzas, la manufactura o gobiernos. Estas entidades suelen tener datos muy valiosos en su poder. Además, cuentan con recursos financieros y por ende más posibilidades para pagar un rescate.

Los atacantes de ransomware apuntan a empresas y corporaciones de diversos tamaños. Los ciberdelincuentes saben que estas poseen datos críticos, como información de clientes y de propiedad intelectual, que van a ser necesarios recuperar.

Un ejemplo ocurrió en 2020, cuando la empresa de dispositivos portátiles y navegación por GPS Garmin sufrió un ataque devastador de ransomware y tuvo que hacer frente a un rescate de 10 millones de dólares. En 2023, el 72% de las empresas a nivel mundial fueron afectadas por este tipo de ataques. Estas cifras son las más altas reportadas en los últimos cinco años, lo que indica una tendencia creciente de estos delitos cibernéticos.

Para los ciberdelincuentes, las organizaciones del sector salud son objetivos muy atractivos. Estas instituciones almacenan información sensible y vital para la vida de los pacientes. Por esta razón, los ataques a hospitales son muy peligrosos. En el caso de otras infraestructuras críticas, como redes eléctricas y sistemas de transporte, un ataque puede tener consecuencias graves. Por ejemplo, provocar interrupciones generalizadas en su funcionamiento.

Según el Informe sobre Crímenes en Internet 2021 del Buró Federal de Investigaciones (FBI) de Estados Unidos, el sector salud fue la industria más atacada por ransomware en 2021 en ese país. El mismo año, el Departamento de Salud y Servicios Humanos de los EE. UU. reportó que el promedio de la demanda de rescate contra hospitales fue de alrededor de $131.000.

Los ciberdelincuentes también atacan a particulares. Los usuarios domésticos poseen información sensible, como datos financieros, fotos familiares y documentos personales de valor. Las estadísticas sobre ataques de ransomware a personas individuales son menos claras, ya que estos usuarios no suelen informar a las autoridades sobre esta situación.

Los ataques de ransomware causan daños financieros, reputacionales y legales a las empresas. Incluso si la organización no paga el rescate, los gastos generados debido al tiempo de inactividad y el daño a la imagen pública pueden tener consecuencias significativas.

Las víctimas de ransomware pueden sufrir un grave impacto monetario si deciden acceder con las demandas de los delincuentes. ENISA comparte datos preocupantes con respecto a Europa: la demanda más alta de ransomware creció de 13 millones de euros en 2019 a 62 millones en 2021. Además, el rescate promedio pagado se duplicó de €71.000 en 2019 a €150.000 en 2020. Según Statista, en el segundo trimestre de 2023, el promedio mundial de rescates pagados superó los $740,000.

J.P. Morgan cita en el Informe de Análisis de Reclamos del T3 2020 de la aseguradora estadounidense AIG, que la duración promedio del tiempo de inactividad para las empresas estadounidenses que sufrieron un ataque de ransomware en 2020 subió de 7 a 10 días.

Además de este tiempo comercial inactivo, el proceso de recuperación también puede ser largo y costoso. La empresa debe investigar la brecha de seguridad, mejorar sus defensas cibernéticas y restaurar sus sistemas y datos. J.P. Morgan también comparte el Estudio Anual sobre el Costo de una Brecha de Datos 2020 de IBM, donde señala que el costo promedio de rectificar un ataque de ransomware, en todas las industrias, fue de $1.27 millones.

El daño a la reputación es otra consecuencia crítica, ya que estos erosionan la confianza pública en las empresas. Los clientes pueden poner en duda la capacidad de la organización para proteger sus datos sensibles, lo que podría tener como consecuencia pérdidas económicas y un deterioro potencial del nombre de la marca a largo plazo.

En 2021, ciberdelincuentes robaron a CNA Financial una gran cantidad de información, incluidos datos de clientes, interrumpiendo sus operaciones comerciales y dañando la reputación de la empresa. Incluso si los hackers no roban ningún dato sensible, la divulgación pública de un ataque de ransomware puede generar preocupaciones entre los clientes y socios sobre la seguridad informática de la organización.

Las infecciones por ransomware también pueden causar graves consecuencias legales y regulatorias, como multas y sanciones por no proteger datos sensibles. Las empresas y organizaciones deben cumplir con las leyes de protección de datos de sus respectivos países, como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Privacidad del Consumidor de California (CCPA) en Estados Unidos.

No reportar las filtraciones de datos ni tomar medidas de seguridad en tiempo y forma puede resultar en multas y demandas. Por ejemplo, en 2018, British Airways sufrió una brecha de datos que afectó a cerca de 500.000 clientes. La compañía se enfrentó a las investigaciones correspondientes. Como resultado, recibió una multa de la Oficina del Comisionado de Información del Reino Unido (ICO) por no cumplir con el GDPR.

Un modelo efectivo de prevención debe incluir medidas proactivas como:

Un ataque de ransomware no será efectivo si la víctima puede seguir accediendo a sus datos después de la brecha de información. Por esta razón es muy importante contar siempre con un respaldo de los archivos. Esto puede conseguirse mediante herramientas de recuperación en la nube (SaaS), para que la pérdida por un ataque sea mínima o nula. Es fundamental que los archivos respaldados no puedan ser encriptados por los delincuentes. Para lograrlo, asegúrate de almacenarlos en un formato de solo lectura.

También es útil mantener los datos de respaldo en una nube online, habilitando el control de versiones para conservar múltiples copias de los archivos, y realizar pruebas periódicas de la información para confirmar su integridad.

La formación de los empleados sobre temas de seguridad informática ayuda a reducir la vulnerabilidad de las empresas ante el ransomware. Por ello, instruye de forma periódica al personal para que implementen algunas de estas prácticas de forma cotidiana:

• No hacer clic en enlaces sospechosos.
• Nunca abrir archivos adjuntos inesperados.
• Verificar siempre la legitimidad de un software antes de descargarlo.
• Jamás utilizar unidades USB desconocidas.
• Usar siempre una VPN al conectarse a una red WiFi pública o no segura.

Implementa métodos seguros para verificar a los usuarios de tu empresa, como la verificación en dos pasos y otros controles de acceso efectivos. Aplica permisos limitados para que cada miembro del equipo solo pueda acceder a lo que necesita para cumplir con sus funciones, y permite el acceso administrativo solo a personal autorizado.

El software antivirus y antimalware ayuda a prevenir ataques de ransomware. También son útiles las soluciones de detección y respuesta en todos los dispositivos, incluidos los teléfonos (ya que los celulares también pueden ser hackeados). Las puertas de enlace de seguridad para correos electrónicos y las extensiones de seguridad para navegadores también contribuyen a esta protección.

Las actualizaciones y parches de software son necesarios. Corrigen las fallas que los ciberdelincuentes podrían explotar y mantienen a tu sistema operativo equipado contra las amenazas más recientes. De este modo, mejoran su capacidad para detectar y bloquear diferentes variantes de ransomware, incluyendo las más nuevas.

Existen seis signos de infección por ransomware que deben llamar de inmediato tu atención para que puedas actuar a tiempo:

• Lentitud en las computadoras y actividades de red. Esta es una de las primeras señales de que algo no está bien. El ransomware comienza su ataque escaneando los dispositivos en busca de ubicaciones de almacenamiento de archivos, lo que causa ralentización en el sistema. Podría suceder que el dispositivo se vea afectado por el uso intensivo del ancho de banda, pero siempre será mejor realizar un análisis profundo para determinar la causa real y descartar un posible ciberataque.
• Cambios sospechosos en archivos, nombres y ubicaciones. Si archivos o carpetas enteras han sido modificadas, te encuentras con archivos desconocidos, o si te encuentras archivos que no tienen extensión, es momento de tomar precauciones. En estos casos, la causa podría ser un ataque cibernético.
• Extracción no autorizada de datos. Si de repente notas que hacen falta archivos, trátalo como una señal de una posible brecha de seguridad. Rastrea la causa de inmediato.
• Cifrado de archivos desconocidos y no deseados. Descubrir archivos encriptados en tu red, sin que nadie sepa cuál es su origen, es motivo suficiente para estar alerta y tomar acciones.
• Escritorio bloqueado. Si tu escritorio fue bloqueado, impidiéndote acceder a tus archivos o a usar tu computador de forma normal, es posible que el ataque de ransomware ya haya sido activado.
• Mensaje en pantalla. En la mayoría de los casos, los atacantes mostrarán un mensaje en el computador, exigiendo un rescate.

Existen muchos tipos de ransomware, cada uno con su propio conjunto de subcategorías. Aquí tienes una lista de las variantes más conocidas y dañinas de los últimos años:

• WannaCry (o WanaCrypt0r). En 2017, esta variante se propagó a gran velocidad como un virus informático, explotando una vulnerabilidad de Microsoft Windows conocida como EternalBlue. Infectó cientos de miles de computadoras a nivel mundial y afectó al NHS en el Reino Unido, causando daños por más de £90 millones.
• Petya/NotPetya. Emergió también en 2017, y fue muy destructiva. Afectó a computadoras con Windows en Europa y EE. UU., reemplazando el registro de arranque maestro y causando daños profundos en los sistemas y la pérdida permanente de archivos.
• CryptoWall. Es una de las variantes más típicas. CryptoWall encripta los datos del usuario y exige un pago en criptomonedas para restaurarlos.
• Ryuk. Ransomware vinculado al Grupo Lazarus de Corea del Norte, Ryuk ataca a grandes empresas, hospitales e instituciones de seguridad. Por lo general, exigen rescates elevados en Bitcoin.
• GandCrab. Entre 2018 y 2019, GandCrab fue una de las cepas más prolíficas del modelo “ransomware como servicio” (RaaS). Los desarrolladores de GandCrab ofrecían el software a ciberdelincuentes que se encargaban de realizar los ataques, y una vez obtenido el rescate, pagaban a los creadores una comisión de lo obtenido, generalmente en criptomonedas.
• REvil (o Sodinokibi). REvil es responsable de varios ataques a grandes estructuras, incluido el ataque a Kaseya en 2021. Usaba el modelo de doble extorsión, donde los criminales no solo encriptan los datos de la víctima, sino que amenazan con hacerlos públicos si no se paga el rescate.
• Dharma (o CrySiS). Esta variante se infiltra a través de puertos del Protocolo de Escritorio Remoto (RDP) y es conocida por actualizarse con frecuencia para evitar ser detectada.
• Locky. Distribuido a través de archivos adjuntos maliciosos en 2016, Locky es una de las variantes más extendidas a nivel mundial, y sigue resurgiendo en nuevas versiones.
• Cerber. Se destacó por usar la conversión de texto a voz para “leer” su nota de rescate a las víctimas.
• Maze. Activa en 2019 y 2020, Maze fue pionera en la táctica de doble extorsión y se propagó mediante ataques de phishing por e-mail.
• NetWalker. Se propagó durante la pandemia de COVID-19, atacando principalmente a organizaciones involucradas en dar respuesta a la pandemia.
• DarkSide. Este ransomware fue famoso por el ataque a Colonial Pipeline en mayo de 2021, que dio como resultado una escasez de combustible en varias partes de EE. UU.
• GoodWill ransomware. Identificado en 2022, GoodWill es un ransomware moderno que se caracteriza por exigir actos de caridad hacia personas necesitadas en lugar de un pago monetario como rescate.

Si a pesar de todos tus esfuerzos en protegerte, tú o tu empresa son víctimas de un ataque de ransomware, puedes seguir estos pasos para manejar el incidente (aunque primero asegúrate de que no se trata de scareware u otro tipo de malware).

• Aislar el sistema infectado. Desconecta de inmediato el dispositivo infectado de la red para evitar que el ransomware se propague.
• No pagues el rescate. No hay garantías de que recibas la clave de descifrado de los hackers, y pagar solo alimentará su actividad criminal.
• Reporta el incidente. Notifica al equipo de IT o de seguridad informática de tu empresa, así como a las autoridades para que inicien una investigación. Informa también sobre el incidente y los esfuerzos de recuperación a todas las personas que podrían verse afectadas por el ataque, incluidos empleados, clientes y socios.
• Evalúa el impacto. Identifica qué sistemas y datos se vieron afectados para determinar el alcance del ataque.
• Verifica el cumplimiento de la ley. Asegúrate de seguir las normas y regulaciones vigentes sobre las violaciones de datos.
• Intenta recuperar los datos. Restaura los archivos afectados a través de respaldos limpios que hayas creado antes del ataque.
• Refuerza la seguridad. Elimina el ransomware del sistema, repara todas las vulnerabilidades y fortalece las medidas de prevención.

Estos son los pasos que tanto los usuarios como las organizaciones y empresas pueden seguir para eliminar ransomware de sus sistemas:

• Aislar los dispositivos afectados. Desconecta los dispositivos afectados de cualquier red. Esto incluye internet, redes móviles, unidades USB, discos duros externos y cuentas de almacenamiento en la nube. De esta manera, puedes evitar que el ransomware se propague. También busca infecciones activas en los dispositivos conectados.
• Determinar el tipo de ransomware. Conocer cuál fue el tipo de software malicioso que afectó a tu dispositivo puede ser útil para eliminarlo. Es posible que necesites poner tu dispositivo en manos de un profesional de ciberseguridad o utilizar una herramienta específica para el diagnóstico.
• Eliminar por completo el ransomware. Después de la eliminación inicial, verifica si el ransomware sigue en tu dispositivo. Si todavía está presente, utiliza un software antimalware o antiransomware para ponerlo en cuarentena o eliminarlo otra vez. Te recomendamos buscar ayuda profesional para localizar y desinstalar el archivo infeccioso manualmente, ya que puede ser una tarea complicada.
• Restaurar los datos desde el respaldo. Si cuentas con copias de seguridad, utilizalas para restaurar tu sistema a un estado anterior a la infección. Verifica que tus respaldos estén libres de malware.

Sí, se pueden recuperar archivos si tienes respaldos seguros, actualizados y libres de infección. También puedes recuperar los datos que fueron encriptados por una variante de ransomware para la cual ya exista una herramienta de descifrado. Para obtener estas herramientas, deberás realizar una búsqueda online, contactar con las autoridades o contratar a una empresa de ciberseguridad que proporcione servicios de eliminación de ransomware.

Preguntas frecuentes

¿Qué debo hacer si soy víctima de un ataque de ransomware?

El ransomware es un delito cibernético. Debes avisar a las autoridades pertinentes sobre lo ocurrido a través de una denuncia oficial. Así podrás ayudar a la policía en la investigación y hacer frente a este tipo de extorsión. Recuerda que la prevención es lo más importante para evitar este tipo de ataques.

¿Cuánto puede durar un ataque de ransomware?

Una vez que el software malicioso ha infectado tu computadora, el ataque puede llevarse a cabo casi de inmediato. Pero también pueden darse casos en los que el malware se oculta en la computadora de la víctima durante mucho tiempo en busca de datos importantes y sensibles a cifrar. Por lo tanto, el tiempo de duración puede variar dependiendo de cada caso.

¿Cómo se propaga el ransomware?

Al igual que otros tipos de malware, el ransomware se propaga de numerosas formas y con distintas técnicas por los ciberdelincuentes. Algunas de ellas pueden ser a través de campañas de spam, aprovechando vulnerabilidades y malas configuraciones de software, actualizaciones falsas, webs de descargas con software malicioso y herramientas de activación piratas y no oficiales para programas.

¿Cómo se combaten los ataques de ransomware?

Realiza un análisis antivirus con el software de seguridad de tu dispositivo. Esto te ayudará a identificar posibles amenazas. Si en el análisis se detectan archivos peligrosos o software infectado, elimínalos de inmediato o ponlos en cuarentena. Puedes borrar estos archivos manualmente o permitir que el antivirus lo haga automáticamente. También se recomienda buscar la ayuda de un profesional para resolver el problema.