¿Qué es el ransomware y cómo protegerse?

El ransomware es un tipo de software malicioso—o malware—que se utiliza para cifrar los archivos de una computadora o bloquear el acceso a un sistema con el objetivo de extorsionar al propietario de los datos. Su nombre viene del término «ransom» en inglés significa «rescate», lo que significa que este tipo de ataque exige el pago por un rescate de información privada.

Por lo general, los atacantes solicitan el pago en criptomonedas como Bitcoin o, en otros casos, con métodos más tradicionales como las tarjetas de crédito. Las empresas ha llegado a pagar hasta 40 u 80 millones de dólares en ataques de ransomware en casos extremos.¹

Cuando un sistema se ve comprometido por ransomware, los archivos se encriptan o se bloquea el acceso a ellos, y los ciberdelincuentes exigen un rescate económico para proporcionar la clave de desencriptación o para restaurar el acceso al sistema.

¿Cómo funciona el ransomware?

El ransomware se propaga principalmente a través de correos electrónicos de phishing, sitios web maliciosos, descargas de software no confiables o a través de vulnerabilidades en el sistema operativo o en las aplicaciones para exigir dinero.

Una vez que el ransomware se ejecuta en el sistema, comienza a cifrar los archivos o bloquea el acceso a ellos, mostrando una nota de rescate en la pantalla del usuario con instrucciones para realizar el pago.

Proceso de infección

El ransomware funciona mediante una serie de etapas que se llevan a cabo durante un ataque. Aunque puede haber variaciones en los métodos utilizados por diferentes tipos de ransomware, aquí hay un resumen general de cómo funciona:

El ransomware usa ingeniería social para que los usuarios hagan clic en archivos adjuntos o en vínculos que parecen ser de parte de un amigo, una institución o contactos del trabajo.

Infección inicial: El ransomware ingresa al sistema a través de métodos como correos electrónicos de phishing, descargas de software infectado, sitios web maliciosos, spam malicioso o aprovechando vulnerabilidades en el sistema operativo o en las aplicaciones.

Ejecución del ransomware: Una vez que el malware ha ingresado al sistema, se ejecuta en el dispositivo del usuario. Esto puede ocurrir automáticamente si el sistema tiene una vulnerabilidad que permite la ejecución remota de código. También, el usuario puede verse involucrado en la activación del malware al abrir un archivo adjunto o hacer clic en un enlace malicioso.

Cifrado de archivos: El ransomware comienza a cifrar los archivos del sistema objetivo utilizando algoritmos de cifrado fuertes. Esto impide que el usuario acceda a sus archivos y los hace inutilizables. Algunos tipos de ransomware también pueden cifrar copias de seguridad o dispositivos de almacenamiento conectados a la computadora.

Notificación y demanda de rescate: Después de completar el cifrado de archivos, el ransomware muestra una notificación en la pantalla del usuario, informándole que sus archivos han sido secuestrados y que debe pagar un rescate para obtener la clave de desencriptación o restaurar el acceso al sistema. La notificación puede incluir instrucciones detalladas sobre cómo proceder con el pago.

Pago del rescate: Si el usuario decide pagar el rescate, se le proporciona un medio de comunicación con los atacantes y se le indica cómo ejecutar el pago. Sin embargo, no hay garantía de que los ciberdelincuentes cumplan su parte del trato y restauren los archivos o el acceso al sistema después de recibir el pago, por lo que se recomienda no hacer el pago.

Es importante destacar que cada variante de ransomware puede tener sus propias características y técnicas específicas. La prevención, la educación sobre seguridad cibernética y las copias de seguridad regulares son clave para protegerse contra este tipo de ataques.

Tipos de ransomware

Hay dos tipos principales de ransomware:

Ransomware de bloqueo (Screen-locking ransomware): Este ransomware bloquea la pantalla del dispositivo, impidiendo que el usuario acceda a su sistema o archivos. Por lo general, muestra una notificación en pantalla que solicita el pago del rescate para desbloquear el dispositivo.

Ransomware de cifrado (Encrypting ransomware): Cifra archivos individuales. Se enfoca en cifrar los archivos del usuario, haciendo que sean inaccesibles. Los ciberdelincuentes exigen un rescate para proporcionar la clave de desencriptación.

Existen también:

Ransomware de filtración de datos (Leakware o Doxware): En lugar de cifrar archivos, este ransomware amenaza con filtrar o divulgar información confidencial del usuario, como documentos personales o datos corporativos. Los atacantes exigen un rescate para evitar la publicación de los datos.

Scareware: Es un tipo de software malicioso diseñado para asustar o intimidar a los usuarios con el fin de que ejecuten acciones no deseadas, como comprar software falso o proporcionar información personal sensible. A diferencia de otros tipos de malware, el scareware no cifra archivos ni bloquea el acceso al sistema, sino que se enfoca en engañar y generar miedo en los usuarios, como su nombre lo indica.

Cabe mencionar también, como publica 2022 X-Force Threat Intelligence Index, que hoy en día muchos de los ataques de ransomware son de ‘doble extorsión’, es decir, piden un rescate para desbloquear datos e impedir el robo de información. ²

Como dato extra, el ransomware usualmente lleva un nombre, algunos ejemplos son Locky, WannaCry y Bad Rabbit.

¿Cómo puedes infectarte con un ransomware?

Los métodos más comunes de infección de Ransomware son sitios web maliciosos, abrir un archivo adjunto infectado o descargar software malicioso. Aquí te explicamos las maneras más usuales de contraer un ransomware:

Correos electrónicos de phishing: Los atacantes envían correos electrónicos aparentemente legítimos, pero falsos, que contienen archivos adjuntos o enlaces maliciosos. Si los usuarios abren el archivo adjunto o hacen clic en el enlace, se descarga e instala el ransomware en su sistema. Lee aquí cómo evitar esos correos maliciosos.
Descargas de software infectado: Los ciberdelincuentes pueden comprometer sitios web legítimos o crear sitios web falsos que ofrecen descargas de software.
Vulnerabilidades de software y sistemas operativos: Los ransomware pueden aprovechar las vulnerabilidades conocidas en el software y los sistemas operativos para infiltrarse en los sistemas sin el conocimiento del usuario.
Kits de explotación: Son herramientas utilizadas por los atacantes para identificar y aprovechar automáticamente las vulnerabilidades en los sistemas de las víctimas. Los exploit kits pueden estar integrados en sitios web comprometidos y, cuando los usuarios visitan esos sitios, se produce la infección con ransomware sin su conocimiento.
Redes y sistemas sin protección: Los firewalls o software antivirus no actualizado son más vulnerables a los ataques de ransomware.

Estas son algunas señales de infección a las que echar ojo: cambios en las extensiones de los archivos (que no terminen en los típicos .jpg, .pdf, .doc, etc.), uso intensivo del procesador y actividades dudosas en el sistema como descargas no autorizadas, páginas no visitadas, etc.

El software de seguridad es el primero en detectar un ataque de ransomware, así que mantenlo actualizado.

¿Qué hacer ante una infección de ransomware?

La primera regla cuando se descubre una infección de ransomware es no pagar el rescate, según el consejo respaldado por el mismo FBI.

Se recomienda, en su lugar, descargar un software de seguridad para que desinfecte los equipos y la información afectada, ejecutando un análisis para eliminar la amenaza. Algo que debes tener en mente es que es posible no recuperar todos los archivos afectados, aunque se haya solucionado la infección. Si existe un ransomware de bloqueo de pantalla, es posible que se requiera una restauración completa del sistema.

Por último, se debe aislar los datos infectados para impedir que se propague la infección de ransomware.

¿Cómo protegerse del ransomware?

Lo esencial es asegurarte de tener un antivirus o programa de seguridad informática de buena calidad, aunque algunos pueden ser costosos, es mejor que tu información esté segura. Aunado a esto:

Hay que cuidar la navegación por Internet, al abrir archivos adjuntos, visitar sitios, etc.

Crea copias de seguridad de tus datos con regularidad, puedes adquirir unidades USB o discos duros externos para almacenar archivos—no olvides actualizarlos en todas las copias de seguridad—.

Tener sistemas y el software actualizados, con todas las optimizaciones y parches al día.

Mantente informado. Busca educación sobre cómo detectar ataques cibernéticos, enlaces sospechosos, estafas en línea y más. Comparte tu conocimiento con tu organización en el caso de tener una empresa.

Usa la nube. Al migrar tus datos a un servicio de almacenamiento en la nube, obtienes todos los beneficios de seguridad que el servicio ya ofrece, y además puedes generar copias de seguridad fácilmente.

Software de protección contra ransomware

Hay muchas opciones de software para protegerte contra el ransomware. Para elegir uno, analiza tus necesidades y posibilidades:

Malwarebytes es una herramienta de seguridad conocida que ofrece una protección integral contra ransomware y otras formas de malware. Utiliza tecnología avanzada de detección y bloqueo de amenazas en tiempo real.

Kaspersky Anti-Ransomware Tool es una aplicación gratuita de Kaspersky Lab diseñada específicamente para proteger contra el ransomware. Puede detectar y bloquear amenazas de ransomware conocidas y desconocidas.

Bitdefender Antivirus Plus es un software antivirus líder en la industria que también ofrece protección contra ransomware. Emplea técnicas avanzadas de detección de amenazas para bloquear el ransomware y proteger los archivos y datos del usuario.

Norton Security es otro software popular que brinda protección contra ransomware y otras formas de malware. Ofrece una variedad de funciones de seguridad, incluida la detección y bloqueo de ransomware.

Trend Micro Maximum Security es una suite de seguridad completa que incluye protección contra ransomware. Ofrece funciones como detección de amenazas en tiempo real, bloqueo de sitios web maliciosos y protección de la privacidad en línea.

Conclusión

El ransomware es un tipo de malware que cifra archivos o bloquea el acceso al sistema, exigiendo un rescate para restaurar el acceso. Para protegerse contra el ransomware, es fundamental seguir las prácticas clave expuestas en esta nota.

Es importante comprender qué es el ransomware y cómo protegerse adecuadamente contra él, ya que es una amenaza cibernética cada vez más prevalente que puede tener consecuencias devastadoras para individuos y organizaciones. Recuerda mantener una navegación segura por Internet y tener un software antivirus actualizado siempre.

Fuentes:

¹ https://www.ibm.com/mx-es/topics/ransomware

²2022 X-Force Threat Intelligence Index (PDF, 4.1 MB)

https://www.microsoft.com/es-mx/security/business/security-101/what-is-ransomware

https://latam.kaspersky.com/resource-center/threats/ransomware

https://es.malwarebytes.com/ransomware/

Ricardo Martinezagarza

Ha liderado proyectos clave en los ámbitos público y privado, participando en el desarrollo de la primera red de Internet del país, además de diseñar y promover programas públicos en México y Latinoamérica. En marzo 2021 fundó Centro México Digital donde funge como Vicepresidente de Tecnología. Cuenta con una basta experiencia en conferencias nacionales e internacionales sobre temas de software, hardware, tecnologías de la información y radiocomunicaciones terrestres y satelitales y telecomunicaciones.