¿Qué es el ransomware?

El ransomware es un tipo de malware (software malicioso) que puede presentarse de diferentes maneras y afectar a sistemas individuales, así como a redes de empresas, hospitales, aeropuertos y agencias gubernamentales.

El ransomware se mejora constantemente y se vuelve cada vez más sofisticado desde que se registró por primera vez, en 1989. Mientras que los formatos simples suelen ser ransomware sin cifrado, los modernos utilizan métodos de criptografía para cifrar archivos, haciéndolos inaccesibles. El ransomware de cifrado también se puede utilizar en discos duros como una forma de bloquear completamente el sistema operativo de una computadora, evitando que la víctima acceda a él. El objetivo final es convencer a las víctimas de que paguen un rescate por descifrado, que normalmente se solicita en monedas digitales difíciles de rastrear (como Bitcoin u otras criptomonedas). Sin embargo, no hay garantía de que los atacantes cumplan con los pagos.

La popularidad del ransomware ha crecido significativamente en la última década (especialmente en 2017) y, como ciberataque con motivación financiera, es actualmente la amenaza de malware más importante del mundo, según informa Europol (IOCTA 2018).


¿Cómo se hacen las víctimas?

  • Phishing: una forma recurrente de ingeniería social. En el contexto del ransomware, los correos electrónicos de phishing son una de las formas más comunes de distribución de malware. Las víctimas suelen infectarse a través de archivos adjuntos de correo electrónico comprometidos o enlaces disfrazados de legítimos. Dentro de una red de computadoras, una sola víctima puede ser suficiente para comprometer a toda una organización.

  • Kits de explotación: un paquete compuesto por varias herramientas maliciosas y código de explotación preescrito. Estos kits están diseñados para explotar problemas y vulnerabilidades en aplicaciones de software y sistemas operativos como una forma de propagar malware (los objetivos más comunes son los sistemas inseguros que ejecutan software desactualizado).

  • Publicidad maliciosa: los atacantes utilizan redes publicitarias para difundir ransomware.


¿Cómo protegerse de los ataques de ransomware?

  • Utilice fuentes externas para realizar copias de seguridad de sus archivos con regularidad, de modo que pueda restaurarlos después de eliminar una posible infección;

  • Tenga cuidado con los archivos adjuntos y enlaces de correo electrónico. Evite hacer clic en anuncios y sitios web de fuente desconocida;

  • Instale un antivirus confiable y mantenga actualizados sus aplicaciones de software y su sistema operativo;

  • Habilite la opción 'Mostrar extensiones de archivo' en la configuración de Windows para que pueda verificar fácilmente las extensiones de sus archivos. Evite extensiones de archivos como .exe, .vbs y .scr;

  • Evite visitar sitios web que no estén protegidos por el protocolo HTTPS (es decir, URL que comiencen con “https://”). Sin embargo, tenga en cuenta que muchos sitios web maliciosos implementan el protocolo HTTPS para confundir a las víctimas y el protocolo por sí solo no garantiza que el sitio web sea legítimo o seguro.

  • Visite NoMoreRansom.org, un sitio web creado por empresas policiales y de seguridad de TI que trabajan para acabar con el ransomware. El sitio web ofrece kits de herramientas de descifrado gratuitos para usuarios infectados, así como consejos de prevención.


Ejemplos de ransomware

Gran Cangrejo (2018)

Visto por primera vez en enero de 2018, el ransomware causó más de 50.000 víctimas en menos de un mes, antes de ser interrumpido por el trabajo de las autoridades rumanas junto con Bitdefender y Europol (hay disponible un kit de recuperación de datos gratuito). GrandCrab se propagó a través de correos electrónicos de publicidad maliciosa y phishing y fue el primer ransomware conocido que exigió un pago de rescate en la criptomoneda DASH. El rescate inicial osciló entre 300 y 1.500 dólares estadounidenses.


Quiero llorar (2017)

Un ciberataque mundial que infectó más de 300.000 ordenadores en 4 días. WannaCry se propagó a través de un exploit conocido como EternalBlue y apuntaba a los sistemas operativos Microsoft Windows (la mayoría de las computadoras afectadas ejecutaban Windows 7). El ataque fue detenido gracias a los parches de emergencia lanzados por Microsoft. Los expertos en seguridad estadounidenses afirmaron que Corea del Norte era responsable del ataque, aunque no aportaron pruebas.


Conejo malo (2017)

Un ransomware que se difundió como una actualización falsa de Adobe Flash que se descargó de sitios web comprometidos. La mayoría de los ordenadores infectados estaban ubicados en Rusia y la infección dependía de la instalación manual de un archivo .exe. El precio de descifrado era de aproximadamente 280 dólares estadounidenses en ese momento (0,05 BTC).


Locky (2016)

Generalmente se distribuía por correo electrónico como una factura de pago que contenía archivos adjuntos infectados. En 2016, el Centro Médico Presbiteriano de Hollywood fue infectado por Locky y pagó un rescate de 40 BTC (17.000 dólares estadounidenses en aquel entonces) para recuperar el acceso a los sistemas informáticos del hospital.