El ransomware es un tipo de ciberataque en el cual malware infiltra un sistema informático y cifra los datos o toma el control del equipo. Los hackers exigen que las víctimas paguen un rescate para recuperarlo todo. Tanto los equipos personales como los sistemas empresariales son vulnerables al ransomware.
Sin embargo, las empresas se han convertido en el principal objetivo en los últimos años, gracias a sus sistemas en red, los cuales suelen tener vulnerabilidades de seguridad invisibles. Las empresas también presentan una mayor disposición para pagar rescates para evitar un tiempo de inactividad excesivo, así como para realizar pagos más grandes.
¿Cómo funciona el ransomware?
Para atacar a un sistema con ransomware, un hacker primero debe obtener acceso a ese sistema. Los métodos para obtener acceso se han vuelto bastante sofisticados utilizando vulnerabilidades de día cero o sin parches/desconocidas.
Suelen comenzar con un ataque de phishing, un correo electrónico malicioso, archivos adjuntos de correo electrónico comprometidos, gusanos informáticos agresivos, amenazas de vulnerabilidades, ataques dirigidos o click-jacking (la práctica de insertar hipervínculos alternativos en contenido legítimo en el que se puede hacer clic).
Incluso si el sistema tiene instalado antivirus, el ransomware podría filtrarse sin ser detectado o causar daños a nivel de archivo si el antivirus no tiene la firma del malware en sus archivos o no se analiza en tiempo real. Un equipo conectado en red también da acceso al ransomware a otras máquinas y dispositivos de almacenamiento conectados.
Hay dos tipos principales de ransomware: bloqueadores de pantalla y encriptadores. Los encriptadores cifran los datos del sistema y necesitan una clave de descifrado para restaurarlos. Los bloqueadores de pantalla impiden el acceso a un sistema informático con una pantalla de bloqueo.
En ambos tipos de ransomware, se suele utilizar una pantalla de bloqueo para notificar al usuario que el ransomware ha tomado el control. También incluye el importe del pago y la información que detalla cómo recuperar el acceso a los datos o recuperar el control del sistema, normalmente mediante una clave de descifrado u otro código. El mensaje suele incluir una advertencia de que los datos se eliminarán o se harán públicos si no se recibe el pago.
Mientras que tradicionalmente los atacantes pedían el rescate mediante tarjetas de regalo, transferencias bancarias o servicios de prepago en efectivo, hoy en día el pago preferido es principalmente Bitcoin y otras criptomonedas. El problema es que pagar el rescate no garantiza que un usuario o una empresa recuperen el control de sus datos.
Hoy en día, la mayoría del ransomware extrae los datos antes de ejecutar el proceso de encriptación, lo que conduce a la pérdida de gobernanza de los datos y a la violación de políticas como HIPAA o PCI. No hay garantía de que los datos se devuelvan por completo del control del actor de la amenaza y, a veces, los atacantes pueden instalar aún más malware en un sistema después de recibir el rescate y liberar los datos de nuevo al control de la empresa.
¿Quién es objetivo del ransomware?
Lamentablemente, el ransomware puede ser dirigido contra toda clase de objetivos, desde equipos domésticos hasta sistemas informáticos en red a gran escala en empresas mundiales. Básicamente, cualquier dispositivo conectado a internet está en peligro.
Aunque el ransomware ha afectado a empresas de todos los tamaños a través de todas las industrias y ubicaciones geográficas, los expertos han observado algunos patrones. Algunas industrias corren más riesgo de sufrir ataques de ransomware que otras, debido a los enormes volúmenes de datos sensibles que tienen o al alcance con el que un ataque causaría daños. Las industrias más atacadas suelen ser la banca y los servicios financieros, el cuidado de la salud, manufactura, energía y servicios públicos, organismos gubernamentales y la educación.
¿Qué tan común es el ransomware?
El ransomware es cada vez más común a medida que evolucionan los métodos de ataque y los hackers encuentran soluciones para evadir las medidas de defensa. De hecho, durante el segundo trimestre de 2021, los ataques de ransomware ascendieron a 304.7 millones (más de 3 millones de ataques al día), y el FBI publicó una advertencia de que 100 nuevas variantes de ransomware están circulando por el mundo. Compare esos 304.7 millones de ataques en un solo periodo de tres meses con los 304.6 millones de ataques de ransomware registrados en todo el año 2020.
Esto es lo que dicen otros expertos:
- Un estudio de IDC sobre ransomware en 2021 descubrió que aproximadamente el 37% de las empresas mundiales dijeron haber sido víctimas de algún tipo de ataque de ransomware en 2021.
- El Centro de Denuncias de Delitos en Internet del FBI informó de que recibió más de 2,000 denuncias de ransomware en la primera mitad de 2021. Esa cifra representa un aumento interanual del 62%.
- Algunos de los objetivos son también sistemas altamente críticos. Según la Agencia de Ciberseguridad y Seguridad de Infraestructura, hubo incidentes recientes de ransomware contra 14 de las 16 industrias de infraestructura críticas de los Estados Unidos.
Ejemplos de ransomware
- WannaCry – Uno de los ransomware más conocidos en la actualidad. Se trataba de un gusano informático encriptador que salió a la luz en mayo de 2017. Con otros nombres similares (WannaCrypt, WCry, etc.), se dirigía a sistemas con versiones obsoletas de Microsoft Windows. El gusano infectó alrededor de 200,000 equipos en 150 países y probablemente causó daños de miles de millones de dólares.
- CryptoLocker – Este troyano encriptador estuvo activo entre 2013 y 2014. Se propagó a través de una red de bots maliciosos y archivos adjuntos de correo electrónico infectados que supuestamente eran notificaciones de rastreo de paquetes. Fue uno de los primeros sistemas de ransomware que exigía bitcoin como pago.
- Petya – Parte de una familia de ransomware que lleva activa desde 2016, Petya corrompe el registro de arranque maestro del equipo afectado, borra el gestor de arranque de Windows y fuerza un reinicio. Cuando el sistema vuelve a encenderse tras el reinicio, el malware cifra datos valiosos y se pide Bitcoin como rescate.
- NotPetya – Con tácticas similares a las de Petya, este ransomware se considera uno de los ataques más dañinos. También infecta y cifra el registro de arranque maestro de un equipo y se propaga a través de un gusano similar a WannaCry. Algunos expertos lo llaman limpiador porque el ransomware no puede deshacer sus cambios en el sistema, por lo que un ataque esencialmente hace que el sistema sea irrecuperable.
- Bad Rabbit – Descubierto a finales de 2017, este ransomware se propaga a través de una falsa actualización de Adobe Flash y cifra las tablas de archivos de un sistema. Alcanzó varios objetivos importantes en Ucrania y Rusia, como el Aeropuerto Internacional de Odessa y el Ministerio de Infraestructuras de Ucrania.
- Locky – Lanzado en 2016, este ransomware se propagó a través de un correo electrónico sobre una factura sin pagar. Cuando los usuarios abrieron el adjunto, vieron una página llena de texto incomprensible encabezada por un enlace a "Habilitar macro si la codificación de datos es incorrecta". Si se hacía clic en el enlace, un troyano de encriptación cifraba todos los archivos con una extensión específica.
- REvil – Este ransomware roba los datos antes de cifrarlos, de modo que aunque las víctimas no paguen el rescate, los atacantes pueden chantajearlas para que paguen amenazándolas con liberar sus datos confidenciales.
El impacto empresarial del ransomware
El ransomware puede afectar a un negocio de varias formas críticas. El primer efecto, y el más evidente, es financiero. Según la Red de Control de Delitos Financieros de la Tesorería de los EE.UU., en el primer semestre de 2021 se registraron 590 millones de dólares en gastos relacionados con ransomware. Durante todo el año anterior, la agencia declaró solo 416 millones de dólares por los mismos costos. Aunque un negocio no pague el rescate, puede sufrir importantes pérdidas económicas debido a la pérdida de productividad y datos.
Además de los daños financieros, el ransomware puede perjudicar a una víctima por daños a la reputación del negocio si sale a la luz el ataque, o si el atacante libera datos confidenciales o delicados propiedad de la víctima. Los litigios relacionados con ataques de ransomware pueden ser costosos y también llevar mucho tiempo, lo que aparta a los empleados de la empresa de su trabajo diario. El Servicio Nacional de Salud (NHS) del Reino Unido es un claro ejemplo que detalla más de 100 millones de dólares en pérdidas por citas canceladas y tiempo de inactividad.
Las multas específicas de la industria también pueden ser catastróficas con multas que se añaden exponencialmente al costo combinado de un rescate y recuperación.
Cómo prevenir el ransomware
Aunque no hay forma de prevenir o defenderse contra todos los tipos de ransomware el 100% de las veces, hay muchas cosas que un negocio puede hacer para protegerse contra el ransomware y eliminar las vulnerabilidades que buscan los atacantes. Estas son algunas recomendaciones:
- Implemente la seguridad con defensa a profundidad. Múltiples capas que protejan su sistema de extremo a extremo es una medida inteligente para reducir el riesgo de ransomware, así como de otros ciberataques.
- Eduque al personal sobre el ransomware y cómo se propaga. Haga que los empleados sean conscientes de las diversas formas en las que los atacantes se introducen en un sistema, incluyendo la ingeniería social y la presentación de documentos y archivos adjuntos falsos que atraen a los usuarios a hacer clic en ellos.
- Controle sus sistemas y haga respaldos de los datos con frecuencia. Utilice herramientas de monitoreo para alertar al departamento de TI sobre comportamientos y tráfico inusuales al acceder a los datos. Además, mantener un respaldo de sus datos, con al menos una copia externa, puede ayudar a minimizar el riesgo de pérdida de datos.
- Manténgase al tanto de los últimos parches.Dado que el ransomware suele introducirse en un sistema a través de vulnerabilidades existentes, estar al día con las actualizaciones puede ayudar a cerrar esos puntos de entrada.
- Desarrolle y practique estrategias de respuesta. Planificar antes de que sea necesario puede ayudarlo a responder rápida y eficazmente a un ataque de ransomware. Prepararse con un ejercicio de sobremesa también ayuda a garantizar que todos los miembros de la empresa sepan qué hacer si se produce un ataque.
- Mantenga los sistemas de correo electrónico y navegación web a salvo. El correo electrónico es una forma habitual de entrar en un sistema con ransomware. Puede asegurar vías de acceso de correo electrónico que identificarán y bloquearán correos potencialmente peligrosos y protegerán contra archivos adjuntos y URL dudosos. Del mismo modo, las vías de acceso web pueden controlar el tráfico online para detectar anuncios o enlaces sospechosos.
- Proteja los dispositivos móviles. Algunas soluciones de gestión de dispositivos móviles pueden alertar a los usuarios sobre aplicaciones o mensajes potencialmente maliciosos recibidos a través de un dispositivo móvil.
- Limite los privilegios administrativos. Asegúrese de saber quién tiene acceso como administrador y asegúrese de revocar el acceso y los privilegios cuando los empleados dejen la compañía.
- Cree una lista blanca de aplicaciones. Esta práctica puede reducir los riesgos al permitir que las aplicaciones predeterminadas se ejecuten en un dispositivo u ordenador mientras bloquea a otras que no han sido autorizadas específicamente. Puede ayudar a TI a eliminar las instalaciones realizadas por usuarios no autorizados y bloquear los intentos maliciosos de ejecutar código malware.
- Adopte y aplique una estrategia y una arquitectura de confianza cero. Confianza cero proporciona un marco de controles alrededor del concepto de "nunca confíe, siempre verifique". Este concepto sin perímetros significa que no se debe confiar en los dispositivos de forma predeterminada, incluso si están conectados a una red con permisos como una LAN corporativa e incluso si se verificaron previamente.
- Aproveche la separación de redes de aplicaciones gestionadas mediante microsegmentación. La microsegmentación aprovecha un modelo de políticas de seguridad a nivel de aplicación, máquina virtual o datos para controlar el tráfico de red hacia y desde sus cargas de trabajo. Mediante lo que se denomina un firewall de software gestionado, las políticas aplicadas por una solución de microsegmentación garantizan que sólo el tráfico que desee pueda atravesar determinadas aplicaciones, sin aumentar el riesgo de red no deseado.
¿Necesito protección contra ransomware?
La seguridad de los datos debe ser una de las principales preocupaciones para cada empresa, grande o pequeña. La seguridad y protección contra el ransomware es un enfoque por capas enfocado en los vectores de ataque críticos para su negocio. Los sistemas operativos de su ordenador pueden tener funciones de seguridad integradas que le ayuden a reducir el riesgo de un ataque de ransomware, como la protección avanzada antimalware para endpoints.
Sin embargo, es fundamental añadir más capas de protección sólida y holística en la infraestructura, redes y niveles de datos. Este tipo de estrategia se denomina defensa a profundidad y garantiza que incluso un ataque de ransomware exitoso tenga mucho menos impacto o radio de alcance que sin él.
Confianza cero es una estrategia líder que protege contra el ransomware. En conjunto con el acceso a la red confianza cero (ZTNA), confianza cero crea puntos de control críticos para el acceso en cada capa del stack tecnológico, no solo en el perímetro en redes de confianza que tradicionalmente han sido dirigidas por contraseñas y VPN.
Aunque sigue siendo fundamental para una postura de seguridad, un único punto de autenticación suele proporcionar un amplio acceso a los recursos una sola vez, mientras que la confianza cero crea múltiples puntos de autenticación y se ajusta a lo que un usuario necesita en lugar de a lo que puede acceder.
¿Qué hacer después de un ataque de ransomware?
Aunque la prevención es la mejor manera de evitar daños por ataques de ransomware, sigue siendo una buena idea planificar cómo responderá su organización si se produce un ataque. He aquí algunas buenas prácticas sobre qué hacer tras un ataque de ransomware.
Mantenga la calma y responda con su plan de continuidad empresarial
No es fácil quedarse sin acceso a los archivos críticos de su negocio o enfrentarse a la amenaza del borrado de datos, pero es fundamental mantener la calma y evaluar completamente la situación antes de entrar en acción. Planificar una respuesta alineada con las operaciones críticas de la empresa de forma previa puede ayudar a priorizar en este ámbito y mantener a todos coordinados con lo que debe ocurrir para responder al ataque.
Contacte a sus equipos de respuesta a incidentes
Normalmente debería tener un equipo interno de respuesta a incidentes, o estar vinculado a cosas como ciberseguros que pueden ayudarle a organizar y priorizar su respuesta.
Informe del incidente al gobierno
En los Estados Unidos, stopransomware.gov es un recurso para reportar ransomware y obtener el apoyo de las autoridades federales. Obtenga más información sobre el método de respuesta de su gobierno para ransomware.
Documente la nota del ransomware
Tome una fotografía de la nota del ransomware, será de ayuda en caso de que presente una denuncia policial.
Identifique cuáles sistemas se han visto comprometidos y aíslelos
El ransomware puede infectar otros equipos y dispositivos conectados en red, así que ponga en cuarentena los sistemas afectados tan rápida y completamente como pueda. Eso puede significar desconectar de la red las máquinas afectadas.
Desactive inmediatamente las tareas de mantenimiento automatizadas
Deshabilite las tareas en los sistemas afectados, como la rotación de registros o la eliminación de archivos temporales, y apague los dispositivos afectados. Esto evitará que esas tareas alteren o modifiquen los archivos de datos que necesitará más adelante para la investigación y el análisis.
Desconecte todos los respaldos de datos
Debido a que las últimas variantes de ransomware intentan prevenir la recuperación atacando sus respaldos, desconéctelos de la red. También es inteligente evitar que nadie acceda a los respaldos hasta que se elimine el malware de ransomware.
Compruebe la consistencia de respaldos de datos
Cuando se desconecten los respaldos seguros, con un endpoint limpio conocido, compruebe los estados y la consistencia de las respaldos. Los ataques de ransomware más recientes se dirigen cada vez más hacia los respaldos para garantizar el pago de un rescate.
Intente determinar cuál ransomware ha infectado su sistema
Si puede averiguar qué variante de ransomware le está afectando, puede ser más fácil combatirla. Entre los servicios gratuitos y útiles en línea se incluyen ID Ransomware y una herramienta de identificación de ransomware en línea de Emsisoft. En estos sitios, puede cargar una imagen de la nota de rescate y una muestra de los datos cifrados. Las páginas intentarán identificar la variante del ransomware por usted.
Utilice herramientas de descifrado para ver si puede realizar más acciones
Existen muchas herramientas en línea para ayudarle a descifrar los datos rescatados, como No More Ransom. Conocer el nombre de su variante de ransomware ayudará. Busque los descifrados más recientes al final de la lista.
Restablezca las contraseñas de internet y de sus cuentas
Una vez que haya desconectado de la red los sistemas afectados, cree nuevas contraseñas para sus cuentas y aplicaciones en línea. Cámbielas de nuevo una vez que el ransomware se haya eliminado por completo.
Decida si pagará el rescate o no
No es una decisión fácil, y tanto pagar el rescate como no pagarlo tiene ventajas y desventajas. Sin embargo, una cosa a tener en cuenta es que debe pagar un rescate solo si ya ha probado todo lo demás y ha determinado que la pérdida de datos es más grave que pagar.
Traiga a expertos para eliminar por completo la amenaza
Reiterando la necesidad de incorporar un equipo de respuesta a incidentes cibernéticos, asegúrese de utilizar una persona o empresa experta probada y de confianza para realizar un análisis de causa raíz para averiguar las vulnerabilidades del sistema y qué sistemas se vieron afectados. La limpieza y las investigaciones finales también deben ser realizadas por una persona o empresa experta. Los atacantes pueden utilizar todo tipo de puertas traseras y entradas desconocidas en su sistema.
De prioridad la restauración del sistema
Esto debe estar bien definido en su plan de continuidad empresarial. Si no es así, identifique los sistemas y datos que sean más críticos para sus operaciones empresariales como la primera prioridad para la restauración. Son los sistemas que afectan los ingresos y la productividad.
Realice una autopsia del ataque
Comprender cómo se produjo un incidente de ransomware a un completo detalle técnico es fundamental para prevenir ataques futuros. Esto también conducirá a nuevas iniciativas y enfoques de seguridad.
Consulte con personas expertas para actualizar la seguridad
En el caso del ransomware, el rayo puede caer dos veces en el mismo lugar. De hecho, es bastante común que una empresa sea atacada por segunda vez. Si no se identifica la vulnerabilidad que permitió al atacante entrar en el sistema en primer lugar, podría volver a utilizarse. Aproveche a sus partners de confianza o las sugerencias de su equipo de respuesta a incidentes para mejorar las medidas de seguridad en todos los ámbitos.
Conclusión
Estadísticamente, sufrirá un ataque de ransomware. En realidad, no es posible eliminar completamente el riesgo, porque los ataques de ransomware evolucionan continuamente y mejoran a la hora de traspasar las defensas. Por eso resulta fundamental disponer de un plan de continuidad empresarial antes de necesitarlo: una estrategia bien pensada sobre qué hacer si sufre un ataque de ransomware.
Saber cómo responder y qué hacer inmediatamente después de un ataque puede ayudar, al igual que una buena higiene general en cuanto a seguridad y una conciencia diaria de mantener los datos protegidos y los sistemas actualizados para reducir las posibles vulnerabilidades.
Al eliminar los puntos de entrada vulnerables a sus sistemas y al tener un plan de respuesta sólido, es mucho menos probable que su empresa sufra efectos duraderos a causa de un ataque de ransomware.