¿Qué es un ataque ransomware y cómo eliminarlo?

El modus operandi del ransomware se caracteriza estas tres fases: primero se obtiene el acceso al sistema del equipo que se quiere infectar, después se cifran los archivos que son de interés y, finalmente, se exige un rescate al propietario para “liberar al rehén” (la información personal y el equipo en sí).

Hay variantes del ataque ransomware tradicional, además a veces se combina con otros ciberataques, pero podemos explicar cómo funciona el ransomware en general de la siguiente manera:

Recuerda que un ataque de ransomware no deja de ser un tipo de malware, así que su objetivo final es infectar un equipo vulnerando sus sistema de seguridad. La diferencia principal en cuanto al estilo, es que el ransomware prefiere emplear vectores de infección específicos.

Los correos electrónicos spam, que a su vez forman parte de un intento de phishing, es una forma habitual en la que los hackers diseñan sus ataques de ransomware. Siguiendo un símil, podemos decir que es un cebo y que, cuando la presa caiga en la trampa, el ciberdelincuente podría robar sus datos más preciados. Por error, se iniciará la descarga de código malicioso que será el encargado de abrirle la puerta a los hackers.

Hasta aquí, una de las posibles dinámicas de un ataque ransomware, pero existe otra posibilidad. En ciertas ocasiones, los expertos en ransomware prefieren infectar los sistemas informáticos directamente. Lo vimos en el caso de WannaCry, uno de los ejemplos más claros de ransomware, ya que los hackers infectan el sistema informático de la entidad aprovechando una vulnerabilidad.

Una vez dentro, es hora de encriptar los archivos que se quieren usar para el posterior chantaje. Los pasos a seguir son sencillos: identificar la información que se considere interesante, cifrar el archivo con un código conocido solo por el hacker y reemplazar los elementos originales por las versiones cifradas.

El entramado de copias y reproducciones de archivos es complejo, de modo que se consigue un control absoluto del equipo de la víctima. Llegados a este punto, empieza la negociación.

Cuando los archivos robados ya están cifrados, el hacker exigirá un rescate a cambio del código de encriptado para que la víctima recupere el control de su equipo. ¿Cómo se darán cuenta los usuarios de que están siendo chantajeados con ransomware? Las diferentes variantes de ransomware implementan esto de numerosas maneras, pero no es raro que se cambie el fondo de pantalla a una nota de rescate o se coloquen archivos de texto en cada directorio cifrado que contiene la nota de rescate.

El rescate se suele abonar en criptomonedas, y la cantidad depende de cada ciberdelincuente. Si la víctima decide pagar, probablemente el operador del ransomware proporcione una copia de clave del cifrado para ingresarla en un programa de descifrado, también proporcionado por el delincuente. De esta manera, el cifrado de los datos continuará siendo un misterio para la persona extorsionada, pero podrá recuperar el acceso a sus archivos privados.

Tras explicar cómo funciona un ataque de ransomware, además de conocer qué es y el verdadero significado del ransomware, es el momento de plantear cómo se transmite.

El ransomware vulnera sus sistemas de seguridad de los aparatos electrónicos de diferentes maneras, puesto que los hackers siempre buscan métodos nuevos y cualquiera puede ser la próxima víctima. Sin embargo, se hace especial hincapié en la publicidad engañosa. En repetidas ocasiones, las personas que terminaron pagando un rescate para recuperar su privacidad, cayeron en la trampa por culpa de un anuncio malintencionado. Estas ofertas únicas, divertidos tests y otros titulares llamativos pueden ocultar un ciberataque que termina por comprometer tu identidad digital.

Esta es la especialidad de la ingeniería social, una técnica delictiva que roba datos personales a través de spam y publicidad engañosa. Alejarse de estos ciberdelincuentes es un consejo que parte de los profesionales de la ciberseguridad, siendo uno de los temas más recurrentes, pero organizaciones como el FBI también advierten de estos peligrosos ataques informáticos.

El ransomware se nutre de la publicidad engañosa y otras iniciativas enfocadas al clic de la víctima. Por citar algunos de los más conocidos, el exploit es otro tipo de malware que emplea esta clase de procedimiento. También los gusanos informáticos, entre otros muchos ataques que actúan con código malicioso que daña los sistemas operativos de terceros.

Las víctimas de ransomware van desde individuos hasta organizaciones y empresas. Según los datos globales de Statista sobre ataques de ransomware , los ciberdelincuentes se dirigen principalmente a instituciones y organizaciones de misión crítica, como organizaciones de atención médica, financieras, manufactureras y gubernamentales. Estas entidades suelen tener datos más valiosos, mayores recursos financieros y una mayor probabilidad de pagar un rescate importante.

Los atacantes de ransomware se dirigen a empresas y corporaciones de diversos tamaños sabiendo que estas entidades poseen datos valiosos, información de clientes y propiedad intelectual que querrán recuperar. Por lo tanto, multinacionales y PYME deben invertir en medidas de seguridad que protejan su privacidad del malware.

En 2020, la empresa de navegación GPS y dispositivos portátiles Garmin sufrió un devastador ataque de ransomware y se le impuso un rescate de 10 millones de dólares. En 2023, el 72 % de las empresas de todo el mundo se vieron afectadas por ataques de ransomware. Esta es la cifra más alta reportada en los últimos cinco años, lo que indica una tendencia de crecimiento en los ataques de ransomware a empresas.

Los números no mienten, el ransomware es una amenaza para empresas de diferentes sectores y las que llevan el sello español, también pueden sufrir las consecuencias de un ataque de este tipo.

A los ojos de los ciberdelincuentes, las organizaciones de atención médica almacenan objetivos lucrativos: información altamente sensible y crítica para la vida de los pacientes, lo que hace que los ataques a los hospitales sean letales. En el caso de infraestructuras críticas, como redes eléctricas y sistemas de transporte, atacar puede causar perturbaciones generalizadas. A veces estos ataques coinciden con las campañas electorales, generando una gran incertidumbre a la ciudadanía.

Según el Informe sobre delitos en internet de 2021 de la Oficina federal de Investigaciones de Estados Unidos, la atención médica fue la industria más atacada por ransomware en 2021 en EE. UU . El mismo año, el Departamento de Salud y Servicios Humanos de Estados Unidos informó que la demanda promedio de rescate contra los hospitales ha sido de alrededor de 131.000 dólares.

En el apartado dedicado a algunos ejemplos de ransomware, mencionamos el caso en el que se vio envuelto un reconocido hospital barcelonés. Esto demuestra que los ataques a instituciones sanitarias mediante técnicas de ransomware también son habituales en nuestro país.

Los ciberdelincuentes también atacan a las personas porque ellas también tienen información personal confidencial que necesitan recuperar, como información financiera, fotografías familiares o documentos personales. Las estadísticas sobre ataques de ransomware a personas son menos definitivas, ya que es menos probable que informen a las autoridades.

Sin embargo, hay chantajes para que los usuarios recuperen vídeos íntimos o imágenes comprometedoras. A esto se le conoce con el nombre de sextorsión, pero no siempre sigue el mismo patrón que el ransomware, aunque coinciden en la solicitud de un rescate a cambio de recuperar archivos que nunca debieron salir del ámbito privado.

Los ataques de ransomware causan daños financieros, reputacionales y legales a las empresas. Incluso si la organización objetivo no paga el rescate, los gastos en los que incurre debido al tiempo de inactividad y al daño a la reputación pueden ser significativos.

Las víctimas de ransomware pueden sufrir un grave impacto financiero si deciden cumplir con las demandas de rescate. ENISA comparte datos inquietantes sobre la UE: la mayor demanda de ransomware creció de 13 millones de euros en 2019 a 62 millones de euros en 2021 y el rescate medio pagado se duplicó de 71.000 euros en 2019 a 150.000 euros en 2020. Según Statista, en el segundo trimestre de 2023, a nivel mundial el monto promedio de rescate pagado superó los 740.000 dólares.

Incluso si la empresa no paga el rescate, una infección de ransomware suele provocar un costoso tiempo de inactividad. JP Morgan cita el Informe de análisis de reclamaciones del tercer trimestre de 2020 de la compañía de seguros estadounidense AIG, que afirma que la duración típica de las interrupciones de las empresas estadounidenses que sufrieron un ataque de ransomware en 2020 osciló entre 7 y 10 días.

Aparte de los tiempos de inactividad, el proceso de recuperación también puede resultar largo y costoso. La empresa debe investigar la infracción, mejorar sus defensas de ciberseguridad y restaurar sus sistemas y datos. JPMorgan también comparte el estudio sobre el costo anual de una filtración de datos de 2020 de IBM, que señala que el costo promedio de rectificar un ataque de ransomware, en todas las industrias, fue de 1,27 millones de dólares.

El daño a la reputación es otra consecuencia crítica de los ataques de ransomware porque estos ataques erosionan la confianza del público. Los clientes pueden perder confianza en la capacidad de la organización para proteger sus datos confidenciales, lo que provocará una pérdida de negocios y un posible daño a largo plazo al buen nombre de la marca.

Por ejemplo, en 2021, los atacantes de ransomware robaron a CNA Financial una gran cantidad de datos, incluidos datos de clientes, lo que interrumpió sus operaciones comerciales y dañó la reputación de la empresa. Incluso si los piratas informáticos no roban ningún dato confidencial, la divulgación pública de un ataque de ransomware puede generar preocupaciones entre los clientes y socios sobre la resiliencia de la ciberseguridad de la organización.

Las infecciones de ransomware pueden causar graves consecuencias legales y reglamentarias, como multas y sanciones por no proteger datos confidenciales. Las organizaciones deben cumplir con las leyes de protección de datos, como el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Privacidad del Consumidor de California (CCPA) en Estados Unidos.

No informar con prontitud las violaciones de datos y no tomar las medidas de seguridad adecuadas puede dar lugar a multas y demandas. Por ejemplo, en 2018, British Airways sufrió una violación de datos que afectó a aproximadamente 500.000 clientes. La empresa enfrentó investigaciones regulatorias y recibió una multa de la Oficina del Comisionado de Información (ICO) del Reino Unido según las regulaciones GDPR.

Importante: los costos económicos, los daños a la reputación de las empresas y las duras consecuencias legales de los ataques de ransomware, también tienen lugar en España y en otros países de habla hispana. Las cifras presentadas en este apartado sirven de guía y para cuantificar la gravedad de los daños provocados por este malware.

El ransomware adopta diferentes formas, suponiendo una gran amenaza para los cibernautas. Identifica los principales tipos de ransomware para intentar prevenir esta situación:

En NordVPN, puedes leer un completo artículo sobre qué es scareware. Compara sus características con otros tipos de ransomware que mencionamos en este texto.

Para que la definición de ransomware quede todavía más clara, veamos algunos ejemplos de ciberataques ransomware más populares de todos los tiempos:

• WannaCry (o WanaCrypt0r). En 2017, la variante del ransomware WannaCry se propagó rápidamente como un virus informático a través de las redes, explotando una vulnerabilidad de Microsoft Windows conocida como EternalBlue. Infectó cientos de miles de ordenadores en todo el mundo y afectó al Servicio Nacional de Salud (NHS) del Reino Unido, causando daños por más de 90 millones de libras esterlinas.
• Petya/NoPetya. Si bien Petya era una variante más antigua, NotPetya surgió en 2017 y fue particularmente destructiva. Afectó a los PC con Windows en Europa y Estados Unidos. En lugar de simplemente cifrar archivos, modificaban el registro de arranque maestro para causar más daños al sistema y eliminar archivos permanentemente.
• CryptoWall. Es uno de los tipos de ransomware más persistentes. Cifra los datos de un usuario, imposibilitando el acceso, y luego exige el pago en criptomonedas como rescate para restaurarlos. Varias universidades estadounidenses anunciaron que la red del campus podía estar siendo manipulada por expertos en cryptowall.
• Ryuk. Este ransomware, que se cree que está vinculado al Grupo Lazarus en Corea del Norte, apunta a grandes empresas, hospitales y agencias de aplicación de la ley para obtener pagos de rescate elevados, principalmente en Bitcoin. Ha sido responsable de múltiples ataques de alto perfil, especialmente en Estados Unidos.
• GandCrab. Activo entre 2018 y 2019, GandCrab fue una de las cepas de “ransomware como servicio” (RaaS) más prolíficas. RaaS es un modelo de negocio criminal en el que los grupos de ransomware crean ransomware y permiten que otras personas, incluso con poca experiencia técnica, lleven a cabo ataques utilizando el ransomware por un porcentaje de los pagos del rescate.
• REvil (o Sodinokibi). Otro ejemplo del modelo de “ransomware como servicio”, REvil ha sido responsable de varios ataques de alto perfil, incluido el de Kaseya en 2021 . Es un ejemplo de un modelo de doble extorsión, en el que los delincuentes no sólo cifran los datos de la víctima, sino que también los hacen públicos si la víctima no paga.
• Dharma (o CrySiS). Este ransomware se dirige a sistemas Windows y tiene múltiples variantes. CrySiS generalmente se infiltra en los sistemas a través de puertos expuestos del Protocolo de escritorio remoto (RDP). Es conocido por sus frecuentes actualizaciones y su capacidad de evadir la detección.
• Locky. Este ejemplo de ransomware gana protagonismo hace unos años. Surgió en 2016, es uno de los tipos de ransomware más extendidos, y hasta el día de hoy siguen apareciendo variantes y tácticas. Locky se distribuyó mediante archivos adjuntos maliciosos. Normalmente, un documento de Word atacado engañaría a los usuarios para que habilitaran macros, lo que a su vez liberaría un troyano que cifrar los archivos de la víctima.
• Cerber. Este ransomware se destacó por utilizar texto a voz para “leer” una nota de rescate a las víctimas. Sus creadores vendieron Cerber como software como servicio (SaaS) a otros ciberdelincuentes por un porcentaje de sus ingresos.
• Maze. Activo durante 2019 y 2020, Maze fue el pionero de la táctica de la doble extorsión. Se propagó a través de ataques de phishing.
• NetWalker. Otro ejemplo de ransomware de doble extorsión. Se propagó durante la pandemia de COVID-19 y se dirigió principalmente a organizaciones involucradas en la respuesta a la pandemia. Esto, combinado con las fake news, es una bomba de relojería.
• DarkSide. Un ejemplo más de “ransomware como servicio”, DarkSide se propagó gracias a los piratas informáticos que aprovechaban las debilidades de los protocolos de escritorio remoto (RDP). Este grupo se atribuyó la responsabilidad del sonado ataque al Colonial Pipeline en mayo de 2021, que provocó una importante escasez de combustible en algunas partes de Estados Unidos.
• Ransomware GoodWill. Identificado por primera vez en 2022, GoodWill es un ransomware moderno que se destaca por su objetivo: en lugar de un pago, el grupo de ransomware exige a sus víctimas que realicen un acto de bondad hacia los pobres.

• Los Servicios Judiciales de Australia (CSV): los hackers expertos en ransomware consiguieron controlar las operaciones de esta institución. No solo eso, también tuvieron acceso a grabaciones con contenido sensible. Esto fue posible gracias a una brecha de seguridad en su sistema.
• La cadena de supermercados Coop de Suecia: el ataque ransomware que burló la seguridad online de esta gran superficie sueca se bautizó con el nombre “Cactus”. Las autoridades se dieron cuenta del ataque al poco tiempo, pero los hackers lograron manipular información comprometida sobre la empresa y los clientes.
• Kenya Airways: los ciberdelincuentes atacan instituciones gubernamentales, empresas o simples usuarios, también las aerolíneas están en el punto de mira. Kenya Airways vio comprometida su seguridad cuando el grupo Ransomexx echó un ojo a los datos de sus pasajeros y otra información confidencial relacionada con los vuelos. Un ciberataque de estas características puede terminar siendo una auténtica amenaza para las infraestructuras críticas de un país.

Al centrarnos en los ataques ransomware de España, los registrados solo durante el año 2023, podemos citar los siguientes ejemplos:

• 107 ayuntamientos de Vizcaya. Numerosas oficinas de ayuntamientos locales de Euskadi sufrieron ataques de ransomware enfocados a conseguir datos de los vecinos, en concreto, todos aquellos relacionados con la Seguridad Social. A esto se le unió una campaña de phishing.
• Telepizza. La famosa cadena de comida rápida sufrió un ataque de ransomware el mismo mes (febrero, 2023) que la Agencia Tributaria vio vulnerados sus equipos, que dejaron al descubierto algunos datos fiscales de ciudadanos que no esperaban verse en esa situación. En abril, la Agencia Tributaria volvió a ser la víctima de una ciberdelito, ya que los hackers empezaron una estafa vía SMS en nombre de esta reputada institución. Por último, en el mismo mes,. BBVA, Santander y WiZink se vieron envueltos en casos de suplantación de la identidad.
• Hospital Clínic de Barcelona. los sistemas del reconocido centro hospitalario de la capital de Cataluña fue víctima de ransomware en marzo del 2023, y se tardó semanas en volver a la normalidad. El Ministerio de Hacienda, por esas fechas, admitió ante la prensa que algunas páginas web gubernamentales habían estado en el punto de mira de los hackers. Por último, pero no menos importante, es que la empresa Mahou detectó una estafa mediante WhatsApp vinculada a una supuesta oferta vinculada al día del padre. Todos estos casos fueron muy comentados en su momento.
• Ayuntamiento de Cangas (Pontevedra). El concello pontevedrés fue víctima de un ciberataque de ransomware en junio del 2023 que bloqueó los ordenadores de más de doscientos funcionarios. Durante un tiempo, estos empleados públicos no pudieron recibir sus nóminas porque el sistema estaba colapsado.
• Período de elecciones. Cuando se anuncian las fechas de votación, con independencia del país, siempre se registra un aumento de los ciberataques durante las campañas electorales. España no es una excepción, por eso, durante la convocatoria del 23J, numerosos ayuntamientos e instituciones públicas (como el Ministerio de Interior) se enfrentaron a ataques DDos o casos de ransomware.
• Black Friday. Otro pico de los ataques informáticos, también los catalogados como ransomware, se observa en el mes de noviembre. La llegada del Black Friday, antecedido por la campaña de las rebajas de verano, pone en marcha la maquinaria de los hackers, que esperan ansiosos a sus víctimas. El modus operandi más popular es ponerse en contacto con los clientes ofreciendo precios irrisorios, para que acto seguido la víctima acceda a sitios web falsos y se les robe su información personal sin que lo sepan. Otra forma de robar información y sacar beneficio a los datos confidenciales de terceros es vulnerar los sistemas de seguridad de las grandes empresas.

Hay seis signos principales de infección por ransomware que deberían llamar tu atención de inmediato y animarte a tomar medidas:

• Tu PC va más lento y también necesitas más tiempo para realizar actividades online. Es uno de los primeros signos de un ataque de ransomware. El ransomware comienza su trabajo escaneando los dispositivos en busca de ubicaciones de almacenamiento de archivos, lo que provoca que el equipo empiece a ir más lento. Podría pensar que el dispositivo se ralentizó debido a que muchos usuarios agotaron el ancho de banda, pero observa más de cerca para determinar la verdadera razón. Ten en cuenta que las señales de que tu móvil ha sido hackeado, podrían predecir que eres víctima de ransomware.
• Cambios sospechosos en archivos, sus nombres y ubicaciones. “Ver cosas raras” en móviles, tablets o PC no augura nada bueno. Si se modifican archivos o carpetas enteras, aparecen archivos desconocidos o no contabilizados, o algunos archivos no tienen extensión, pueden indicar que has sufrido un ciberataque.
• Extracción no autorizada de datos. Si se pierden archivos, tómalo como una señal de una posible infracción e inspecciona. Además, repórtalo en la plataforma en la que guardas la información, ya que tal vez haya sido atacada.
• Cifrado de archivos no reconocidos y no deseados. Si observas archivos cifrados en tu red de los que nadie tiene conocimiento ni responsabilidad, esto debería hacer sonar una alarma para actuar.
• Una pantalla bloqueada.Algunas variantes de ransomware bloquean todo tu escritorio, impidiéndote acceder a tu PC o a los archivos hasta que pagues un rescate.
• Un mensaje parpadea en la pantalla e informa sobre un ataque. El indicador más obvio de un ataque de ransomware es el mensaje en la pantalla de tu PC que te informa sobre la infección de ransomware.

Puedes proteger tus equipos para prevenir ataques de ransomware, además no requieren grandes conocimientos en ciberseguridad. Existen diversas formas de protegerse frente a potenciales ataques de ransomware. Algunas de las más importantes son:

• No abras ni hagas clic en los enlaces de los correos electrónicos procedentes de remitentes sospechosos.
• Haz regularmente copias de seguridad de tus datos en dispositivos físicos y desconectados de internet.
• Relacionado con los buenos hábitos online para proteger tu privacidad, acostúmbrate a activar la autenticación multifactor (MFA) en todos tus perfiles en línea.
• Mantén tu software de seguridad actualizado.
• Navega por internet con las herramientas de ciberseguridad más avanzadas, como la Protección contra amenazas de NordVPN que detecta el malware antes de que se descargue en el equipo.
• Usa una VPN para mantener tu conexión encriptada y asegurarte de que ninguna persona maliciosa pueda estudiar tus actividades en la red. Esto hará que sea menos probable que te elijan para sus ataques.
• Usa siempre contraseñas robustas en tus dispositivos y, especialmente, en tu router. Para proteger la red inalámbrica de tu casa, te recomendamos instalar una VPN en tu router.

Si sufres un ataque de ransomware que ha dejado encriptados los archivos, estos son algunos de los pasos que puedes dar para tratar de recuperarlos.

• Contacta con las autoridades de tu país. Un ataque de ransomware es de extrema gravedad, por lo que es fundamental que presentes una denuncia.
• Utiliza un antivirus u otra herramienta antimalware para eliminar el virus que ha causado el ransomware en primera instancia. Esto no recuperará tus archivos, pero impedirá que el ataque afecte a otros equipos de personas cercanas a ti.
• No pagues el rescate. En primer lugar, no tienes ninguna garantía de que vayan a desencriptar tus archivos después de recibir el pago, y, en segundo lugar, si lo pagas estarás incentivando este tipo de ataques.
• Si cuentas con una copia de seguridad de tus archivos, guárdala en otro equipo provisional para poder seguir trabajando mientras reparas el equipo afectado.