Hace unas semanas te trajimos una extensa nota del problema del ransomware, una de las amenazas cibernéticas más graves para las empresas y organizaciones. Hoy, queremos hablarte un poco más de este tema, desde sus orígenes hasta su actualidad.
Hoy hablaremos de qué es el ransomware, cómo funciona y cuáles son las consecuencias para las empresas que lo sufren. Además, proporcionaremos información valiosa sobre cómo prevenir ataques de ransomware y cómo responder si tu empresa es víctima de un ataque. También vamos a darte algunos consejos sobre cómo fortalecer la ciberseguridad, y otros detalles que seguramente te interesará conocer.
Tabla de Contenidos.
Ransomware: comencemos por el principio.
Como ya hemos explicado con anterioridad, el ransomware es un tipo de malware que “bloquea” tus datos, cifrándolos con una clave secreta y luego exigiendo el pago de esa clave para que puedas descifrar y acceder a tus datos nuevamente.
Muchas variedades de ransomware obligan a las víctimas a tomar medidas al incorporar una fecha de vencimiento en la demanda de rescate: si el rescate no se paga en una fecha determinada, la clave de descifrado se destruirá y todos los datos rescatados serán inaccesibles para siempre.
¿Cuál fue el primer ransomware?
El primer ransomware conocido fue llamado «AIDS Trojan» y apareció en 1989. Fue distribuido en disquetes a través de correo postal a usuarios de ordenadores en todo el mundo. El software malicioso era un programa oculto que encriptaba archivos en el ordenador del usuario y exigía el pago de un rescate en la moneda alemana Deutsche Mark para desbloquearlos. El creador del AIDS Trojan fue Joseph Popp, un médico estadounidense que fue arrestado después de que la policía encontrara una lista de nombres y direcciones de posibles víctimas en su ordenador. Popp fue diagnosticado con esquizofrenia paranoide y no fue juzgado por sus crímenes debido a su estado mental.
Si bien este ataque no fue muy efectivo en su momento, ya que la distribución del virus era limitada debido a la necesidad de enviar disquetes por correo postal, sentó las bases para el desarrollo de ransomware más avanzado.
CryptoLocker fue uno de los primeros y más notorios tipos de ransomware que apareció como consecuencia, en septiembre de 2013. Se propagó rápidamente a través del correo electrónico y en sitios web maliciosos que ofrecían descargas de software gratuito.
Cuando infectaba un ordenador, CryptoLocker cifraba los archivos del usuario y luego exigía el pago de un rescate en Bitcoin a cambio de la clave de descifrado necesaria para restaurar los archivos. El precio del rescate inicialmente era de alrededor de 300 euros, pero podía aumentar si el rescate no se pagaba en un plazo determinado. CryptoLocker utilizó una técnica de cifrado de archivos avanzada que hizo que fuera extremadamente difícil o imposible para los usuarios recuperar sus datos sin la clave de descifrado. Su éxito llevó a la aparición de numerosas variantes y copias, lo que hizo que el ransomware fuera aún más común y peligroso.
DarkSide: el ransomware que lo cambió todo.
DarkSide es un grupo de cibercriminales que se especializa en ataques de ransomware, y se cree que tiene su base en Europa del Este. En mayo de 2021, el grupo fue responsable del ataque de ransomware contra la empresa Colonial Pipeline, que transporta combustible en Estados Unidos, lo que provocó una interrupción significativa en el suministro de combustible en la costa este del país.
Después del ataque, DarkSide emitió un comunicado en el que afirmaba que su objetivo no era causar daño a la sociedad, sino obtener dinero. Sin embargo, el ataque tuvo graves consecuencias económicas y sociales, y el grupo recibió críticas por su falta de consideración por el bienestar público.
En respuesta al ataque, el gobierno de Estados Unidos ha intensificado sus esfuerzos para combatir el ransomware y ha anunciado planes para trabajar con otros países para hacer frente a esta amenaza cibernética creciente. También se ha instado a las empresas a tomar medidas proactivas para proteger sus sistemas y datos contra el ransomware y otras formas de malware.
¿Quiénes están detrás de estos ataques?
El ransomware ha afectado a miles de organizaciones en todo el mundo, desde comercios minoristas y escuelas hasta gobiernos y empresas de servicios. Según un estudio de Sophos, el 37% de las empresas a nivel mundial se vieron afectadas por ransomware en el último año, y el 32% de ellas pagó un rescate promedio de 170.000 euros. Sin embargo, es importante tener en cuenta que pagar no garantiza la recuperación total de los datos, ya que en promedio solo el 65% de la información cifrada fue restaurada.
Si hablamos de responsables, los grupos detrás del ransomware son variados y dinámicos, y utilizan diferentes técnicas y estrategias para llevar a cabo sus ataques. Algunos de los más activos y conocidos son REvil, DarkSide, Conti, Ryuk y Maze, entre otros. Estos grupos operan bajo el modelo de ransomware-as-a-service (RaaS), que consiste en ofrecer su código malicioso a otros cibercriminales a cambio de una comisión por cada ataque exitoso. Así, se crea una red de afiliados que amplía el alcance y el impacto del ransomware.
Actualmente, el ransomware es un problema global que requiere una respuesta coordinada y multidisciplinaria por parte de las autoridades, las empresas y los usuarios. Es necesario implementar medidas de prevención, detección y respuesta ante este tipo de ataques, así como concientizar sobre los riesgos y las buenas prácticas de seguridad informática, ya que el ransomware no solo causa pérdidas económicas y operativas, sino que también pone en riesgo la privacidad, la seguridad y la continuidad de las organizaciones y las personas.
Cómo prevenir un ataque de ransomware.
Para prevenir el ransomware, se recomienda seguir una serie de buenas prácticas de seguridad informática, tales como:
1- Mantener actualizados los sistemas operativos y las aplicaciones con los últimos parches de seguridad.
2- Utilizar un antivirus y un firewall confiables y activar sus funciones de protección en tiempo real.
3- Realizar copias de seguridad periódicas de los datos importantes y almacenarlas en un lugar seguro y desconectado de la red.
4- Evitar abrir correos electrónicos o archivos adjuntos sospechosos o de remitentes desconocidos.
5- No hacer clic en enlaces o descargar archivos de sitios web no confiables o que ofrezcan contenidos ilegales o piratas.
¿Y qué pasa si no logramos prevenir el ataque?
¿Qué hacer si tu empresa es víctima de un ataque de ransomware? Esta es una pregunta que cada vez más organizaciones se plantean ante el aumento de este tipo de amenazas informáticas.
En este apartado vamos a explicar cómo responder frente a un ataque de ransomware, siguiendo los siguientes pasos:
1- Identificar y aislar el origen del ataque.
Lo primero que hay que hacer es detectar qué equipo o dispositivo ha sido el punto de entrada del ransomware y desconectarlo de la red para evitar que se propague a otros sistemas. También hay que identificar el tipo de ransomware que se ha utilizado, ya que puede haber variantes con diferentes características y métodos de cifrado.
2- Evaluar el alcance y el impacto del ataque.
Una vez aislado el origen, hay que determinar qué archivos y datos han sido afectados por el ransomware y cuál es el impacto que tiene en la actividad de la empresa. Para ello, se puede recurrir a herramientas de análisis o a expertos en ciberseguridad que puedan ayudar a recuperar la información.
3- Decidir si pagar o no el rescate.
Esta es una decisión difícil y controvertida, ya que implica asumir un riesgo y una responsabilidad. Por un lado, pagar el rescate puede suponer una solución rápida y efectiva para recuperar los datos, pero también puede incentivar a los ciberdelincuentes a seguir atacando y no garantiza que cumplan con su palabra. Por otro lado, no pagar el rescate puede implicar perder los datos de forma definitiva o tener que invertir más tiempo y recursos en restaurarlos. Tampoco debes intentar comunicarte con el atacante ni descargar ningún software o herramienta que te ofrezca, ya que puede tratarse de otro malware o una trampa para obtener más información tuya.
4- Restaurar los sistemas y los datos.
Si se decide no pagar el rescate o si se paga pero no se recibe la clave de descifrado, hay que recurrir a las copias de seguridad o backups para restaurar los sistemas y los datos afectados por el ransomware. Es importante tener un plan de contingencia y una política de backups actualizada y segura, que permita recuperar la información lo antes posible y minimizar las pérdidas.
5- Reforzar la seguridad y la prevención.
El último paso es aprender de la experiencia y tomar medidas para evitar que se repita un ataque de ransomware. Para ello, hay que revisar y actualizar las medidas de seguridad informática, como el antivirus, el firewall, las actualizaciones del sistema operativo y las aplicaciones, etc. También hay que concientizar y formar al personal sobre las buenas prácticas para evitar caer en engaños o trampas que faciliten la entrada del ransomware.
Finalmente, y de ser posible, debes denunciar el ataque a las autoridades competentes, como la policía o la agencia nacional de ciberseguridad. Esto puede ayudar a investigar y detener al responsable, así como a prevenir futuros ataques.
Ransomware hoy: palabras de cierre.
Como hemos podido ver en este artículo y los ejemplos que enumeramos, un ataque de ransomware puede traer consecuencias más que preocupantes. Desde el secuestro de datos importantes, la pérdida de los mismos, u ocasionar que nuestra empresa se vea imposibilitada de seguir trabajando por un tiempo indefinido, mejorar las medidas de seguridad es imperativo para evitar todos estos contratiempos. Y si hablamos de medidas de seguridad, una capacitación constante es probablemente una de las primeras medidas que podemos tomar para esto. ¿Quieres saber qué puedes hacer para prevenir un ataque de ransomware? Nosotros podemos ayudarte.
