¿Qué es el ransomware?

El ransomware es un tipo de malware que los ciberdelincuentes utilizan para infectar un dispositivo o una red con software malicioso, que luego cifra los archivos y convierte los datos valiosos en código ilegible. Estos ciberdelincuentes piden un rescate por estos datos y solo los descifran si se les paga una cantidad.

Mucha gente se pregunta si el ransomware es un virus. La respuesta es no. El ransomware y los virus son dos formas de malware que tienen métodos de ataque diferentes: un virus infecta los archivos, mientras que el ransomware los cifra.

Las organizaciones pueden ser víctimas de un ataque de ransomware a través de correos electrónicos de phishing, en el que se envía un correo electrónico con un «cebo» que atrae a las víctimas, o la descarga drive-by, en la que un usuario visita un sitio web infectado y descarga inadvertidamente el malware.

¿Qué es el ransomware corporativo?

El ransomware corporativo se define como un ataque de ransomware a una empresa u organización. La mayoría de los ataques de ransomware van dirigidos a empresas, ya que prometen la mayor recompensa para los ciberdelincuentes, pero los detalles varían de un objetivo a otro.

Hay una razón por la que los ciberdelincuentes tienden a atacar a las empresas y no a los particulares: tiene mucho que ver con la forma en que se propaga el ransomware y el valor potencial del delito. Entonces, ¿cómo se propaga? El malware se descarga en un dispositivo cuando alguien abre un correo electrónico y/o hace clic en una URL dudosa (generalmente, una organización más grande con más miembros en plantilla (por lo tanto, más gente haciendo clic) presenta más oportunidades para que el ransomware se instale. Sin embargo, las grandes empresas pueden contar con operaciones de seguridad más sólidas, debido a este mayor riesgo de ataque, y puesto que también suelen disponer de un mayor presupuesto.

Las grandes empresas también corren más riesgo de sufrir un ataque de ransomware debido al valor de sus datos. Es probable que tengan mayores cantidades de datos más sensibles, por lo que cualquier interrupción conlleva mayores costes operativos. Teniendo esto en cuenta, estas empresas podrían ser más propensas a pagar la cuota del rescate y a pagar una demanda mayor. Por ejemplo, un ataque de ransomware a un hospital probablemente supondría un pago de rescate mayor para un ciberladrón que si atacara a una floristería local.

Historia del ransomware

Según la mayoría de los informes, la historia del ransomware comienza en 1989 con un virus conocido como el «troyano del sida». En un ataque orquestado por el biólogo Joseph Popp, se distribuyeron 20 000 discos que contenían un virus troyano en una conferencia sobre el sida de la Organización Mundial de la Salud. Una vez que una máquina se veía comprometida, aparecía en pantalla una nota de rescate exigiendo el envío de 189 dólares a un apartado de correos en Panamá.

Desde los años 80, la tecnología ha avanzado y los ciberdelincuentes ya no necesitan utilizar un apartado de correos para recibir sus pagos. Los rescates se piden ahora en Bitcoin, y el malware se está adaptando para ser más peligroso y perturbador, incluso adquiriendo cualidades de gusano e innovando sus técnicas de infección. Las protecciones contra el ransomware también se están adaptando para defender mejor las redes contra estos ataques cada vez más sofisticados.

Tipos de ransomware

Existen varios tipos de ransomware, con ataques dirigidos a pequeñas y medianas empresas hasta corporaciones a gran escala y proveedores sanitarios gubernamentales. La cuantía del rescate también puede variar, desde cientos de dólares hasta millones.

El ransomware Cryptolocker

Cryptolocker existe desde 2013 y se cree que es el primer ejemplo de ransomware tras el ataque original de 1989. Con la introducción de las criptomonedas en la década de 2010, los ciberdelincuentes pudieron exigir rescates a través de un método de pago imposible de rastrear. Cryptolocker fue el primer ataque de ransomware que utilizó un cifrado avanzado e incluía una nota de rescate con instrucciones para pagar con Bitcoin.

El malware mantuvo un ataque desde septiembre hasta el siguiente mes de mayo, en el que infectó 250 000 dispositivos, y los delincuentes recaudaron al menos 3 millones de dólares. Cryptolocker es detectable por la nota de rescate que aparece en la pantalla.

El ransomware Ryuk

El ransomware Ryuk se originó en 2018 y se basaba en un programa caballo de Troya, Hermes, que se utilizó por primera vez en 2017, que se sepa. Aunque Hermes fue utilizado en un ataque de un grupo de ciberdelincuentes patrocinado por el Estado norcoreano, ahora se cree ampliamente que el malware fue desarrollado en Rusia.

En 2021, se detectó una nueva variante «parecida a un gusano» de Ryuk, una que puede viajar automáticamente a través de múltiples dispositivos a medida que el programa difunde copias de versiones únicas de sí mismo.

Ransomware WannaCry

Saber que su dispositivo ha sido infectado por el ransomware WannaCry es sencillo: verá la frase «Vaya, sus archivos importantes están cifrados». El ataque se utilizó por primera vez en 2017, cuando se infectaron más de 230 000 ordenadores en un día.

En cada ataque, los ciberdelincuentes cobran 300 dólares en bitcoin por el descifrado de los archivos, y el rescate se duplica si no se paga a tiempo. WannaCry es también un malware basado en gusanos que puede viajar automáticamente a través de las redes.

El ransomware Sodinokibi

Sodinokibi es una familia de ransomware que tiene como objetivo los dispositivos Windows. Cuando esté infectado por el ransomware Sodinokibi, también conocido como REvil, verá aparecer una nota de rescate en la pantalla, exigiendo bitcoin para descifrar todos sus archivos. Este malware tiene como objetivo todo lo que hay en un dispositivo excepto lo que aparece en su archivo de configuración. El malware se utilizó por primera vez en 2019.

Los ransomware Dharma y Phobos

También conocido como CrySiS, el ransomware Dharma es conocido por atacar a pequeñas y medianas empresas y exigir rescates más pequeños para aumentar la probabilidad de que las víctimas paguen.

El ransomware suele atacar a través del protocolo de escritorio remoto y se detectó por primera vez en 2016. El malware fue la base para la creación del ransomware Phobos, que funciona de forma similar.

El ransomware Petya

El ransomware Petya tiene que cifrar archivos para funcionar, y mientras que otros programas maliciosos pueden cifrar datos críticos específicos, Petya puede apuntar a todo su disco duro e impedir que su dispositivo se encienda. El ransomware se utilizó por primera vez en 2016, pero se dio a conocer en 2017 con una nueva variante conocida como GoldenEye.

Ransomware Cerber

Cerber es un ejemplo de ransomware como servicio (RaaS), basado en el modelo de software como servicio. Los creadores del malware conceden licencias de Cerber a otros ciberdelincuentes y, a cambio, obtienen una parte del pago del rescate. Una vez infectado, el dispositivo mostrará la nota de rescate de Cerber con las demandas en la pantalla. El malware también puede cifrar archivos en cualquier recurso compartido de red no mapeado.

El ransomware Locky

Detectado por primera vez en 2016, el ransomware Locky se propaga a través de correos electrónicos. Es conocido por atacar un hospital de Los Ángeles y exigirle el pago de 17 000 dólares. A esto siguieron ataques contra otras numerosas organizaciones sanitarias. Sin embargo, tras esa oleada inicial, no se han producido ataques de alto perfil con Locky.

Casos prácticos de ransomware

El ransomware ha tenido un gran impacto en el mundo digital y ha permitido robar miles de millones de dólares a sus víctimas a lo largo de los años. Echemos un vistazo a algunos de los mayores ejemplos de los ataques de ransomware más perturbadores y costosos:

• Septiembre de 2013, Cryptolocker: El malware Cryptolocker fue lanzado como el primer ransomware denominado como tal, tras el troyano del sida en 1989. Para detener este ransomware, tuvieron que involucrarse el FBI y la Interpol.
• Mayo de 2017, NHS: Durante un ataque global de WannaCry, el Servicio Nacional de Salud (NHS) del Reino Unido fue víctima de uno de los ejemplos de ransomware más disruptivos del país. Con los sistemas caídos, se cancelaron las citas y el personal recurrió al lápiz y al papel. En total, el ataque WannaCry infectó 200 000 ordenadores en 150 países, con un coste de 4000 millones de dólares, 92 millones de libras (120 millones de dólares) para el NHS.
• Marzo de 2018, ayuntamiento de Atlanta: El gobierno de esta ciudad georgiana sufrió el ataque del ransomware SamSam en 2018. El gobierno gastó más dinero en responder al ataque (2,6 millones de dólares) que el coste real del rescate (unos 50 000 dólares).
• Mayo de 2019, ayuntamiento de Baltimore: Los hackers atacaron el ayuntamiento de Baltimore en 2019 con un ransomware llamado RobbinHood, que atacó la mayoría de los ordenadores del gobierno de la ciudad. Los delincuentes pidieron 13 bitcoin (76 280 dólares), diciendo que el precio aumentaría si no se pagaba en cuatro días, o que todos los datos se borrarían permanentemente al cabo de 10 días. Los sistemas se restablecieron finalmente sin que el ayuntamiento pagara el rescate.
• Junio de 2020, Universidad de California San Francisco: La universidad pagó 1,14 millones de dólares tras un mes de lucha contra el ransomware Netwalker. El rescate inicial era de 4 millones de dólares, pero la universidad negoció el precio a la baja.
• Septiembre de 2020, Clínica Universitaria de Düsseldorf: El ataque de Ryuk contra la Clínica Universitaria de Düsseldorf, proveedor de asistencia sanitaria en Alemania, provocó la muerte de un paciente que no pudo acceder a la atención que necesitaba.
• Abril de 2021, Quanta: El reciente ataque de ransomware con Sodinokobi hizo que el fabricante de Macbook Quanta tuviera que hacer frente a un rescate de 50 millones de dólares. La empresa se negó a pagar el rescate y los ciberdelincuentes hicieron pública la información del Macbook.

Los costes de un ataque de ransomware

Ser víctima de un ataque de ransomware es una mala noticia para las finanzas de una empresa, no solo por el rescate en sí, sino porque también podría enfrentarse a multas de los reguladores de la privacidad de los datos o perder negocio debido al impacto negativo en la confianza de los clientes.

Según Cybersecurity Ventures, el coste de los ataques mundiales de ransomware se estimó en 20 000 millones de dólares en 2021, y se cree que una empresa es atacada por malware cada 11 segundos. Además, las empresas europeas se enfrentan a multas adicionales del GDPR por operaciones de seguridad deficientes. En 2020, British Airways tuvo que hacer frente a una multa de 20 millones de libras (26 millones de dólares) impuesta por el regulador; sin embargo, la multa inicial fue de 183 millones de libras (239 millones de dólares).

Por si la pérdida de dinero no fuera suficiente, muchas empresas luchan por recuperarse, especialmente las más pequeñas. Alrededor del 60 % de las pequeñas empresas cierran tras ser víctimas de una violación de datos. En 2020, The Heritage Company, una empresa de telemarketing con sede en Arkansas, cerró tras la filtración de datos por ransomware en 2019. Ya sea por el coste de la gestión del ataque, las operaciones de recuperación o la pérdida de clientes, la recuperación del ransomware puede pasar factura a una empresa.

¿Cómo se contagia una empresa de ransomware?

Cuando una empresa carece de medidas de seguridad eficaces, se vuelve vulnerable a los ciberataques.

La falta de formación del personal es una vulnerabilidad clave para las empresas. Si los empleados no saben cómo detectar un correo electrónico sospechoso, detectar un ransomware e informar de un problema, corren el riesgo de infectar los dispositivos y toda la red. El personal puede no ser consciente de que sus dispositivos son susceptibles de sufrir ataques, o de los riesgos del ransomware para Mac o del ransomware para Linux. Aunque estos dos operadores pueden tener la reputación de contar con una seguridad integrada más sólida que la de Windows, siguen corriendo el riesgo de sufrir una ciberamenaza.

Las aplicaciones de terceros también pueden ser un punto de entrada desde el que los ciberdelincuentes pueden penetrar en su red. Pueden encontrar más fácil acceder a una aplicación que a su sistema y utilizar esta apertura para infectar sus dispositivos con malware.

Aunque el personal puede crear vulnerabilidades, una empresa segura dispondrá de una herramienta antivirus que funcione y que pueda protegerle contra posibles programas maliciosos cuando se descarguen accidentalmente. El software debe actualizarse con regularidad (o «parchearse») para corregir errores y solucionar vulnerabilidades: un software sin parchear podría provocar grietas en sus defensas.

Cómo se previene un ataque de ransomware

Hay muchas formas eficaces de proteja su empresa contra un ataque de ransomware, y evitar convertirse en un objetivo. Como ocurre con muchos ciberataques, los delincuentes acceden a una red debido a malas prácticas de TI. Son las siguientes:

• Formación insuficiente del personal
• Credenciales poco seguras
• Conceder demasiado acceso a aplicaciones de terceros
• La falta de cortafuegos eficaces
• No utilizar un antivirus
• No actualizar o parchear el software

Por eso la seguridad de las operaciones es vital. La formación del personal y unas credenciales exhaustivas van de la mano. El personal debe recibir formación sobre la mejor manera de acceder a la red, especialmente cuando trabaja a distancia, así como sobre la forma de detectar correos electrónicos de phishing, informar de actividades sospechosas y crear contraseñas seguras. Todo esto debe incluirse en un plan de continuidad de la actividad y, aunque más vale prevenir que curar, también ayuda disponer de planes para la recuperación de desastres informáticos y la continuidad de la actividad. Otras medidas clave para prevenir un ataque de ransomware incluyen:

Señales de que su empresa ha sido afectada por un ransomware

Hay muchos signos reveladores de que un ordenador se ha visto comprometido por un ransomware: el más obvio es la nota de rescate. He aquí otros indicadores comunes:

• Recibir correos electrónicos de spear-phishing y spoofing son una señal de que está en el punto de mira de los ciberdelincuentes
  • Ser víctima de ciberataques de prueba a pequeña escala que pueden no parecer preocupantes podrían ser ciberdelincuentes que buscan vulnerabilidades en su sistema antes de que se ejecute un ataque a gran escala
• Su antivirus le alerta de actividades sospechosas
• Se le notifican los intentos de inicio de sesión sospechosos que no reconoce
• Detectar la aparición de nuevo software en su red
  • Los programas de eliminación de software, como GMER, PC Hunter y Process Hacker, son utilizados a menudo por los ciberdelincuentes para eliminar, por ejemplo, su protección contra ransomware de Windows 10
  • Aplicaciones como Microsoft Process Explorer y MimiKatz pueden utilizarse para robar credenciales.

Qué hacer si le atacan

Si ha sido objeto de un ataque de ransomware, estos son los pasos clave que debe dar:

1. Informe del ataque.Asegúrese de que el personal sabe cómo reconocer y alertar al equipo de un ciberataque
2. Comprenda la situación en cuestión y detecte el malware. Intente detectar el malware que ha infectado su sistema para saber mejor cómo protegerse y/o actuar para eliminarlo
3. Desconecte la fuente de la infección. Localice el dispositivo que fue el punto inicial del ataque y desconéctelo de la red para reducir el riesgo de propagación del malware.
4. Contenga el ataque. Desconecte cualquier otro dispositivo de la red que pudiera ser vulnerable al ataque para impedir que el ransomware se siga propagando.
5. Intente descifrar los datos y elimine el ransomware. Esto solo debe intentarlo un equipo de seguridad confiado o podría correr el riesgo de empeorar la situación
6. Recurra a un tercero. Es posible que un especialista externo pueda ayudarle a recuperar sus archivos para que no tenga que pagar el rescate