Los ataques de ransomware han ganado notoriedad para los responsables de la ciberseguridad. Tres de cada cuatro mexicanos temen sufrir un ciberataque que implique un fraude económico o una suplantación de identidad, según una encuesta de la Asociación del Internet MX (Amix).
México ocupa el sexto lugar a nivel mundial en ataques de ransomware, según la firma de ciberseguridad SonicWall. El ransomware puede atacar cualquier tipo de archivo, desde documentos personales hasta aquellos críticos para la operación de una organización. Al ser una de las amenazas más graves en ciberseguridad, ha escalado rápidamente en el mundo empresarial, afectando cada vez a más empresas y sectores.
La actividad de ransomware representa una amenaza creciente en la ciberdelincuencia, afectando servicios críticos como hospitales o redes energéticas en diversas partes del mundo. Los ataques criptográficos aumentaron un 659%, y las amenazas cifradas subieron un 117%, ya que los delincuentes optaron por métodos más discretos y de menor riesgo, de acuerdo con el análisis de SonicWall.
Este número fue confirmado por el presidente de la Comisión de Derechos Digitales del Senado, Luis Donaldo Colosio Riojas, que compartió que, al tercer trimestre de 2024, hubo un promedio de 3.124 ataques semanales de este tipo.
Infografía Ransomware en México
¿Qué es el ransomware y cómo funciona?
El término ransomware en español se utiliza para describir un tipo de secuestro de datos a cambio de rescate.
El ransomware es un tipo de malware que bloquea el acceso a un sistema y exige un pago para liberarlo. Este virus ransomware emplea técnicas de cifrado en archivos del sistema, impidiendo el acceso a los mismos hasta que se cumpla con el rescate.
El objetivo principal del ransomware es económico, y se manifiesta en tres modalidades: ciberrobo, extorsión y sabotaje de instalaciones civiles o militares. Los expertos en el tema recomiendan nunca pagar el rescate, ya que no garantiza la recuperación de la información.
Historia y primeros casos de ataques ransomware
Desde 1989, el término “ransomware” se ha utilizado para describir este tipo de malware. El primer caso fue el AIDS Trojan, uno de los primeros troyanos ransomware, creado por Joseph L. Popp, un biólogo evolutivo, quien propagó el virus en una reunión mundial de la OMS sobre VIH/Sida mediante disquetes infectados.
En los años que siguieron, surgieron variantes como GpCode y CryptoLocker. En 2013, CryptoLocker fue una de las mayores amenazas, con un cifrado robusto de 2048 bits que afectó a más de medio millón de dispositivos. Desde entonces, el ransomware ha seguido evolucionando, afectando también dispositivos móviles. Existen numerosos ejemplos de ransomware que muestran cómo los ataques evolucionan continuamente para desafiar las medidas de seguridad.
Tipos de Ransomware
Las características del ransomware varían según el tipo, ya sea bloqueador de datos o bloqueador de dispositivos.
- Ransomware bloqueador de computadora: Impide el acceso al equipo pero no afecta los archivos.
- Ransomware bloqueador de datos: También conocido como cripto ransomware, cifra archivos sensibles para bloquear su acceso.
Cómo se propaga
La propagación del ransomware se puede clasificar en dos modalidades principales, cada una representando distintos riesgos de infección en redes y sistemas. Comprender estas vías es clave para implementar una protección efectiva contra ransomware en entornos corporativos y personales.
Errores humanos
La mayoría de los ataques de ransomware comienzan con errores humanos, como abrir correos electrónicos con archivos adjuntos o enlaces sospechosos. Estas acciones, a menudo motivadas por ingenuidad o falta de capacitación en ciberseguridad, abren la puerta a posibles infecciones de ransomware. Los correos de phishing son una de las tácticas más utilizadas por los atacantes, pues engañan a los usuarios para activar enlaces maliciosos o descargar archivos infectados.
Además, los dispositivos extraíbles de procedencia dudosa, como unidades USB, representan otro riesgo, ya que pueden contener malware oculto listo para propagarse al sistema una vez conectado.
Propagación sin intervención del usuario: No todos los ataques dependen de la acción directa del usuario. La publicidad maliciosa, o malvertising, y las descargas automáticas también son fuentes de infección de ransomware. En estos casos, simplemente al visitar un sitio web comprometido, el ransomware puede descargarse en el dispositivo sin intervención directa.
Software pirateado
El uso de software pirateado es otra fuente importante de infecciones por ransomware. Al descargar versiones no oficiales de programas, los usuarios se exponen a software que frecuentemente viene cargado con adware y otros tipos de malware. Además, este tipo de software no recibe actualizaciones de seguridad oficiales, lo que incrementa la vulnerabilidad del sistema a ataques de ransomware y otros malware ransomware.
Usar software sin licencia también aumenta la exposición a amenazas de ransomware, ya que no se dispone de soporte ni parches de seguridad regulares, lo que convierte a estos sistemas en blancos fáciles para los atacantes.
¿Cómo detectar el ransomware? Primeras señales de infección
La detección de ransomware en entornos corporativos es crucial para mitigar su impacto.
Las entidades que se dedican a evaluar los ataques de ransomware desarrollan guías y recomendaciones para detectar la presencia de infecciones en los sistemas informáticos, tanto en las organizaciones como en el ámbito individual.
Recomendaciones para usuarios en lo individual contra el ransomware
Para los usuarios en lo individual, tales recomendaciones incluyen:
- Verificar la aparición de cualquier nota o texto que solicite un pago por rescate.
- Revisar el rendimiento del equipo. Si ha disminuido considerablemente puede deberse al proceso de cifrado de archivos que consume muchos recursos y satura el o los discos duros.
- Incremento inusual en el uso del disco duro, que responde también al proceso de cifrado de archivos y su modificación.
- Alertas de seguridad del software antivirus que indiquen posible ransomware en el equipo.
- Tareas programadas no previstas
- Análisis forense
Recomendaciones para detectar ransomware en una organización
Detectar un ataque de ransomware en una organización es esencial para mitigar daños y proteger la información crítica. Existen varias medidas que fortalecen la seguridad de la red corporativa y ayudan a identificar amenazas tempranamente:
- Monitoreo constante del tráfico de red: Es fundamental analizar tanto el tráfico de salida como el de entrada. Este monitoreo permite identificar patrones sospechosos que pueden indicar la presencia de ransomware o intentos de ataque.
- Revisión de registros de puntos de entrada: Es importante revisar detalladamente los registros de seguridad en puntos vulnerables, como el firewall perimetral y los sistemas de correo electrónico. Estas son puertas de entrada comunes para los ciberataques, incluyendo el ransomware.
- Protección contra el phishing: El phishing es una de las tácticas de ingeniería social más utilizadas para acceder a redes corporativas. Los correos electrónicos falsos son empleados para engañar a los usuarios y activar enlaces o archivos maliciosos. Sensibilizar a los empleados y aplicar filtros de seguridad en el correo reduce significativamente este riesgo.
En México, ocho de cada 10 empresas lograron detectar y contener ataques de malware con éxito entre 2021 y 2022, según un informe de la Asociación de Internet MX (AIMX). Este dato subraya la importancia de contar con estrategias proactivas de ciberseguridad para combatir amenazas crecientes como el ransomware.
Cómo prevenir ataques de ransomware
Para entender cómo evitar el ransomware, es esencial adoptar medidas preventivas como mantener actualizado todo el software de la organización, realizar copias de seguridad de datos sensibles regularmente y educar al personal sobre tácticas de phishing y otros tipos de ataques de ingeniería social que suelen utilizar los cibercriminales para distribuir ransomware.
La protección contra el ransomware requiere de un bloqueador de malware, copias de seguridad regulares y evitar enlaces sospechosos. Las organizaciones deben contar con un plan de recuperación y medidas de ciberseguridad.
De acuerdo con un estudio realizado por el equipo de investigación de SILIKN, el 96.6% de las empresas que enfrentan un incidente ransomware experimentan períodos de inactividad y paros en sus operaciones, lo cual genera costos de recuperación que rondan los 2.5 millones de dólares. Por eso, las empresas en México deben tomar medidas urgentes contra esta amenaza.
Mejores prácticas y tecnologías emergentes
Para protegerse contra el ransomware y mejorar la recuperación de datos, es esencial estar al tanto de las últimas mejores prácticas, tecnologías emergentes y colaboraciones internacionales.
Siendo cada vez más importante, la Inteligencia Artificial y el Machine Learning se convierten en herramientas fundamentales para detectar patrones anómalos y responder a amenazas en tiempo real. Estos sistemas de IA analizan grandes volúmenes de datos que permiten identificar comportamientos sospechosos y activar respuestas automáticas.
Luego se encuentra el modelo de seguridad Zero Trust (Confianza Cero) que se ha consolidado como una de las estrategias más efectivas para combatir el ransomware y otras ciberamenazas modernas.
Su principio fundamental es que “nunca se debe confiar, siempre se debe verificar”, lo que significa que, independientemente de la ubicación de los usuarios o dispositivos (ya sea dentro o fuera de la red corporativa), se requiere autenticación y autorización para acceder a cualquier recurso. Esto reduce significativamente el riesgo de que los atacantes, una vez dentro de la red, puedan moverse lateralmente y propagar el ransomware.
Además, Zero Trust implementa una segmentación de red estricta, controla el acceso a datos sensibles y aplica políticas de mínima privilegiada, lo que dificulta el cifrado masivo de información y la exfiltración de datos.
La aplicación y el desarrollo de la seguridad en la nube es otras de las buenas prácticas que deben tener en cuenta las empresas. Esta es crucial para proteger los datos y aplicaciones que las organizaciones almacenan y gestionan en entornos virtualizados.
A medida que más empresas migran a la nube, las amenazas de ransomware y otras ciberamenazas se vuelven más complejas debido a la naturaleza compartida y distribuida de estos servicios. Las medidas de seguridad en la nube incluyen cifrado de datos, autenticación multifactor, gestión de identidades y acceso, así como auditorías constantes para detectar actividades sospechosas.
Implementar políticas de seguridad específicas para la nube, como el control de acceso basado en roles (RBAC), ayuda a garantizar que solo los usuarios autorizados tengan acceso a recursos críticos.
Nuevas variantes de ransomware
La evolución del ransomware ha generado múltiples variantes sofisticadas, cada una con métodos específicos para maximizar el impacto y las probabilidades de éxito de los ataques. A continuación, se describen algunas de las más recientes y peligrosas:
Scareware
El scareware y ransomware comparten ciertas tácticas de manipulación psicológica, aunque se diferencian en su enfoque. El scareware simula ser un software de seguridad falso que muestra alertas ficticias de infección. Este tipo de ransomware presiona psicológicamente a la víctima para que compre una ‘licencia’ para eliminar supuestos virus. Una vez adquirida, la aplicación actúa como malware, descargando virus adicionales o bloqueando el sistema. El scareware juega con el miedo de la víctima, incentivando una respuesta rápida y, en última instancia, entregando control al atacante
Leakware o Doxware
Conocido como ransomware de extorsión de datos, el leakware amenaza con hacer pública la información privada de la víctima si no se paga el rescate. Es común que los atacantes se enfoquen en individuos o empresas con datos sensibles, tales como documentos financieros o registros médicos. La amenaza de publicar esta información añade una presión única y aumenta la probabilidad de que la víctima pague rápidamente.
Ransomware como Servicio (RaaS)
El modelo de Ransomware como Servicio permite a ciberdelincuentes alquilar herramientas de ransomware listas para usar a cambio de un porcentaje de las ganancias obtenidas en rescates. Disponible en la dark web, RaaS hace posible que personas sin experiencia técnica puedan lanzar ataques efectivos. Esto ha incrementado la incidencia de ransomware en el mundo, ya que los atacantes pueden implementar técnicas sofisticadas sin conocimientos avanzados.
Ransomware de Doble Extorsión
La variante de doble extorsión combina el cifrado de los datos con la exfiltración de información. Si la víctima no paga, los atacantes amenazan con vender o liberar los datos robados públicamente. Este tipo de ataque afecta tanto la privacidad como la operatividad de las empresas, sumando un doble riesgo: la pérdida de datos críticos y el impacto en la reputación por la filtración de información. El uso de ransomware y doble extorsión ha ganado fuerza como una táctica adicional para maximizar las ganancias de los cibercriminales.
Cripto-Ransomware
El cripto-ransomware cifra los archivos de forma avanzada y es una de las variantes más difíciles de contrarrestar. Este tipo de ransomware emplea algoritmos robustos de cifrado para bloquear el acceso a los datos, y suele afectar tanto a sistemas personales como empresariales. A diferencia de otras variantes, los usuarios enfrentan un desafío adicional debido a la complejidad de recuperar los datos sin la clave de descifrado.
Estas variantes reflejan una sofisticación creciente en las tácticas de ransomware, lo que exige que las empresas implementen medidas avanzadas de ciberseguridad para detectar y prevenir ataques antes de que afecten sus operaciones y reputación.LockBit 2.0 es el principal grupo criminal de ransomware que actúa en México.
Las bandas criminales de ransomware
Este tipo de organizaciones delictivas, a menudo altamente estructuradas y bien financiadas, son responsables de algunos de los ciberataques más devastadores en todo el mundo.
En 2024, un número de grupos de ransomware se destacan por su actividad y la cantidad de víctimas que han dejado a su paso. Cada uno tiene su propio enfoque y modus operandi, pero todos comparten la misma táctica básica: cifrar los datos de las víctimas y exigir un rescate para liberarlos.
Además de LockBit 2.0, uno de los grupos de ransomware más notorios y activos, en 2024 otras bandas han ascendido en notoriedad debido a su creciente impacto. Bandas como Play y Akira han dado un golpe fuerte, mientras que 8base y Medusa se han posicionado rápidamente en la escena.
A continuación, exploraremos las características y actividades de los grupos de ransomware más prolíficos de este año.
LockBit 3.0 (Flighty Scorpius)
LockBit 3.0, conocido también como Flighty Scorpius, sigue siendo la banda de ransomware más activa en 2024. Este grupo, que comenzó a operar en 2019, ha sido particularmente eficaz al atacar grandes organizaciones y compañías de renombre.
En la primera mitad de 2024, LockBit 3.0 registró 325 víctimas en su sitio de fugas, lo que lo coloca en la primera posición de los grupos de ransomware más prolíficos del año. Este número es impresionante si se considera que en todo 2023 el grupo alcanzó 928 víctimas.
La banda es conocida por su rápida propagación y su modus operandi eficiente, que incluye la venta de “herramientas de Ransomware-as-a-Service” a otros ciberdelincuentes. Además de su enfoque en las grandes empresas, LockBit también se ha destacado por su capacidad para realizar ataques de “doble extorsión”, donde no solo cifran los datos de las víctimas, sino que también exigen el pago de un rescate por evitar la publicación de información confidencial robada.
Play (Fiddling Scorpius)
Play, también conocido como Fiddling Scorpius, ha demostrado ser un competidor fuerte en el ámbito del ransomware en 2024. A pesar de que comenzó relativamente tarde en comparación con otras bandas, Play ha ganado notoriedad rápidamente.
En la primera mitad de 2024, según un reporte de Unit 42, el grupo de investigadores de ciberamenazas de Palo Alto Networks, el grupo registró 155 víctimas, lo que representó un aumento significativo respecto a las 267 víctimas del año anterior.
Este grupo es conocido por sus ataques altamente dirigidos, enfocándose en sectores específicos como el tecnológico, el financiero y el de la salud. Además, Play ha perfeccionado su técnica de evasión, lo que les permite eludir las defensas de las empresas y acelerar el proceso de cifrado.
8base (Squalid Scorpius)
8base, o Squalid Scorpius, es un grupo relativamente nuevo en el mundo del ransomware, pero ha demostrado ser una fuerza a tener en cuenta. Se cree que 8base es una nueva faceta de Phobos, un grupo que operaba anteriormente bajo otro alias.
En 2024, 8base se posicionó como el tercer grupo de ransomware más activo, con 119 víctimas registradas en la primera mitad del año. Este grupo ha ganado terreno rápidamente debido a su capacidad para adaptarse a nuevas técnicas de ataque y por sus colaboraciones con otros grupos cibercriminales.
Aunque aún no alcanza la notoriedad de bandas como LockBit o Play, 8base se está consolidando como un actor relevante en el cibercrimen, especialmente en el ámbito de pequeñas y medianas empresas que suelen ser menos protegidas.
Akira (Howling Scorpius)
Akira, apodado el “próximo gran éxito en el ransomware”, es una banda emergente que ha ganado terreno en 2024. Con 119 víctimas en la primera mitad del año, esta banda se ubicó en el cuarto lugar de los grupos más prolíficos.
Akira ha destacado por sus técnicas avanzadas de cifrado y su enfoque en empresas de tamaño mediano y grande, especialmente en los sectores de tecnología e infraestructura.
Aunque su número de víctimas no es tan alto como el de otros grupos, la rapidez con la que han crecido y su sofisticación técnica los coloca como un grupo a seguir de cerca.
BlackBasta (Dark Scorpius)
BlackBasta, también conocido como Dark Scorpius, es uno de los grupos más nuevos que han irrumpido en la escena del ransomware, pero ha logrado rápidamente un alto nivel de actividad.
Con 114 víctimas en el primer semestre de 2024, BlackBasta ha sorprendido a la comunidad de ciberseguridad por su efectividad. Este grupo es conocido por su estrategia de doble extorsión, similar a otras bandas, pero se destaca por su agresividad en la negociación del rescate, lo que ha incrementado su tasa de éxito.
Además, BlackBasta se ha especializado en ataques contra sectores como el de la manufactura y la educación, dos áreas particularmente vulnerables debido a sus infraestructuras tecnológicas a menudo desactualizadas.
Medusa (Transforming Scorpius)
Medusa, también conocida como Transforming Scorpius, es una de las bandas más recientes que ha comenzado a ganar visibilidad en 2024. Aunque no estaba entre los seis grupos principales en 2023, logró registrar 103 víctimas en lo que va del año, lo que lo coloca como uno de los actores más relevantes del momento.
Medusa se caracteriza por su enfoque en empresas de servicios y en sectores relacionados con la salud y el bienestar. Aunque su modus operandi sigue el modelo de doble extorsión, se sabe que Medusa es particularmente hábil en la obtención de datos sensibles, lo que les permite presionar a las víctimas de manera más efectiva durante las negociaciones del rescate.
Ataques más famosos de ransomware
AIDS Trojan
AIDS Trojan está identificado como el origen del más viejo de los ataques de ransomware, en 1989. Tal y como ya lo mencionamos arriba, el virus se distribuyó a través de 20 mil disquetes infectados en una reunión mundial de la OMS acerca del SIDA.
Se le considera el precursor de los ataques de ransomware. Ha aparecido como malware en forma recurrente desde 2005.
Reveton
Reveton, surge en 2012, se le califica como la “primera gran amenaza”.
Este malware infecto millones de máquinas en todo el mundo y se le conoce popularmente como el Troyano de la Policía.
Se le conoce así porque en la pantalla del equipo infectado aparecía un mensaje supuestamente de un grupo de seguridad del estado, informando que el ordenador se había utilizado para actividades ilegales, como podría ser la pornografía infantil.
CryptoLocker
CryptoLocker marca 2013 como el año del gran ataque de ransomware.
Su alcance fue superior al medio millón de computadoras con más de 3 millones de dólares pagados por rescate.
La variante original ya no es una amenaza, aunque sus clones si lo son, como ha sido el caso de CryptoWall en 2014.
WannaCry
WannaCry es el gran protagonista en mayo de 2017.
Más de 300 mil computadoras en 150 países fueron afectadas por este ataque cibernético masivo. “¡Ups, tus archivos han sido encriptados!”, decía el mensaje de ransomware, conocido como WannaCryptor o WannaCry (quieres llorar).
Los atacantes pedían el pago de $300 dólares en la moneda electrónica bitcoin para que los sistemas fueran liberados.
Petya
El ataque de ransomware Petya se produjo por primera vez en 2016 y un año después reapareció como GoldenEye, también conocido como el “hermano letal de WannaCry”.
Este malware hacía el cifrado de todo el disco duro de la víctima, en vez de atacar los archivos. GoldenEye estuvo presente en el lamentablemente famoso incidente de la planta de energía nuclear de Chernobyl.
Bad Rabbit
Bad Rabbit hizo estragos hacia finales de 2017, principalmente en Rusia y Europa del Este.
Preguntas frecuentes
¿Por qué es importante que las empresas tomen medidas contra el ransomware?
El ransomware puede causar pérdidas económicas significativas y daños a la reputación de una empresa. Además, comprometer los datos críticos puede afectar la operatividad de la organización y su relación con los clientes.
¿Qué hacer si soy víctima de un ataque de ransomware?
Es importante no pagar el rescate, ya que no garantiza la recuperación de los datos y puede alentar a los atacantes a repetir el ataque. En su lugar, se recomienda contactar a expertos en ciberseguridad y reportar el incidente a las autoridades.
¿Qué diferencia hay entre ransomware y otros tipos de malware?
El ransomware está diseñado específicamente para bloquear el acceso a datos o sistemas hasta que se pague un rescate. Otros tipos de malware pueden robar información, causar daños al sistema, o instalarse sin conocimiento del usuario para fines de espionaje o publicidad no deseada.
¿Qué tipo de respaldo de datos es más efectivo contra el ransomware?
Los respaldos de datos en la nube y las copias de seguridad fuera de línea son las opciones más seguras. Estos deben realizarse regularmente y mantenerse fuera de la red principal para evitar que también sean cifrados por el ransomware.
¿Qué papel juegan las actualizaciones de software en la protección contra el ransomware?
Mantener el software actualizado es fundamental, ya que muchas actualizaciones incluyen parches de seguridad que corrigen vulnerabilidades explotadas por los ataques de ransomware.
¿Cuánto puede costar un ataque de ransomware a una empresa?
El costo promedio de un ataque de ransomware puede variar según el tamaño de la empresa y la gravedad del ataque, pero los estudios indican que los costos pueden superar el millón de dólares, incluyendo el tiempo de inactividad y la recuperación de datos.
¿El ransomware solo afecta a empresas grandes?
No, el ransomware puede afectar tanto a empresas grandes como a pequeñas y medianas, así como a usuarios individuales. De hecho, los ciberdelincuentes a menudo apuntan a empresas pequeñas que podrían tener menos recursos para ciberseguridad.
¿Cuáles son los sectores más vulnerables a los ataques de ransomware?
Sectores críticos como la salud, la energía, la educación y el sector financiero son especialmente vulnerables debido a la naturaleza sensible de sus datos y la alta dependencia de sus sistemas para operaciones diarias.
