Ataque de ransomware: ¿qué es y cómo funciona?
Durante un ataque de ransomware, los ciberdelincuentes se apoderan del control de tu computadora, con todos tus archivos e información dentro, para luego exigir un rescate por ellos. Para lograrlo, utilizan software malicioso que se ha ejecutado en tu dispositivo sin que lo notaras. Con el aumento de estos delitos, es crucial entender qué es el ransomware, cómo actúa y qué medidas de protección puedes tomar para evitar caer en este tipo de ataques.
Tabla de contenidos
Tabla de contenidos
¿Qué es el ransomware?
Definición de ransomware
El ransomware es un software malicioso que infecta el dispositivo de un usuario, con el objetivo de impedir el acceso a los archivos de su computadora. Los hackers utilizan este tipo de malware para bloquear o encriptar los documentos y quedarse con el control de sus datos. Luego, exigen un pago o rescate a cambio para liberar el computador y devolver el acceso a los archivos.
Por lo general, la motivación detrás de un ataque de ransomware es el dinero. Otras veces el objetivo es interrumpir las operaciones comerciales, para provocar inactividad en la web de una empresa, afectando su reputación y tráfico de usuarios.
Según el informe Threat Landscape 2022 de la Agencia de Ciberseguridad de la Unión Europea (ENISA), el ransomware fue la principal amenaza cibernética de 2021 y 2022. Las estadísticas globales respaldan estos hallazgos: en 2022 alrededor del 68% de los ciberataques reportados en todo el mundo fueron de ransomware (con 155 millones de casos reportados). Y, en el caso de Latinoamérica, México ocupa el segundo lugar como el país más amenazado en 2024 por este tipo de ataques, solo detrás de Brasil.
Esto, sumado al creciente aumento del número de hackers aficionados, una de las mayores amenazas online para 2024, deja en evidencia que tomar conciencia sobre ciberseguridad e implementar medidas preventivas de protección online, se vuelve cada vez más necesario.
¿Cómo funciona un ataque de ransomware?
El ransomware encripta archivos valiosos, es decir, los vuelve inaccesibles. Además, interrumpe el funcionamiento normal del equipo. Y, si no se detecta a tiempo, una infección activa de ransomware puede propagarse a otros dispositivos o redes.
Existen cientos de tipos de ransomware y, con los avances en tecnología, cada generación de software malicioso es más avanzada y diestra en realizar un ciberataque que la anterior. Sin embargo, estos suelen seguir una serie de pasos específicos para acceder a los archivos de la víctima, encriptarlos y exigir un rescate.
El ransomware, por lo general, emplea la encriptación asimétrica, una técnica de criptografía que depende de un par de claves para el cifrado de archivos. El delincuente genera dos claves para la víctima: una pública y una privada. La privada se almacena en el servidor del atacante. Los ciberdelincuentes que desarrollan ransomware, utilizan algoritmos robustos de encriptación. Estos algoritmos son casi imposibles de descifrar sin la clave adecuada.
Así es como suelen proceder quienes están detrás de este delito:
- Investigación. El atacante recopila información sobre un objetivo, sea una persona o una institución. Luego, identifica posibles vulnerabilidades en el software o desarrolla métodos para intentar engañar a sus víctimas.
- Infección. El delincuente introduce el ransomware en el sistema a atacar, a través de la descarga de un archivo infectado o un link que conduce a un sitio malicioso. Los criminales logran esto a través de ataques de phishing (correos electrónicos con archivos adjuntos o enlaces infectados, conocidos como spear phishing), aprovechándose de fallas de seguridad en el software o debido a la inseguridad de conectarse a redes WiFi públicas. Los atacantes también pueden usar técnicas de ingeniería social. Por ejemplo, pueden hacer pasar el ransomware como actualizaciones del equipo o del sistema operativo. Si se cae en la trampa, los usuarios dejarán la puerta abierta al programa malicioso sin saberlo.
- Encriptación. Una vez descargado, el ransomware infecta la computadora o la red a la que está conectada. Se ejecutará de forma automática con el objetivo de encriptar archivos y documentos. El dispositivo se volverá inaccesible y los archivos ilegibles sin la clave de descifrado.
- Expansión. Después de infectar el sistema operativo, el hacker intentará acceder a otros sistemas o redes conectadas, para propagar aún más el alcance del daño.
- Demanda de rescate. Una vez encriptados los archivos, el software malicioso notificará al usuario que se debe pagar un rescate por el dispositivo infectado y los documentos secuestrados. Por lo general, es aquí donde se dan instrucciones sobre cómo pagar para obtener la clave de descifrado, con frecuencia en criptomonedas que son más difíciles de rastrear. Es posible que la nota amenace con modificar o destruir los datos encriptados o eliminar la clave de descifrado si el afectado no paga el rescate a tiempo.
- Pago de rescate (no recomendado). Algunas víctimas de ransomware pueden optar por pagar a los hackers con la esperanza de recuperar sus archivos. Sin embargo, no hay garantía de que los ciberdelincuentes otorguen acceso a los mismos.
Víctimas de ataques de ransomware
Los afectados pueden ser usuarios individuales, organizaciones o empresas. De acuerdo con datos de Statista, los ataques de ransomware por lo general suelen estar dirigidos a instituciones y organizaciones relacionadas con los sectores de la salud, las finanzas, la manufactura o gobiernos. Estas entidades suelen tener datos muy valiosos en su poder. Además, cuentan con recursos financieros y por ende más posibilidades para pagar un rescate.
Empresas privadas
Los atacantes de ransomware apuntan a empresas y corporaciones de diversos tamaños. Los ciberdelincuentes saben que estas poseen datos críticos, como información de clientes y de propiedad intelectual, que van a ser necesarios recuperar.
Un ejemplo ocurrió en 2020, cuando la empresa de dispositivos portátiles y navegación por GPS Garmin sufrió un ataque devastador de ransomware y tuvo que hacer frente a un rescate de 10 millones de dólares. En 2023, el 72% de las empresas a nivel mundial fueron afectadas por este tipo de ataques. Estas cifras son las más altas reportadas en los últimos cinco años, lo que indica una tendencia creciente de estos delitos cibernéticos.
Organizaciones de salud y de infraestructura crítica
Para los ciberdelincuentes, las organizaciones del sector salud son objetivos muy atractivos. Estas instituciones almacenan información sensible y vital para la vida de los pacientes. Por esta razón, los ataques a hospitales son muy peligrosos. En el caso de otras infraestructuras críticas, como redes eléctricas y sistemas de transporte, un ataque puede tener consecuencias graves. Por ejemplo, provocar interrupciones generalizadas en su funcionamiento.
Según el Informe sobre Crímenes en Internet 2021 del Buró Federal de Investigaciones (FBI) de Estados Unidos, el sector salud fue la industria más atacada por ransomware en 2021 en ese país. El mismo año, el Departamento de Salud y Servicios Humanos de los EE. UU. reportó que el promedio de la demanda de rescate contra hospitales fue de alrededor de $131.000.
Individuos y usuarios domésticos
Los ciberdelincuentes también atacan a particulares. Los usuarios domésticos poseen información sensible, como datos financieros, fotos familiares y documentos personales de valor. Las estadísticas sobre ataques de ransomware a personas individuales son menos claras, ya que estos usuarios no suelen informar a las autoridades sobre esta situación.
Costos de los ataques de ransomware
Los ataques de ransomware causan daños financieros, reputacionales y legales a las empresas. Incluso si la organización no paga el rescate, los gastos generados debido al tiempo de inactividad y el daño a la imagen pública pueden tener consecuencias significativas.
Costos financieros
Las víctimas de ransomware pueden sufrir un grave impacto monetario si deciden acceder con las demandas de los delincuentes. ENISA comparte datos preocupantes con respecto a Europa: la demanda más alta de ransomware creció de 13 millones de euros en 2019 a 62 millones en 2021. Además, el rescate promedio pagado se duplicó de €71.000 en 2019 a €150.000 en 2020. Según Statista, en el segundo trimestre de 2023, el promedio mundial de rescates pagados superó los $740,000.
J.P. Morgan cita en el Informe de Análisis de Reclamos del T3 2020 de la aseguradora estadounidense AIG, que la duración promedio del tiempo de inactividad para las empresas estadounidenses que sufrieron un ataque de ransomware en 2020 subió de 7 a 10 días.
Además de este tiempo comercial inactivo, el proceso de recuperación también puede ser largo y costoso. La empresa debe investigar la brecha de seguridad, mejorar sus defensas cibernéticas y restaurar sus sistemas y datos. J.P. Morgan también comparte el Estudio Anual sobre el Costo de una Brecha de Datos 2020 de IBM, donde señala que el costo promedio de rectificar un ataque de ransomware, en todas las industrias, fue de $1.27 millones.
Daño reputacional
El daño a la reputación es otra consecuencia crítica, ya que estos erosionan la confianza pública en las empresas. Los clientes pueden poner en duda la capacidad de la organización para proteger sus datos sensibles, lo que podría tener como consecuencia pérdidas económicas y un deterioro potencial del nombre de la marca a largo plazo.
En 2021, ciberdelincuentes robaron a CNA Financial una gran cantidad de información, incluidos datos de clientes, interrumpiendo sus operaciones comerciales y dañando la reputación de la empresa. Incluso si los hackers no roban ningún dato sensible, la divulgación pública de un ataque de ransomware puede generar preocupaciones entre los clientes y socios sobre la seguridad informática de la organización.
Consecuencias legales y regulatorias
Las infecciones por ransomware también pueden causar graves consecuencias legales y regulatorias, como multas y sanciones por no proteger datos sensibles. Las empresas y organizaciones deben cumplir con las leyes de protección de datos de sus respectivos países, como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Privacidad del Consumidor de California (CCPA) en Estados Unidos.
No reportar las filtraciones de datos ni tomar medidas de seguridad en tiempo y forma puede resultar en multas y demandas. Por ejemplo, en 2018, British Airways sufrió una brecha de datos que afectó a cerca de 500.000 clientes. La compañía se enfrentó a las investigaciones correspondientes. Como resultado, recibió una multa de la Oficina del Comisionado de Información del Reino Unido (ICO) por no cumplir con el GDPR.
Cómo prevenir los ataques de ransomware
Un modelo efectivo de prevención debe incluir medidas proactivas como:
Respaldos periódicos
Un ataque de ransomware no será efectivo si la víctima puede seguir accediendo a sus datos después de la brecha de información. Por esta razón es muy importante contar siempre con un respaldo de los archivos. Esto puede conseguirse mediante herramientas de recuperación en la nube (SaaS), para que la pérdida por un ataque sea mínima o nula. Es fundamental que los archivos respaldados no puedan ser encriptados por los delincuentes. Para lograrlo, asegúrate de almacenarlos en un formato de solo lectura.
También es útil mantener los datos de respaldo en una nube online, habilitando el control de versiones para conservar múltiples copias de los archivos, y realizar pruebas periódicas de la información para confirmar su integridad.
Capacitación de empleados y concienciación sobre ciberseguridad
La formación de los empleados sobre temas de seguridad informática ayuda a reducir la vulnerabilidad de las empresas ante el ransomware. Por ello, instruye de forma periódica al personal para que implementen algunas de estas prácticas de forma cotidiana:
- No hacer clic en enlaces sospechosos.
- Nunca abrir archivos adjuntos inesperados.
- Verificar siempre la legitimidad de un software antes de descargarlo.
- Jamás utilizar unidades USB desconocidas.
- Usar siempre una VPN al conectarse a una red WiFi pública o no segura.
Autenticación de usuarios y control de accesos
Implementa métodos seguros para verificar a los usuarios de tu empresa, como la verificación en dos pasos y otros controles de acceso efectivos. Aplica permisos limitados para que cada miembro del equipo solo pueda acceder a lo que necesita para cumplir con sus funciones, y permite el acceso administrativo solo a personal autorizado.
Software de seguridad
El software antivirus y antimalware ayuda a prevenir ataques de ransomware. También son útiles las soluciones de detección y respuesta en todos los dispositivos, incluidos los teléfonos (ya que los celulares también pueden ser hackeados). Las puertas de enlace de seguridad para correos electrónicos y las extensiones de seguridad para navegadores también contribuyen a esta protección.
Haz siempre los updates de software
Las actualizaciones y parches de software son necesarios. Corrigen las fallas que los ciberdelincuentes podrían explotar y mantienen a tu sistema operativo equipado contra las amenazas más recientes. De este modo, mejoran su capacidad para detectar y bloquear diferentes variantes de ransomware, incluyendo las más nuevas.
Identifica las señales del ransomware
Existen seis signos de infección por ransomware que deben llamar de inmediato tu atención para que puedas actuar a tiempo:
- Lentitud en las computadoras y actividades de red. Esta es una de las primeras señales de que algo no está bien. El ransomware comienza su ataque escaneando los dispositivos en busca de ubicaciones de almacenamiento de archivos, lo que causa ralentización en el sistema. Podría suceder que el dispositivo se vea afectado por el uso intensivo del ancho de banda, pero siempre será mejor realizar un análisis profundo para determinar la causa real y descartar un posible ciberataque.
- Cambios sospechosos en archivos, nombres y ubicaciones. Si archivos o carpetas enteras han sido modificadas, te encuentras con archivos desconocidos, o si te encuentras archivos que no tienen extensión, es momento de tomar precauciones. En estos casos, la causa podría ser un ataque cibernético.
- Extracción no autorizada de datos. Si de repente notas que hacen falta archivos, trátalo como una señal de una posible brecha de seguridad. Rastrea la causa de inmediato.
- Cifrado de archivos desconocidos y no deseados. Descubrir archivos encriptados en tu red, sin que nadie sepa cuál es su origen, es motivo suficiente para estar alerta y tomar acciones.
- Escritorio bloqueado. Si tu escritorio fue bloqueado, impidiéndote acceder a tus archivos o a usar tu computador de forma normal, es posible que el ataque de ransomware ya haya sido activado.
- Mensaje en pantalla. En la mayoría de los casos, los atacantes mostrarán un mensaje en el computador, exigiendo un rescate.
Variantes de ransomware más comunes
Existen muchos tipos de ransomware, cada uno con su propio conjunto de subcategorías. Aquí tienes una lista de las variantes más conocidas y dañinas de los últimos años:
- WannaCry (o WanaCrypt0r). En 2017, esta variante se propagó a gran velocidad como un virus informático, explotando una vulnerabilidad de Microsoft Windows conocida como EternalBlue. Infectó cientos de miles de computadoras a nivel mundial y afectó al NHS en el Reino Unido, causando daños por más de £90 millones.
- Petya/NotPetya. Emergió también en 2017, y fue muy destructiva. Afectó a computadoras con Windows en Europa y EE. UU., reemplazando el registro de arranque maestro y causando daños profundos en los sistemas y la pérdida permanente de archivos.
- CryptoWall. Es una de las variantes más típicas. CryptoWall encripta los datos del usuario y exige un pago en criptomonedas para restaurarlos.
- Ryuk. Ransomware vinculado al Grupo Lazarus de Corea del Norte, Ryuk ataca a grandes empresas, hospitales e instituciones de seguridad. Por lo general, exigen rescates elevados en Bitcoin.
- GandCrab. Entre 2018 y 2019, GandCrab fue una de las cepas más prolíficas del modelo “ransomware como servicio” (RaaS). Los desarrolladores de GandCrab ofrecían el software a ciberdelincuentes que se encargaban de realizar los ataques, y una vez obtenido el rescate, pagaban a los creadores una comisión de lo obtenido, generalmente en criptomonedas.
- REvil (o Sodinokibi). REvil es responsable de varios ataques a grandes estructuras, incluido el ataque a Kaseya en 2021. Usaba el modelo de doble extorsión, donde los criminales no solo encriptan los datos de la víctima, sino que amenazan con hacerlos públicos si no se paga el rescate.
- Dharma (o CrySiS). Esta variante se infiltra a través de puertos del Protocolo de Escritorio Remoto (RDP) y es conocida por actualizarse con frecuencia para evitar ser detectada.
- Locky. Distribuido a través de archivos adjuntos maliciosos en 2016, Locky es una de las variantes más extendidas a nivel mundial, y sigue resurgiendo en nuevas versiones.
- Cerber. Se destacó por usar la conversión de texto a voz para “leer” su nota de rescate a las víctimas.
- Maze. Activa en 2019 y 2020, Maze fue pionera en la táctica de doble extorsión y se propagó mediante ataques de phishing por e-mail.
- NetWalker. Se propagó durante la pandemia de COVID-19, atacando principalmente a organizaciones involucradas en dar respuesta a la pandemia.
- DarkSide. Este ransomware fue famoso por el ataque a Colonial Pipeline en mayo de 2021, que dio como resultado una escasez de combustible en varias partes de EE. UU.
- GoodWill ransomware. Identificado en 2022, GoodWill es un ransomware moderno que se caracteriza por exigir actos de caridad hacia personas necesitadas en lugar de un pago monetario como rescate.
Qué hacer ante un ataque de ransomware
Si a pesar de todos tus esfuerzos en protegerte, tú o tu empresa son víctimas de un ataque de ransomware, puedes seguir estos pasos para manejar el incidente (aunque primero asegúrate de que no se trata de scareware u otro tipo de malware).
- Aislar el sistema infectado. Desconecta de inmediato el dispositivo infectado de la red para evitar que el ransomware se propague.
- No pagues el rescate. No hay garantías de que recibas la clave de descifrado de los hackers, y pagar solo alimentará su actividad criminal.
- Reporta el incidente. Notifica al equipo de IT o de seguridad informática de tu empresa, así como a las autoridades para que inicien una investigación. Informa también sobre el incidente y los esfuerzos de recuperación a todas las personas que podrían verse afectadas por el ataque, incluidos empleados, clientes y socios.
- Evalúa el impacto. Identifica qué sistemas y datos se vieron afectados para determinar el alcance del ataque.
- Verifica el cumplimiento de la ley. Asegúrate de seguir las normas y regulaciones vigentes sobre las violaciones de datos.
- Intenta recuperar los datos. Restaura los archivos afectados a través de respaldos limpios que hayas creado antes del ataque.
- Refuerza la seguridad. Elimina el ransomware del sistema, repara todas las vulnerabilidades y fortalece las medidas de prevención.
Cómo eliminar el ransomware
Estos son los pasos que tanto los usuarios como las organizaciones y empresas pueden seguir para eliminar ransomware de sus sistemas:
- Aislar los dispositivos afectados. Desconecta los dispositivos afectados de cualquier red. Esto incluye internet, redes móviles, unidades USB, discos duros externos y cuentas de almacenamiento en la nube. De esta manera, puedes evitar que el ransomware se propague. También busca infecciones activas en los dispositivos conectados.
- Determinar el tipo de ransomware. Conocer cuál fue el tipo de software malicioso que afectó a tu dispositivo puede ser útil para eliminarlo. Es posible que necesites poner tu dispositivo en manos de un profesional de ciberseguridad o utilizar una herramienta específica para el diagnóstico.
- Eliminar por completo el ransomware. Después de la eliminación inicial, verifica si el ransomware sigue en tu dispositivo. Si todavía está presente, utiliza un software antimalware o antiransomware para ponerlo en cuarentena o eliminarlo otra vez. Te recomendamos buscar ayuda profesional para localizar y desinstalar el archivo infeccioso manualmente, ya que puede ser una tarea complicada.
- Restaurar los datos desde el respaldo. Si cuentas con copias de seguridad, utilizalas para restaurar tu sistema a un estado anterior a la infección. Verifica que tus respaldos estén libres de malware.
¿Es posible recuperar archivos después de un ataque de ransomware?
Sí, se pueden recuperar archivos si tienes respaldos seguros, actualizados y libres de infección. También puedes recuperar los datos que fueron encriptados por una variante de ransomware para la cual ya exista una herramienta de descifrado. Para obtener estas herramientas, deberás realizar una búsqueda online, contactar con las autoridades o contratar a una empresa de ciberseguridad que proporcione servicios de eliminación de ransomware.