Los ataques de ransomware representan una seria amenaza para las empresas y las personas a nivel mundial, ya que han probado ser extremadamente efectivos y conllevan niveles de pérdida contabilizados en millones de dólares cada año. Esto no significa que es imposible prevenir este tipo de ataques, ya que se pueden tomar medidas para minimizar los daños y protegerte a ti y tu empresa contra el ransomware.
Te invitamos a seguir la lectura para que puedas descubrir diversos métodos de identificación de ransomware, así como tácticas para estar preparado y prevenir este tipo de ataques.
Definición de Ransomware
La pregunta más pertinente para dar inicio a este post informativo es ¿qué es un ataque de ransomware? La forma más sencilla de explicarlo es dejando claro que el ransomware es una forma de malware que bloquea y encripta los datos de una víctima, y los mantiene como “rehén” con una clave que solo posee el atacante. La clave opera de forma distinta dependiendo al conocimiento técnico del atacante; muchas veces este se vale de un virus automatizado que retira el cifrado de los datos una vez que recibe el pago o se cumple una demanda específica. Algunos atacantes también usan un virus de encriptación sencillos que pueden liberar manualmente una vez reciben lo que exigen. Los ataques de ransomware se destacan por ser extremadamente peligrosos y con una alta tasa de efectividad.
Tipos de Ransomware
No existe una limitante para las variantes de este tipo de ataque, el ransomware se divide en tres categorías principales.
Locker Ransomware
El locker ransomware es aquel que bloquea completamente el acceso a sistemas vitales, son la clase de virus que hacen imposible el acceso a una computadora o terminal. El ataque más común de este tipo crea una ventana emergente que bloquea el acceso al sistema, y posteriormente muestra un mensaje de urgencia; por lo general, algo como «este dispositivo fue usado para visitar sitios de contenido ilegal, por lo que debe pagar una multa para restablecer el acceso”.
Ransomware Encriptado
El ransomware con encriptación es otro tipo de malware bastante común que se propaga con rapidez y encripta archivos importantes; no se caracteriza por bloquear totalmente el acceso a todo el sistema, pero impide el acceso a los archivos infectados a través de la activación de una ventana emergente que exige el pago de un rescate.
Ransomware de Extorsión Doble
El ransomware de extorsión doble es en esencia un virus que promueve el chantaje. Este malware encripta archivos y envía versiones no corruptas al atacante; al momento que alguien intente acceder a los archivos, se encuentra con la exigencia de rescate, similar al modus operandi del ransomware encriptado, con la diferencia clave de que el atacante puede amenazar con divulgar públicamente los datos robados si no se cumplen sus demandas.
¿Cómo Funcionan los Ataques Ransomware?
Ahora que hemos cubierto los diferentes tipos de ataques, es hora de analizar a fondo el ransomware. ¿Cómo comienzan estos ataques y cómo funcionan?
¿De Dónde Vienen los Ataques de Ransomware?
Ransomware es un virus de avanzada creado por piratas informáticos similar a otros tipos de malware; sin embargo, la mayoría de los ataques ransomware no utilizan virus nuevos. Como forma de ataque, el ransomware siempre puede cambiar y evolucionar, pero casi siempre se vale de programas maliciosos que son bastante familiares para muchos programadores en la industria de la seguridad cibernética, tales como: Bad Rabbit, Cryptolocker, Petya, Locky y Jigsaw, por nombrar algunos.
Estos malware pueden ser detectados y utilizados por casi cualquier persona, no solo por piratas informáticos expertos, siendo esto es lo que hace que el ransomware sea tan peligroso; ya que a medida que más personas tenga este tipo de programas en sus manos y entiendan cómo usarlos, se hacen más frecuentes los ataques. En la actualidad existen modelos comerciales que involucran la venta de ransomware, lo cual explicamos con detalle un poco más adelante:
¿Cómo se Propaga el Ransomware?
Todo depende del tipo de ransomware al que te estés enfrentando, pero en esencia todos los métodos de infección son relativamente similares; lo más usual es que el ransomware sea enviado a un dispositivo a través de un correo o mensaje. Una vez que el usuario que lo recibe interactúa con él, el virus se arraiga, de forma similar como lo haría cualquier otro malware.
Una vez plantadas sus raíces, el ransomware comienza a buscar datos valiosos para recopilarlos y encriptarlos; también busca cualquier otro sistema conectado al sistema de raíz al cual se ha infiltrado para expandirse y tener acceso a mayor información.
Una vez que junta suficiente de datos valiosos, el ransomware procede a hacer el bloqueo de toda la data. La mayoría del ransomware nunca corre el riesgo de ser detectado mientras bloquea la data afectada, por lo que puede propagarse tanto como sea posible antes de encriptar y bloquear los archivos, esto, sin embargo, no es un período de gracia en el que el sistema está seguro, ya que la mayoría del ransomware se propaga con una rapidez asombrosa.
¿Qué es la Detección de Ransomware?
Como debes imaginarte, mientras más rápido detectes el malware, mejoran tus chances de evitar el ransomware, existen pruebas concluyentes que indican que la detección temprana es clave para formular una respuesta eficiente ante cualquier ataque de ransomware. Anticipar este tipo de ataques también te da más tiempo para decidir qué tipo de respuesta darás, mientras reduces el riesgo de que la infección se propague indefinidamente. La detección de ransomware funciona de tres maneras:
A través de la firma
La detección de firma es la más simple de las tres; este sistema compara la firma de todos los archivos y datos entrantes con su propia base de datos y registros para reconocer la firma y darle su aprobación de confiabilidad, sin embargo, este formulario se está volviendo obsoleto rápidamente a medida que evoluciona el malware. Las tácticas de ransomware han estado en constante evolución y se han adaptado para «ocultar» la firma y pasar desapercibido.
Por su comportamiento
La detección de comportamiento denota la actividad de cualquier archivo nuevo y se fija si este emite alguna acción similar a los procesos de malware. Esta detección es útil ya que el ransomware siempre muestra tiene un comportamiento extraño que lo hace resaltar de forma obvia en comparación con archivos normales; por lo que cualquier archivo que intente interactuar con otros archivos del sistema sin motivo, se identifica como sospechoso.
Por tráfico anormal
En lugar de visualizar un solo sistema, la detección de tráfico anormal observa toda la red y busca signos de algo extraño; bajo este proceso se informa el tráfico que fluye de forma discordante para varios sistemas en la red, tales como muestras de salto rápido con data de un sistema a otro, de esta forma se evita que el ransomware pase de un dispositivo a otro sin ser detectado.
¿Cómo Prevenir Los Ataques De Ransomware?
Ahora vamos a cubrir cómo prevenir los ataques ransomware antes de que sucedan, los escenarios que detallamos a continuación son los mejores casos que podrías enfrentar, ya que detener el ransomware antes de que comience la infección es la única forma de garantizar una seguridad al 100%.
Los consejos de prevención contra el ransomware son similares a otros métodos para mitigar el impacto del malware; se recomienda el uso de software antivirus confiable, que esté actualizado para así mantener tus dispositivos protegidos y limpios. También se recomienda el uso de un VPN confiable para un mejor control de la dirección IP de tu red y, por supuesto, también se hace necesario interactuar con correos y archivos adjuntos con mucha cautela, especialmente aquellos que provienen de remitentes desconocidos.
Sin embargo, con el ransomware en particular, es necesario además mantener copias de seguridad de todos los archivos importantes y mantener estas almacenadas en sistemas separados; de esa forma, incluso ante un bloqueo total del sistema, podrás tener acceso a los archivos encriptados. Tener copias de seguridad actualizadas dentro del mismo sistema puede ser útil, pero esta data también corre el riesgo de ser afectada por el ransomware, el ataque incluso puede bloquear todo el sistema, haciendo que tus copias de seguridad sean inútiles.
¿Cómo Detener el Ransomware en Acción?
Es más difícil luchar contra el ransomware en acción, pero no es imposible, hay algunos pasos inmediatos que se pueden tomar para evitar daños mayores, los cuales te describimos a continuación:
Aísla los dispositivos infectados y desconéctalos de la red lo antes posible, así evitarás que el ransomware se propague a otro hardware y evita que el que el programa busque nuevos dispositivos para infectar.
Comienza a investigar los daños, ve qué ha sido infectado, qué data se extravió e intente encontrar dónde comenzó la infección.
Una vez que establezcas qué datos se violaron, asegúrate de tener copias de seguridad no dañadas. En el mejor de los casos, puede que tengas suficientes copias de seguridad en buen estado y que no se haya perdido nada importante.
Una vez que hayas descubierto qué tan grave es el daño, es hora de investigar. Primero averigua con qué tipo de ransomware has sido atacado, ya que esto determina cómo vas a manejar el asunto; algunas cepas de ransomware son más fáciles de recuperar que otras.
Algunos sitios web y servicios en línea ofrecen herramientas anti encriptado gratuitas para víctimas de ransomware, no siempre funcionan para todos los ataques, pero sin duda vale la pena investigar si son de utilidad. En el peor de los casos, si todo lo demás falla, deberás decidir cómo responder: puedes cumplir con las demandas de los atacantes y esperar que cumplan su parte del trato o simplemente aceptar la pérdida de los perdidos.
¿Qué es El Ransomware Como Servicio (Raas)?
Con un gran parecido al popular modelo de negocio de software como servicio o «SaaS», según sus siglas en inglés, el ransomware como servicio (RaaS) es un término para ataques ransomware basado en un modelo de suscripción. El virus ransomware es desarrollado con un alto nivel de conocimiento técnico, y el pirata informático lo usa para obligar a empresas e individuos a pagar rescate; con cualquier pago exitoso que perciben, el hacker y el desarrollador del ransomware comparten las ganancias.
Este servicio es un peligro para las empresas, ya que permite que malware peligroso caiga en manos de cualquier persona con una conexión a Internet.
¿Por Qué No Debes Pagar Rescates?
En la actualidad se estima que al menos 83% de todas las víctimas de ransomware cumplen con las demandas del atacante y pagan el rescate, y no es difícil ver por qué. Cuando tus archivos y datos importantes son retenidos como rehenes y siempre se te da un plazo breve para responder, lo que hace fácil la toma de decisiones imprudentes para hacer frente a la situación. Pero, ¿por qué no simplemente satisfacer la demanda de rescate? ¿Toda la data corrupta vale el dinero que se te exige?
Desafortunadamente, nos toca informar que los atacantes de ransomware no son personas adeptas a cumplir su palabra. Lamentablemente no todas las cepas de ransomware son desbloqueables una vez realizado el pago, ya que al final es el atacante el que tiene la decisión de soltar la data o no, y con frecuencia, no lo hace.
Cumplir con las demandas o pagos exigidos por un atacante no garantizará la devolución de tus datos de forma segura, la mayoría de las veces, estas acciones le dicen indican al pirata informático que tu compañía está dispuesta a hincarse para recuperar lo robado, lo cual no otorga ninguna buena reputación ante el ojo público y frente a los mismos atacantes, quienes podrían aprovecharse nuevamente de tu empresa a futuro.
¿Puede el Ransomware Infectar los Almacenamientos En La Nube?
En los últimos años, se ve con más frecuencia ransomware creado específicamente para infectar infraestructuras con hospedaje en la nube, lamentablemente la nube ya no es un bastión impenetrable cuando se trata de ransomware. De hecho, algunas de las nuevas cepas de ransomware creadas para la nube se propagan más rápido que la mayoría de las otras versiones, lo que significa que los usuarios deben tener mucho cuidado cuando se lidia con este malware.
¿Están Aumentando los Ataques de Ransomware?
En pocas palabras: sí; a medida que más personas y grupos maliciosos adquieren acceso a este tipo de malware, la cantidad de ataques de ransomware aumenta con el pasar de cada año. Puedes combinar esto con la continua transición mundial de empresas migrando sus negocios a operaciones en línea, y fácil apreciar por qué los piratas informáticos tienen más razones para intensificar sus actos.
Los ataques de ransomware, a pequeña o gran escala, son cada vez más comunes; si bien los medios de defensa y prevención contra estos ataques han ido evolucionando, aún es necesario aplicar extrema precaución y tener cuidado, sobre todo si eres dueño de un negocio, debes aprender a mantenerte informado para poder defenderte a ti y a tu equipo de tales ataques.
¿Existe una Solución Absoluta Contra el Ransomware?
Como sucede con la mayoría del malware, no; lamentablemente no existe un escudo mágico que previene los ataques ransomware y que bloquee estos ante los sistemas de tu empresa. Una combinación de medidas de seguridad, algo de sentido común, y una oportuna toma de prevenciones en línea resulta más que efectivo para reducir las posibilidades de que tu red se vea infectada con ransomware y caiga presa ante las demandas de un pirata informático.