Los ataques de ransomware han ganado notoriedad para los responsables de la ciberseguridad. Tres de cada cuatro mexicanos temen sufrir un ciberataque que implique un fraude económico o una suplantación de identidad, según una encuesta de la Asociación del Internet MX (Amix).
México ocupa el sexto lugar a nivel mundial en ataques de ransomware, según la firma de ciberseguridad SonicWall. El ransomware puede atacar cualquier tipo de archivo, desde documentos personales hasta aquellos críticos para la operación de una organización. Al ser una de las amenazas más graves en ciberseguridad, ha escalado rápidamente en el mundo empresarial, afectando cada vez a más empresas y sectores.
La actividad de ransomware representa una amenaza creciente en la ciberdelincuencia, afectando servicios críticos como hospitales o redes energéticas en diversas partes del mundo. Los ataques criptográficos aumentaron un 659%, y las amenazas cifradas subieron un 117%, ya que los delincuentes optaron por métodos más discretos y de menor riesgo, de acuerdo con el análisis de SonicWall.
Infografía Ransomware en México
¿Qué es el ransomware y cómo funciona?
El término ransomware en español se utiliza para describir un tipo de secuestro de datos a cambio de rescate.
El ransomware es un tipo de malware que bloquea el acceso a un sistema y exige un pago para liberarlo. Este virus ransomware emplea técnicas de cifrado en archivos del sistema, impidiendo el acceso a los mismos hasta que se cumpla con el rescate.
El objetivo principal del ransomware es económico, y se manifiesta en tres modalidades: ciberrobo, extorsión y sabotaje de instalaciones civiles o militares. Los expertos en el tema recomiendan nunca pagar el rescate, ya que no garantiza la recuperación de la información.
Historia y primeros casos de ataques ransomware
Desde 1989, el término “ransomware” se ha utilizado para describir este tipo de malware. El primer caso fue el AIDS Trojan, uno de los primeros troyanos ransomware, creado por Joseph L. Popp, un biólogo evolutivo, quien propagó el virus en una reunión mundial de la OMS sobre VIH/Sida mediante disquetes infectados.
En los años que siguieron, surgieron variantes como GpCode y CryptoLocker. En 2013, CryptoLocker fue una de las mayores amenazas, con un cifrado robusto de 2048 bits que afectó a más de medio millón de dispositivos. Desde entonces, el ransomware ha seguido evolucionando, afectando también dispositivos móviles. Existen numerosos ejemplos de ransomware que muestran cómo los ataques evolucionan continuamente para desafiar las medidas de seguridad.
Tipos de Ransomware
Las características del ransomware varían según el tipo, ya sea bloqueador de datos o bloqueador de dispositivos.
- Ransomware bloqueador de computadora: Impide el acceso al equipo pero no afecta los archivos.
- Ransomware bloqueador de datos: También conocido como cripto ransomware, cifra archivos sensibles para bloquear su acceso.
Cómo se propaga
La propagación del ransomware se puede clasificar en dos modalidades principales, cada una representando distintos riesgos de infección en redes y sistemas. Comprender estas vías es clave para implementar una protección efectiva contra ransomware en entornos corporativos y personales.
Errores humanos
La mayoría de los ataques de ransomware comienzan con errores humanos, como abrir correos electrónicos con archivos adjuntos o enlaces sospechosos. Estas acciones, a menudo motivadas por ingenuidad o falta de capacitación en ciberseguridad, abren la puerta a posibles infecciones de ransomware. Los correos de phishing son una de las tácticas más utilizadas por los atacantes, pues engañan a los usuarios para activar enlaces maliciosos o descargar archivos infectados.
Además, los dispositivos extraíbles de procedencia dudosa, como unidades USB, representan otro riesgo, ya que pueden contener malware oculto listo para propagarse al sistema una vez conectado.
Propagación sin intervención del usuario: No todos los ataques dependen de la acción directa del usuario. La publicidad maliciosa, o malvertising, y las descargas automáticas también son fuentes de infección de ransomware. En estos casos, simplemente al visitar un sitio web comprometido, el ransomware puede descargarse en el dispositivo sin intervención directa.
Software pirateado
El uso de software pirateado es otra fuente importante de infecciones por ransomware. Al descargar versiones no oficiales de programas, los usuarios se exponen a software que frecuentemente viene cargado con adware y otros tipos de malware. Además, este tipo de software no recibe actualizaciones de seguridad oficiales, lo que incrementa la vulnerabilidad del sistema a ataques de ransomware y otros malware ransomware.
Usar software sin licencia también aumenta la exposición a amenazas de ransomware, ya que no se dispone de soporte ni parches de seguridad regulares, lo que convierte a estos sistemas en blancos fáciles para los atacantes.
¿Cómo detectar el ransomware? Primeras señales de infección
La detección de ransomware en entornos corporativos es crucial para mitigar su impacto.
Las entidades que se dedican a evaluar los ataques de ransomware desarrollan guías y recomendaciones para detectar la presencia de infecciones en los sistemas informáticos, tanto en las organizaciones como en el ámbito individual.
Recomendaciones para usuarios en lo individual contra el ransomware
Para los usuarios en lo individual, tales recomendaciones incluyen:
- Verificar la aparición de cualquier nota o texto que solicite un pago por rescate.
- Revisar el rendimiento del equipo. Si ha disminuido considerablemente puede deberse al proceso de cifrado de archivos que consume muchos recursos y satura el o los discos duros.
- Incremento inusual en el uso del disco duro, que responde también al proceso de cifrado de archivos y su modificación.
- Alertas de seguridad del software antivirus que indiquen posible ransomware en el equipo.
- Tareas programadas no previstas
- Análisis forense
Recomendaciones para detectar ransomware en una organización
Detectar un ataque de ransomware en una organización es esencial para mitigar daños y proteger la información crítica. Existen varias medidas que fortalecen la seguridad de la red corporativa y ayudan a identificar amenazas tempranamente:
- Monitoreo constante del tráfico de red: Es fundamental analizar tanto el tráfico de salida como el de entrada. Este monitoreo permite identificar patrones sospechosos que pueden indicar la presencia de ransomware o intentos de ataque.
- Revisión de registros de puntos de entrada: Es importante revisar detalladamente los registros de seguridad en puntos vulnerables, como el firewall perimetral y los sistemas de correo electrónico. Estas son puertas de entrada comunes para los ciberataques, incluyendo el ransomware.
- Protección contra el phishing: El phishing es una de las tácticas de ingeniería social más utilizadas para acceder a redes corporativas. Los correos electrónicos falsos son empleados para engañar a los usuarios y activar enlaces o archivos maliciosos. Sensibilizar a los empleados y aplicar filtros de seguridad en el correo reduce significativamente este riesgo.
En México, ocho de cada 10 empresas lograron detectar y contener ataques de malware con éxito entre 2021 y 2022, según un informe de la Asociación de Internet MX (AIMX). Este dato subraya la importancia de contar con estrategias proactivas de ciberseguridad para combatir amenazas crecientes como el ransomware.
Cómo prevenir ataques de ransomware
Para entender cómo evitar el ransomware, es esencial adoptar medidas preventivas como mantener actualizado todo el software de la organización, realizar copias de seguridad de datos sensibles regularmente y educar al personal sobre tácticas de phishing y otros tipos de ataques de ingeniería social que suelen utilizar los cibercriminales para distribuir ransomware.
La protección contra el ransomware requiere de un bloqueador de malware, copias de seguridad regulares y evitar enlaces sospechosos. Las organizaciones deben contar con un plan de recuperación y medidas de ciberseguridad.
En 2023, el costo promedio de un ataque de ransomware fue de $1.85 millones, según Getastra. Las empresas en México deben tomar medidas urgentes contra esta amenaza.
Nuevas variantes de ransomware
La evolución del ransomware ha generado múltiples variantes sofisticadas, cada una con métodos específicos para maximizar el impacto y las probabilidades de éxito de los ataques. A continuación, se describen algunas de las más recientes y peligrosas:
Scareware
El scareware y ransomware comparten ciertas tácticas de manipulación psicológica, aunque se diferencian en su enfoque. El scareware simula ser un software de seguridad falso que muestra alertas ficticias de infección. Este tipo de ransomware presiona psicológicamente a la víctima para que compre una ‘licencia’ para eliminar supuestos virus. Una vez adquirida, la aplicación actúa como malware, descargando virus adicionales o bloqueando el sistema. El scareware juega con el miedo de la víctima, incentivando una respuesta rápida y, en última instancia, entregando control al atacante
Leakware o Doxware
Conocido como ransomware de extorsión de datos, el leakware amenaza con hacer pública la información privada de la víctima si no se paga el rescate. Es común que los atacantes se enfoquen en individuos o empresas con datos sensibles, tales como documentos financieros o registros médicos. La amenaza de publicar esta información añade una presión única y aumenta la probabilidad de que la víctima pague rápidamente.
Ransomware como Servicio (RaaS)
El modelo de Ransomware como Servicio permite a ciberdelincuentes alquilar herramientas de ransomware listas para usar a cambio de un porcentaje de las ganancias obtenidas en rescates. Disponible en la dark web, RaaS hace posible que personas sin experiencia técnica puedan lanzar ataques efectivos. Esto ha incrementado la incidencia de ransomware en el mundo, ya que los atacantes pueden implementar técnicas sofisticadas sin conocimientos avanzados.
Ransomware de Doble Extorsión
La variante de doble extorsión combina el cifrado de los datos con la exfiltración de información. Si la víctima no paga, los atacantes amenazan con vender o liberar los datos robados públicamente. Este tipo de ataque afecta tanto la privacidad como la operatividad de las empresas, sumando un doble riesgo: la pérdida de datos críticos y el impacto en la reputación por la filtración de información. El uso de ransomware y doble extorsión ha ganado fuerza como una táctica adicional para maximizar las ganancias de los cibercriminales.
Cripto-Ransomware
El cripto-ransomware cifra los archivos de forma avanzada y es una de las variantes más difíciles de contrarrestar. Este tipo de ransomware emplea algoritmos robustos de cifrado para bloquear el acceso a los datos, y suele afectar tanto a sistemas personales como empresariales. A diferencia de otras variantes, los usuarios enfrentan un desafío adicional debido a la complejidad de recuperar los datos sin la clave de descifrado.
Estas variantes reflejan una sofisticación creciente en las tácticas de ransomware, lo que exige que las empresas implementen medidas avanzadas de ciberseguridad para detectar y prevenir ataques antes de que afecten sus operaciones y reputación.LockBit 2.0 es el principal grupo criminal de ransomware que actúa en México.
Ataques más famosos de ransomware
AIDS Trojan
AIDS Trojan está identificado como el origen del más viejo de los ataques de ransomware, en 1989. Tal y como ya lo mencionamos arriba, el virus se distribuyó a través de 20 mil disquetes infectados en una reunión mundial de la OMS acerca del SIDA.
Se le considera el precursor de los ataques de ransomware. Ha aparecido como malware en forma recurrente desde 2005.
Reveton
Reveton, surge en 2012, se le califica como la “primera gran amenaza”.
Este malware infecto millones de máquinas en todo el mundo y se le conoce popularmente como el Troyano de la Policía.
Se le conoce así porque en la pantalla del equipo infectado aparecía un mensaje supuestamente de un grupo de seguridad del estado, informando que el ordenador se había utilizado para actividades ilegales, como podría ser la pornografía infantil.
CryptoLocker
CryptoLocker marca 2013 como el año del gran ataque de ransomware.
Su alcance fue superior al medio millón de computadoras con más de 3 millones de dólares pagados por rescate.
La variante original ya no es una amenaza, aunque sus clones si lo son, como ha sido el caso de CryptoWall en 2014.
WannaCry
WannaCry es el gran protagonista en mayo de 2017.
Más de 300 mil computadoras en 150 países fueron afectadas por este ataque cibernético masivo. “¡Ups, tus archivos han sido encriptados!”, decía el mensaje de ransomware, conocido como WannaCryptor o WannaCry (quieres llorar).
Los atacantes pedían el pago de $300 dólares en la moneda electrónica bitcoin para que los sistemas fueran liberados.
Petya
El ataque de ransomware Petya se produjo por primera vez en 2016 y un año después reapareció como GoldenEye, también conocido como el “hermano letal de WannaCry”.
Este malware hacía el cifrado de todo el disco duro de la víctima, en vez de atacar los archivos. GoldenEye estuvo presente en el lamentablemente famoso incidente de la planta de energía nuclear de Chernobyl.
Bad Rabbit
Bad Rabbit hizo estragos hacia finales de 2017, principalmente en Rusia y Europa del Este.
Preguntas frecuentes
¿Por qué es importante que las empresas tomen medidas contra el ransomware?
El ransomware puede causar pérdidas económicas significativas y daños a la reputación de una empresa. Además, comprometer los datos críticos puede afectar la operatividad de la organización y su relación con los clientes.
¿Qué hacer si soy víctima de un ataque de ransomware?
Es importante no pagar el rescate, ya que no garantiza la recuperación de los datos y puede alentar a los atacantes a repetir el ataque. En su lugar, se recomienda contactar a expertos en ciberseguridad y reportar el incidente a las autoridades.
¿Qué diferencia hay entre ransomware y otros tipos de malware?
El ransomware está diseñado específicamente para bloquear el acceso a datos o sistemas hasta que se pague un rescate. Otros tipos de malware pueden robar información, causar daños al sistema, o instalarse sin conocimiento del usuario para fines de espionaje o publicidad no deseada.
¿Qué tipo de respaldo de datos es más efectivo contra el ransomware?
Los respaldos de datos en la nube y las copias de seguridad fuera de línea son las opciones más seguras. Estos deben realizarse regularmente y mantenerse fuera de la red principal para evitar que también sean cifrados por el ransomware.
¿Qué papel juegan las actualizaciones de software en la protección contra el ransomware?
Mantener el software actualizado es fundamental, ya que muchas actualizaciones incluyen parches de seguridad que corrigen vulnerabilidades explotadas por los ataques de ransomware.
¿Cuánto puede costar un ataque de ransomware a una empresa?
El costo promedio de un ataque de ransomware puede variar según el tamaño de la empresa y la gravedad del ataque, pero los estudios indican que los costos pueden superar el millón de dólares, incluyendo el tiempo de inactividad y la recuperación de datos.
¿El ransomware solo afecta a empresas grandes?
No, el ransomware puede afectar tanto a empresas grandes como a pequeñas y medianas, así como a usuarios individuales. De hecho, los ciberdelincuentes a menudo apuntan a empresas pequeñas que podrían tener menos recursos para ciberseguridad.
¿Cuáles son los sectores más vulnerables a los ataques de ransomware?
Sectores críticos como la salud, la energía, la educación y el sector financiero son especialmente vulnerables debido a la naturaleza sensible de sus datos y la alta dependencia de sus sistemas para operaciones diarias.
