¿Qué es el ransomware?

El ransomware es un tipo de ciberataque en el que el software malicioso se infiltra un sistema informático y cifra los datos o toma el control del equipo. Entonces, los piratas informáticos exigen que las víctimas paguen un rescate para recuperarlo todo. Tanto los equipos como los sistemas informáticos empresariales son vulnerables al ransomware.

Sin embargo, las empresas se han convertido en el principal objetivo en los últimos años, gracias a sus sistemas en red, que suelen tener vulnerabilidades de seguridad invisibles, así como a una mayor disposición a pagar rescates para evitar un tiempo de inactividad excesivo, y la posibilidad de tener que hacer pagos mucho mayores.  

¿Cómo funciona el ransomware?

Para atacar un sistema con ransomware, un hacker primero debe obtener acceso a ese sistema. Los métodos para obtener acceso se han vuelto bastante sofisticados utilizando vulnerabilidades zero-day o por falta de aplicación de parches/desconocimiento.

Suelen comenzar con un ataque de phishing, un correo electrónico malicioso, archivos adjuntos de correo electrónico comprometidos, gusanos informáticos agresivos, amenazas de vulnerabilidades, ataques dirigidos o click-jacking (la práctica de insertar hipervínculos alternativos en contenido legítimo en el que se puede hacer clic).

Incluso si el sistema tiene instalado antivirus, el ransomware podría colarse sin ser detectado o causar daños a nivel de archivo si el antivirus no tiene la firma del malware en sus archivos o no se analiza en tiempo real. Un ordenador conectado en red también da acceso al ransomware a otras máquinas y a dispositivos de almacenamiento conectados. 

Tipos de ransomware

Hay dos tipos principales de ransomware: bloqueadores de pantalla y encriptadores. Los encriptadores cifran los datos del sistema y necesitan una clave de descifrado para restaurarlos. Los bloqueadores de pantalla impiden el acceso a un sistema informático con una pantalla de bloqueo.

En ambos tipos de ransomware, se suele utilizar una pantalla de bloqueo para notificar al usuario que el ransomware ha tomado el control. También incluye el importe del pago y la información que detalla cómo recuperar el acceso a los datos o recuperar el control del sistema, normalmente mediante una clave de descifrado u otro código. El mensaje suele incluir una advertencia de que los datos se eliminarán o se harán públicos si no se recibe el pago. 

Evolución del ransomware

Mientras que tradicionalmente los atacantes pedían el rescate mediante tarjetas regalo, transferencias bancarias o servicios de prepago en efectivo, hoy en día el pago preferido es principalmente en Bitcoin y otras criptomonedas. El problema es que pagar el rescate no garantiza que un usuario o una empresa recuperen el control de sus datos.

Hoy en día, la mayoría del ransomware extrae los datos antes de ejecutar el proceso de encriptación, lo que conduce a la pérdida de gobernanza de los datos y a la violación de políticas como la HIPAA o la PCI. No hay garantía  de que los datos saldrán por completo del control de un agente amenazante y, a veces, los atacantes pueden instalar aún más malware en un sistema después de recibir el rescate e impedir de nuevo el control de los datos a la empresa. 

¿Quién es objetivo o el blanco del ransomware?

Por desgracia, el ransomware puede dirigirse a todo, desde equipos domésticos hasta sistemas informáticos en red a gran escala en empresas mundiales. Básicamente, cualquier dispositivo conectado a Internet está en peligro. 

Aunque el ransomware ha afectado a empresas de todos los tamaños en todos los sectores y ubicaciones geográficas, los expertos han observado algunas pautas. Algunos sectores corren más riesgo de sufrir ataques de ransomware que otros, debido a los enormes volúmenes de datos sensibles que tienen o al alcance con el que un ataque causaría daños. Los sectores más atacados suelen ser la banca y los servicios financieros, la sanidad, la industria manufacturera, la energía y los servicios públicos, los organismos gubernamentales y la educación.

¿Es habitual el ransomware? 

El ransomware es cada vez más habitual a medida que evolucionan los métodos de ataque y los hackers encuentran formas de sortear las medidas de defensa. De hecho, durante el segundo trimestre de 2021, los ataques de ransomware ascendieron a 304,7 millones (más de 3 millones de ataques al día), y el FBI publicó una advertencia de que 100 nuevas variedades de ransomware están circulando por el mundo. Compare esos 304,7 millones de ataques en un solo periodo de tres meses con los 304,6 millones de ataques de ransomware registrados en todo el año 2020. 

Esto es lo que dicen otros expertos: 

• Un estudio de IDC sobre el ransomware en 2021 descubrió que aproximadamente el 37% de las empresas mundiales dijeron haber sido víctimas de algún tipo de ataque de ransomware en 2021. 
• El Centro de Denuncias de Delitos en Internet del FBI informó de que recibió más de 2.000 denuncias de ransomware en el primer semestre de 2021. Esa cifra representa un aumento interanual del 62%. 
• Algunos de los objetivos son también sistemas altamente críticos. Según la Agencia Seguridad de Infraestructura y Ciberseguridad, hubo incidentes recientes de ransomware contra 14 de los 16 sectores de infraestructuras críticas de los Estados Unidos.

Ejemplos de ransomware 

• WannaCry: uno de los ransomware más conocidos en la actualidad. Se trataba de un gusano informático encriptador que salió a la luz en mayo de 2017. Con otros nombres similares (WannaCrypt, WCry, etc.), se dirigía a sistemas con versiones obsoletas de Microsoft Windows. El gusano infectó unos 200.000 ordenadores en 150 países y probablemente causó daños por valor de miles de millones de dólares. 
• CryptoLocker: este troyano encriptador estuvo activo entre 2013 y 2014. Se propagó a través de una red de bots maliciosos y archivos adjuntos de correo electrónico infectados que supuestamente eran notificaciones de seguimiento de paquetes. Fue uno de los primeros sistemas de ransomware que exigía bitcoin como pago.  
• Petya: Parte de una familia de ransomware que lleva activa desde 2016, Petya corrompe el registro de arranque maestro del ordenador afectado, borra el gestor de arranque de Windows y fuerza un reinicio. Cuando el sistema vuelve a encenderse tras el reinicio, el malware cifra datos valiosos y se pide Bitcoin como rescate. 
• NotPety: con tácticas similares a las de Petya, este ransomware se considera uno de los ataques más dañinos. También infecta y cifra el registro de arranque maestro de un ordenador y se propaga a través de un gusano similar a WannaCry. Algunos expertos lo llaman limpiador porque el ransomware no puede deshacer sus cambios en el sistema, por lo que un ataque esencialmente hace que el sistema sea irrecuperable. 
• Bad Rabbit: descubierto a finales de 2017, este ransomware se propaga a través de una falsa actualización de Adobe Flash y cifra las tablas de archivos de un sistema. Alcanzó varios objetivos importantes en Ucrania y Rusia, como el Aeropuerto Internacional de Odessa y el Ministerio de Infraestructuras de Ucrania. 
• Locky: lanzado en 2016, este ransomware se propagó a través de un correo electrónico sobre una factura impagada. Cuando los usuarios abrieron el adjunto, vieron una página llena de galimatías encabezada por un enlace a "Habilitar macro si la codificación de datos es incorrecta". Si se hacía clic en el enlace, un troyano de encriptación cifraba todos los archivos con una extensión específica. 
• REvil: este ransomware roba los datos antes de cifrarlos, de modo que aunque las víctimas no paguen el rescate, los atacantes pueden chantajearlas para que paguen amenazándolas con liberar sus datos confidenciales. 

El impacto empresarial del ransomware 

El ransomware puede afectar a una empresa de varias formas críticas. El primer efecto, y el más evidente, es financiero. Según la Red de Ejecución de Delitos Financieros del Tesoro de los EE. UU., en el primer semestre de 2021 se registraron 590 millones de dólares en gastos relacionados con el ransomware. Durante todo el año anterior, la agencia declaró solo 416 millones de dólares por los mismos costes. Aunque una empresa no pague el rescate, puede sufrir importantes pérdidas económicas debido a la pérdida de productividad y de datos. 

Además de los daños financieros, el ransomware puede perjudicar a una víctima por daños a la reputación del negocio si sale a la luz el ataque, o si el atacante libera datos confidenciales o delicados propiedad de la víctima. Los litigios relacionados con los ataques de ransomware pueden ser costosos y también llevar mucho tiempo, lo que aparta a los empleados de la empresa de su trabajo diario. El National Health Service (NHS) del Reino Unido es un claro ejemplo que detalla más de 100 millones de dólares en pérdidas por citas canceladas y tiempo de inactividad.  

Las multas específicas del sector también pueden ser catastróficas con multas que se añaden exponencialmente al coste combinado de un rescate y recuperación.

¿Cómo evitar el ransomware?

Aunque no hay forma de evitar, prevenir o defenderse contra todos los tipos de ransomware el 100% de las veces, hay muchas cosas que una empresa puede hacer para protegerse contra el ransomware y eliminar las vulnerabilidades que buscan los atacantes. Estas son algunas recomendaciones: 

• Implemente la seguridad con defensa reforzada. Tener múltiples capas que protejan su sistema de extremo a extremo es una medida inteligente para reducir el riesgo de ransomware, así como de otros ciberataques. 
• Forme al personal sobre el ransomware y cómo se propaga. Haga que los empleados sean conscientes de las diversas formas en las que los atacantes se introducen en un sistema, incluida la ingeniería social y la presentación de documentos y archivos adjuntos falsos que incitan a los usuarios a hacer clic en ellos. 
• Supervise sus sistemas y haga copias de seguridad de los datos con frecuencia. Utilice herramientas de supervisión para alertar al departamento de TI sobre el comportamiento y el tráfico inusuales del acceso a los datos. Además, mantener una copia de seguridad de sus datos, con al menos una copia externa, puede ayudar a minimizar el riesgo de pérdida de datos. 
• Manténgase al tanto de los últimos parches.Dado que el ransomware suele introducirse en un sistema a través de vulnerabilidades existentes, estar al día de las actualizaciones puede ayudar a cerrar esos puntos de entrada. 
• Desarrolle y practique estrategias de respuesta. Planificar antes de que sea necesario puede ayudarle a responder rápida y eficazmente a un ataque de ransomware. Prepararse con un ejercicio de sobremesa también ayuda a garantizar que todos los miembros de la empresa sepan qué hacer si se produce un ataque. 
• Mantenga el correo electrónico y la navegación web a salvo. El correo electrónico es una forma habitual para el ransomware de entrar en un sistema. Puede asegurar pasarelas de correo electrónico que identificarán y bloquearán correos potencialmente peligrosos y protegerán contra archivos adjuntos y URL dudosos. Del mismo modo, las pasarelas web pueden supervisar el tráfico online para detectar anuncios o enlaces sospechosos. 
• Proteja los dispositivos móviles. Algunas soluciones de gestión de dispositivos móviles pueden alertar a los usuarios sobre aplicaciones o mensajes potencialmente maliciosos recibidos a través de un dispositivo móvil. 
• Limite los privilegios administrativos. Asegúrese de saber quién tiene acceso como administrador y asegúrese de revocar el acceso y los privilegios cuando los empleados dejen la empresa. 
• Aplicaciones de lista blanca. Esta práctica puede reducir los riesgos al permitir que las aplicaciones predeterminadas se ejecuten en un dispositivo u ordenador mientras bloquea a otras aplicaciones que no han sido autorizadas específicamente. Puede ayudar a la TI a eliminar las instalaciones realizadas por usuarios no autorizados y bloquear los intentos maliciosos de ejecutar código malware. 
• Adopte y aplique una estrategia y una arquitectura zero trust. Zero trust proporciona un marco de referencia alrededor del concepto de "nunca confíe, siempre verifique". Este concepto sin perímetros significa que no se debe confiar en los dispositivos de forma predeterminada, incluso si están conectados a una red con permisos como una LAN corporativa e incluso si se verificaron previamente.
• Aproveche la separación de redes de aplicaciones gestionadas mediante microsegmentación. La microsegmentación aprovecha un modelo de políticas de seguridad a nivel de aplicación, de máquina virtual o de datos para controlar el tráfico de red hacia y desde sus cargas de trabajo. Mediante lo que se denomina un cortafuegos de software gestionado, las políticas aplicadas por una solución de microsegmentación garantizan que sólo el tráfico que desee pueda atravesar determinadas aplicaciones, sin aumentar el riesgo de red no deseado.

¿Necesito protección contra ransomware? 

La seguridad de los datos debe ser una de las principales preocupaciones para cada empresa, sea grande o pequeña. La seguridad y protección contra el ransomware es un enfoque por capas centrado en los vectores de ataque críticos para su empresa. Los sistemas operativos de su ordenador pueden tener funciones de seguridad integradas que le ayuden a reducir el riesgo de un ataque de ransomware, como la protección avanzada anti-malware para endpoints.

Sin embargo, es fundamental añadir más capas de protección sólida y holística en la infraestructura, las redes y los niveles de datos. Este tipo de estrategia se denomina defensa en profundidad y garantiza que incluso un ataque de ransomware exitoso tenga mucho menos impacto o radio de alcance que sin él.

Zero trust es una estrategia líder que protege contra el ransomware. Junto con el acceso a la red zero trust (ZTNA), zero trust crea puntos de control críticos para el acceso en cada capa del stack tecnológico, no solo en el perímetro de las redes de confianza que tradicionalmente han sido dirigidas por contraseñas y VPN.

Aunque sigue siendo fundamental para una postura de seguridad, un único punto de autenticación suele proporcionar un amplio acceso a los recursos de una sola vez, mientras que zero trust crea múltiples puntos de autenticación y se ajusta a lo que un usuario necesita en lugar de a lo que puede acceder.

¿Qué hacer después de un ataque de ransomware? 

Aunque la prevención es la mejor manera de evitar daños por ataques de ransomware, sigue siendo una buena idea planificar cómo responderá su organización si se produce un ataque. He aquí algunas buenas prácticas sobre qué hacer tras un ataque de ransomware. 

• Mantenga la calma y responda con su plan de continuidad empresarial. No es fácil quedarse sin acceso a los archivos críticos de su empresa o enfrentarse a la amenaza del borrado de datos, pero es fundamental mantener la calma y evaluar completamente la situación antes de entrar en acción. Planificar previamente una respuesta alineada con las operaciones críticas de la empresa puede ayudar a priorizar en este ámbito y mantener a todos en consonancia con lo que debe ocurrir para responder al ataque. 
• Contacte con sus equipos de respuesta a incidentes. Normalmente debería tener un equipo interno de respuesta a incidentes, o estar vinculado a cosas como ciberseguros que pueden ayudarle a organizar y priorizar su respuesta.
• Informe del incidente al gobierno. En los Estados Unidos, stopransomware.gov es un recurso para reportar ransomware y obtener el apoyo de las autoridades federales. Obtenga más información sobre el método de respuesta de su gobierno para ransomware.
• Documente la nota del ransomware. Haga una foto de la nota del ransomware, le ayudará si presenta una denuncia policial. 
• Identifique qué sistemas se han visto comprometidos y aíslelos. El ransomware puede infectar otros ordenadores y dispositivos conectados en red, así que ponga en cuarentena los sistemas afectados tan rápida y completamente como pueda. Eso puede significar desconectar de la red las máquinas afectadas. 
• Desactive inmediatamente las tareas de mantenimiento automatizadas. Deshabilite las tareas en los sistemas afectados, como la rotación de registros o la eliminación de archivos temporales, y apague los dispositivos afectados. Esto evitará que esas tareas alteren o modifiquen los archivos de datos que necesitará más adelante para la investigación y el análisis. 
• Desconecte todas las copias de seguridad de datos. Debido a que las últimas variedades de ransomware intentan prevenir la recuperación atacando sus copias de seguridad, desconéctelas de la red. También es inteligente evitar que nadie acceda a las copias de seguridad hasta que se elimine el software malicioso del ransomware. 
• Compruebe la coherencia de las copias de seguridad de datos. Cuando se desconecten las copias de seguridad seguras, con un endpoint limpio conocido, compruebe los estados y la coherencia de las copias de seguridad. Los ataques de ransomware más recientes se dirigen cada vez más a las copias de seguridad para garantizar el pago de un rescate. 
• Intente determinar qué ransomware ha infectado su sistema. Si puede averiguar qué variedad de ransomware le está afectando, puede ser más fácil combatirla. Entre los servicios gratuitos y útiles en línea se incluyen ID Ransomware y una herramienta de identificación de ransomware en línea de Emsisoft. En estos sitios, puede cargar una imagen de la nota de rescate y una muestra de los datos cifrados. Las páginas intentarán identificar la variedad del ransomware por usted. 
• Utilice las herramientas de descifrado para ver si puede realizar más acciones. Existen muchas herramientas en línea para ayudarle a desencriptar los datos rescatados, como No More Ransom. Conocer el nombre de su variedad de ransomware le ayudará. Busque los descifrados más recientes al final de la lista. 
• Restablezca las contraseñas de Internet y de las cuentas. Una vez que haya desconectado de la red los sistemas afectados, cree nuevas contraseñas para sus cuentas y aplicaciones online. Cámbielas de nuevo una vez que el ransomware se haya eliminado por completo. 
• Decida si pagará el rescate o no. No es una decisión fácil, y tanto pagar el rescate como no pagarlo tiene ventajas e inconvenientes. Sin embargo, una cosa a tener en cuenta es que debe pagar un rescate solo si ya ha probado todo lo demás y ha determinado que la pérdida de datos es más grave que pagar. 
• Traiga a expertos para eliminar por completo la amenaza. Reiterando la necesidad de incorporar un equipo de respuesta a incidentes cibernéticos, asegúrese de utilizar una persona o empresa experta y de probada confianza para realizar un análisis de causa raíz para averiguar las vulnerabilidades del sistema y qué sistemas se vieron afectados. La limpieza y las investigaciones finales también deben ser realizadas por una persona o empresa experta. Los atacantes pueden utilizar todo tipo de puertas traseras y entradas desconocidas en su sistema.
• Priorice la restauración del sistema. Esto debería estar bien definido en su plan de continuidad empresarial. Si no es así, identifique los sistemas y datos que sean más críticos para sus operaciones empresariales como la primera prioridad para la restauración. Son los sistemas que afectan a los ingresos y a la productividad. 
• Realice una autopsia del ataque. Comprender cómo se produjo un incidente de ransomware en detalle a nivel técnico completo es fundamental para prevenir ataques futuros. Esto también conducirá a nuevas iniciativas y enfoques de seguridad.
• Consulte con personas expertas para actualizar la seguridad. En el caso del ransomware, el rayo puede caerle encima dos veces. De hecho, es bastante común que una empresa sea atacada por segunda vez. Si no se identifica la vulnerabilidad que permitió al atacante entrar en el sistema la primera vez, podría volver a utilizarse. Aproveche a sus partners de confianza o las sugerencias de su equipo de respuesta a incidentes para mejorar las medidas de seguridad en todos los ámbitos.

Conclusión

Estadísticamente, usted podría sufrir un ataque de ransomware. En realidad, no es posible eliminar completamente el riesgo, porque los ataques de ransomware evolucionan continuamente y mejoran a la hora de traspasar las defensas. Por eso es fundamental disponer de un plan de continuidad empresarial antes de necesitarlo: una estrategia bien pensada sobre qué hacer si sufre un ataque de ransomware. 

Saber cómo responder y qué hacer inmediatamente después de un ataque puede ayudar, al igual que una buena higiene general de la seguridad y la concienciación diaria de mantener los datos protegidos y los sistemas actualizados para reducir las posibles vulnerabilidades. 

Si elimina los puntos de entrada vulnerables a sus sistemas y tiene un plan de respuesta sólido, es mucho menos probable que su empresa sufra los efectos duraderos del ataque de ransomware.

Recursos adicionales

• Guía de seguridad
• Flow Network Security
• Registro y auditoría con Syslog
• Protección contra el ransomware de File Analytics
• Guía de recuperación ante desastres de Nutanix