Tiempo de lectura: 10 minutos

Durante la historia de la tecnología hemos constatado una serie de evoluciones, progresos y beneficios. Sin embargo, también los delincuentes cibernéticos han aprovechado los avances tecnológicos para modernizar las maneras en las que realizan sus fechorías.  

Para generar un contexto más claro sobre la antigüedad del ransomware es preciso entender que el primer registro de ransomware fue en 1989 pero su boom se detectó hasta 2012. Los primeros ransomware eran fáciles de contraatacar por los expertos en informática.

Algunas versiones bloquean las computadoras de los usuarios mostrando imágenes pornográficas. A principios de los 2000 los atacantes solicitaban pagos a través de mensajes SMS.

Luego se sofisticó el engaño haciendo creer que una agencia gubernamental (como FBI o Interpol) era la que bloqueaba el acceso a los archivos enviando un mensaje de que el usuario había cometido un delito como piratería, descarga ilegal de archivos o, incluso, piratería infantil.

Muchos usuarios pagaban el rescate porque evidentemente no sabían qué hacer… o porque la situación de piratería o descargas ilegales era real. Esta táctica de ingeniería social ahora se le llama culpa implícita, pues el usuario paga el rescate para obtener sus datos.

La sofisticación fue a más, pues en 2014 el caso de CrysptoLocker empleó cifrado de grado militar que hoy en día se sigue usando y que es muy difícil de resolver.

Para ponerlo en una clara perspectiva: durante 2017 los fraudes por ransomware ocasionaron $5,000 millones de dólares destinados a las recompensas solicitadas por los ciberdelincuentes.

Un año más tarde, existen cifras todavía más sorprendentes, ya que en solamente el primer trimestre SamSam, uno de los tipos de ransomware, obtuvo $1 millón de dólares en rescates.

Los ciberdelincuentes saben perfectamente que existen rubros que son mucho más propensos y que no dudarán en pagar el rescate de los datos. Por ejemplo, el sector médico, financiero y de las aseguradoras no pensarán ni un momento en pagar altas cifras para recuperar la información de sus clientes…

Y para que se tenga una idea de cuál es el alcance es preciso conocer el caso de los más de 400 consultorios dentales infectados con ransomware que no pudieron accesar a los registros de sus pacientes debido a que el ataque se realizó a un proveedor de servicios administrados (MSP) y de ahí llegó rápidamente a todos los consultorios.

De acuerdo con cifras de empresas analistas, los ataques de ransomware han disminuido en los últimos 10 años y podrían descender todavía más con los programas necesarios y, por supuesto, con la concientización en temas de ciberseguridad que toda empresa debe considerar.

¿Qué es el ransomware?

Una definición de ransomware sería aquella que se refiere a una forma de malware o software malicioso, o programa informático dañino, que los piratas informáticos usan para causar daño.

De manera específica, el ransomware cifra los archivos de su víctima para que no pueda tener acceso a ellos, de ahí que el ciberdelincuente pedirá un rescate para restaurar el acceso a los archivos o, de lo contrario, los destruirá.

Las primeras variantes de ransomware se desarrollaron a finales de la década de 1980 y el pago debía enviarse por correo postal, luego la información del rescate se mandaba por un mensaje SMS. Hoy en día, los autores de ransomware ordenan que el pago se envíe mediante criptomoneda o tarjeta de crédito y los montos solicitados van desde cientos de dólares hasta miles, dependiendo de la información.

Una vez realizado el pago, los usuarios reciben las instrucciones de cómo desbloquear sus archivos.

Al inicio los ataques estaban dirigidos a personas, pero su éxito fue tal que empezaron a atacar a las empresas lo cual era más efectivo porque al detener la operación de las compañías y, por ende, la pérdida de ventas, las víctimas pagaban rápidamente cantidades más grandes de rescates.

¿Cómo funciona el ransomware? 

El ransomware puede atacar de distintas formas.

Una de las que más éxito han tenido es la publicidad maliciosa mejor conocida como malvertising. Cuando los usuarios hacen clic sobre publicidad sumamente atractiva, adquieren el malware que, incluso podría estar en sitios legítimos pero que, al dar clic, son llevados a servidores que roban la información de sus víctimas.

El malvertising utiliza un iframe infectado que hace la redirección a la página con código malicioso sin que el usuario se de cuenta. Esto recibió el nombre de drive-by-download.

Otra de las formas de ataque es a través del spam malicioso (malspam) que llega en un correo electrónico con archivos con trampas como documentos adjuntos (en Word o PDF) o ligas a sitios web.

Los correos electrónicos emplean la ingeniería social para hacer creer al usuario que provienen de amigos o de sitios legítimos. Como ya lo mencionamos, algunos se hacen pasar por el FBI o la Interpol alertando sobre el uso indebido de software o advirtiendo sobre pornografía y pidiendo a cambio una cantidad de dinero para desbloquear los archivos bloqueados.

Hay una serie de vectores que el ransomware puede utilizar para acceder a una computadora. Uno de los sistemas de entrega más comunes es el spam de phishing: archivos adjuntos que llegan a la víctima en un correo electrónico y se hacen pasar por un archivo en el que deben confiar.

Al descargar y abrir el archivo adjunto se apoderan de la computadora y, en otras ocasiones, si se trataba del ransomware NotPetya, incluso aprovechaban los agujeros de seguridad para infectar las computadoras sin necesidad de descargar algún archivo.

Una vez dentro del sistema, el malware cifra algunos o todos los archivos. Y son prácticamente imposibles de descifrar sin una clave que, por supuesto, posee el ciberdelincuente. Y es entonces cuando se solicita el rescate.

Existe también una opción llamada software de filtración o doxware que implica la publicación de datos confidenciales obtenidos del disco duro de la víctima; sin embargo, requiere de más trabajo por parte de los atacantes que deberán encontrar y extraer la información confidencial del equipo.

¿Cómo detectar el ransomware y qué hacer para protegerse?

En lo que respecta al ransomware, es mejor prevenir que curar. Ello significa tener siempre un ojo atento y usar el software de seguridad adecuado. Los análisis de vulnerabilidades pueden ayudar a revelar si hay un intruso en el sistema. Es importante que el equipo no sea un blanco ideal para el ransomware. Las aplicaciones instaladas deben tener siempre las últimas actualizaciones y parches de seguridad.

¿Cuántas clases diferentes de ransomware existen? ¿Importa la diferencia?

El riesgo del ransomware depende del tipo de virus. Existen, básicamente, dos clases de ransomware: el ransomware de bloqueo, por un lado, y el ransomware de cifrado, por el otro. Se diferencian de este modo:

• el ransomware de bloqueo afecta las funciones básicas del equipo,
• el ransomware de cifrado cifra archivos individuales.

El tipo de malware importa no solo por lo que hace, sino también porque afecta el modo de identificarlo y de contrarrestar sus efectos. Las dos clases generales se dividen, a su vez, en distintos tipos de ransomware. Algunos ejemplos de ransomware son Locky, WannaCry y Bad Rabbit.

Tipos de ransomware

Este malware puede dividirse en tres grandes grupos:

Espantapájaros o scareware

Se trata de software de seguridad fraudulento, o bien, estafas en servicios de soporte técnico.

El usuario recibe un mensaje emergente en el que se advierte que el sistema descubrió malware y se pide un pago para eliminar dicho malware.

Este mensaje aparecerá constantemente en ventanas emergentes; sin embargo, los archivos del equipo permanecerán seguros siempre y cuando no se haga clic en el mensaje.

Un programa de seguridad legal no solicitará un pago puesto que si ya está instalado en el equipo, simplemente actuará.

Bloqueadores de pantalla

Suele suceder que aparezca una ventana de tamaño completo con el escudo del FBI o de Interpol advirtiendo de una actividad ilegal realizada por el usuario y, por supuesto, solicita un pago. Esta ventana congela por completo la computadora del usuario.

Cuando suceda esto considere que una agencia gubernamental no solicitaría un pago por multa… en todo caso actuaría de manera legal.

Cifrado de programas o archivos

Este malware bloquea los archivos a través de un cifrado que es prácticamente imposible de resolver. El ciberdelincuente solicitará un rescate para desbloquearlos o, de lo contrario, los borrará.

Es importante tener en claro que, incluso pagando, no existe certeza de que el delincuente devolverá los archivos.

Ejemplos de ransomware

El boom del ransomware se dio a la par del boom del Bitcoin porque es un método de pago imposible de rastrear. Estos son algunos de los ransomware más dañinos:

• CryptoLocker: atacó a medio millón de computadoras en 2013.
• TeslaCrypt: se especializó en atacar a través de archivos de juegos.
• SimpleLocker: el primero en atacar a dispositivos móviles.
• WannaCry: se propagó de forma autónoma de una computadora a otra. Usó EternalBlue, un exploit desarrollado por la Agencia de Seguridad Nacional (NSA), que fue robado por un ciberdelincuente.
• NotPetya: también usó EternalBlue. No se confirmó, pero se sospecha que empezó como un ataque proveniente de Rusia contra Ucrania y que luego se esparció.
• Leatherlocker: apareció en dos aplicaciones de Android bloqueando la pantalla de los dispositivos móviles.
• Cerber: aprovechó una falla de Microsoft para infectar redes.
• SamSam: ha existido desde 2015 y sigue atacando organizaciones médicas.
• Maze: es un grupo de ransomware que divulga la información robada de las víctimas que no pagaron.
• RobbinHood: es otra variante de EternalBlue que hizo estragos en muchas empresas de Baltimore en 2019.
• Thanos: apareció en 2020 y se alquila como un servicio de ransomware. Utiliza la técnica RIPlace que le permite ser prácticamente invisible en programas de anti-ransomware.

También existe malware dirigido a dispositivos Mac, mejor conocido como KeRanger, que copia archivos maliciosos ejecutándose en un segundo plano cifrando los archivos. Como respuesta, Apple actualizó su programa antimalware impidiendo la propagación del ransomware.

¿Cómo evitar el ransomware?

Los expertos en seguridad coincidimos en que evitar el ransomware debería ser una tarea muy sencilla, pero la realidad es que no lo es. ¿Por qué? Pues porque evitarlo es una tarea que no sólo depende de las soluciones en ciberseguridad adquiridas por la empresa. Depende también, en gran medida, de los usuarios colaboradores de la empresa. 

Para evitar ser víctimas de ransomware lo primero que debemos considerar es que toda empresa o persona debe ser consciente del valor de su información y el costo que tendría si fuera secuestrada.

Esto conlleva a estimar una inversión en programas de protección en tiempo real basada en el costo-beneficio de mantener a salvo la información para la operación.

Como expertos, nosotros siempre recomendamos analizar las características que protegerán, por ejemplo, estimar la inversión en tecnología anti-exploit que detenga el ransomware para evitar que bloquee la información. Existen programas en el mercado que son sumamente eficaces.

Lo segundo es crear copias de seguridad de manera regular (utilizando servicios como Acronis Cyber Backup). Ya lo hemos mencionado en artículos anteriores, pero ahora hacen todo sentido sabiendo el riesgo que una empresa corre al enfrentarse a un secuestro de su información.

Por ello, el almacenamiento en la nube es una excelente opción, aunque, dependiendo de la empresa, es posible considerar otras alternativas como los discos duros externos o, incluso, dispositivos como USBs. Eso sí, siempre habrá que desconectarlos de las computadoras, de lo contrario, hasta ellos puede llegar el bloqueo de los archivos.

Otra de las recomendaciones que siempre realizamos es la actualización de los programas de cómputo, ya que en cada versión se renuevan los bloqueos o programas de prevención contra el ransomware.

Los programas pueden automatizarse para que las actualizaciones se lleven a cabo de manera automática y no se olvide esta importante tarea.

Y nunca deje de lado la capacitación de su personal. Muchos de ellos no tienen idea de que dar clic en una liga o descargar un archivo puede ser el inicio de una pesadilla. En este sentido, Tec Innova tiene una alianza con Knowbe4 para ofrecer a empresas y organizaciones su innovadora plataforma de concientización en seguridad de la información, que permite reducir notablemente la propensión a ataques de phishing.

Además, haga énfasis en que los ciberdelincuentes usan la ingeniería social para generar la duda en los empleados de una empresa y que permitan la entrada del software malicioso.

Lidiar con ransomware sí requiere de la intervención de un experto, no dude en ello; sin embargo, para eliminar las causas de aparición de ransomware en nuestro sistema, muchas de las acciones de prevención son responsabilidad de todos.

¿Cómo eliminar el ransomware? 

La primera recomendación es no pagar el rescate que solicitan los piratas informáticos. Sí, tal cual… es una decisión compleja debido a la importancia y confidencialidad de la información; sin embargo, es la recomendación más fuerte, dado que el realizar el pago incentiva a los delincuentes a cometer más fechorías.

Además, no existen garantías de que devolverán la información luego de tener el rescate.

Por otro lado, existen opciones gratuitas de descifradores que se pueden emplear para recuperar la información, aunque también es un hecho que no siempre funcionan para el tipo de ransomware que se utilizó para encriptarla.

Aquí lo ideal es poner atención en el mensaje del secuestrador y consultarlo de inmediato con el departamento de TI. En caso de no tenerlo es indispensable acudir lo antes posible con un experto antes de realizar cualquier acción.

El siguiente paso será instalar un software de seguridad que nos indicará el nivel de afectación. Por ejemplo, si se trata de un ransomware de bloqueo de pantalla deberá restaurarse el sistema en su totalidad.

La educación tecnológica de los empleados es indispensable porque ellos son los primeros que se enfrentarán al ataque, así que si notan una pantalla emergente que aparece sin razón o si detectan que sus programas se vuelven más lentos sin una razón clara deberán desconectarse de internet inmediatamente y apagar el equipo.

Luego, se recomienda reiniciarlo y si el malware continúa activo al menos no se conectará con el servidor ni con otras computadoras conectadas a la misma red. Sin embargo, es factible resarcir el daño si se ejecuta un programa de seguridad que analice el estatus en el que se encuentra la información.

Hoy en día existen varios tutoriales que funcionan muy bien a modo de primeros auxilios en el momento que se detecta un ataque de ransomware, pero muchos de ellos no descifran los archivos.

Soluciones Kaspersky contra ransomware

Kaspersky es una de las empresas con mayor reconocimiento en el mundo de la ciberseguridad por su trayectoria en el mercado.

El Anti-Ransomware de Kaspersky ofrece protección de endpoints, detecta, escanea y bloquea ransomware y cripto-malware de manera eficiente.

De igual forma, la compañía ha preparado su solución de seguridad para el RGPD, de tal suerte que los datos del usuario estarán protegidos.

Es importante considerar que esta solución de protección bloquea intentos locales, pero también remotos, de ransomware y es compatible con otros programas de seguridad.

Una de sus más destacadas características es que detecta y bloquea objetos de software publicitario, pornográfico y de riesgo, incluido el software de minería de datos del que ya hablamos anteriormente.

El Anti-Ransomware asegura la protección probada contra ransomware como:

• WannaCry
• Petya
• Bad Rabbit
• Locky
• TeslaCrypt
• Rakhni
• Rannoh

Es indispensable tomar conciencia de que el ransomware puede entrar por la puerta que el propio usuario abra de manera inocente y hasta por descuido.

Sin embargo, hacer conciencia sobre la importancia de la seguridad implica que todos los miembros de una organización se hagan responsables de las acciones que llevan a cabo en su trabajo diario.

Cuando un correo parezca sospechoso es muy probable que sea una trampa. Más vale borrar todo aquél correo que nos haga desconfiar antes de lamentar el secuestro de información valiosa para la empresa.

De igual forma, conocer los pasos en caso de infección es también parte de la consciencia sobre la seguridad de la información. Actuar de manera rápida y correcta hará la diferencia en cualquier situación.

En Tec Innova somos expertos en servicios de seguridad informática. Póngase en contacto para solicitar una asesoría.