En los últimos años, los ataques de ransomware han aumentado un 105%, y a diario se produce un promedio de 4.000 ataques de esta categoría. De hecho, los diferentes tipos de ransomware son la principal amenaza cibernética que sufren las empresas. Por esta razón, un tercio de los estados mundiales ha iniciado legislación para abordar el problema, según la consultora Gartner.
Sin ir más lejos, casi el 50% de las empresas informaron de pérdidas por un ataque de este tipo el año pasado, y se espera que esta cifra aumente, ya que en los próximos años los hackers van a centrarse en dispositivos móviles y a aprovechar el impacto del avance del Internet de las Cosas (IoT). En este sentido, para el año 2031, los ataques por diferentes tipos de ransomware pueden llegar a generar pérdidas de más de 265 mil millones de dólares.
¿Qué es el ransomware?
Este es un tipo de software malicioso (malware) que cifra los archivos del usuario en un sistema infectado y exige un rescate (ransom) en la pantalla del usuario a cambio de la clave para descifrarlos y devolver el control al usuario.
Se trata de una extorsión, con la finalidad de obtener ganancias económicas. Por ello, suelen amenazar a sus víctimas con borrar los archivos si no se paga el rescate. Sin embargo, pagar dicho rescate no garantiza que los archivos sean recuperados y, además, puede fomentar más ataques de cualquier tipo de ransomware.
Los ransomware son una forma común de ciberataque a empresas y particulares (CEO, CFO, gerentes, colaboradores y personas en general, etc.) que se distribuye a través de correos electrónicos de phishing, sitios web maliciosos o descargas de software infectado. En este sentido, el 91% de las organizaciones corre algún riesgo de sufrir un ataque de phishing en 2023.
Cuáles son los tipos de ransomware más comunes y cómo funcionan
A continuación, te mostramos los 6 tipos de ransomware más comunes:
Para el cifrado de archivos
Infecta el sistema, busca y cifra los archivos del usuario, haciendo que sean inaccesibles. Luego, muestra una nota de rescate en la pantalla del usuario, exigiendo el pago de una cantidad económica a cambio de la clave de descifrado para restaurar el acceso a los archivos.
Bloqueador de sistema
Se dirige a la pantalla de inicio de sesión del sistema operativo. Al infectar el sistema, bloquea el acceso del usuario a su cuenta y muestra una pantalla falsa que parece ser una notificación legítima de la policía o de una agencia gubernamental. El mensaje indica que el sistema ha sido bloqueado debido a actividades ilegales y exige el pago de un rescate para desbloquearlo.
Leakware
Amenaza con publicar información confidencial o privada del usuario en línea. A diferencia de otras variantes de ransomware, el objetivo principal del leakware no es cifrar los archivos, sino robar los archivos del usuario y amenazar con publicarlos por internet para extorsionar al usuario.
Scareware
Este se hace pasar por un software antivirus o de seguridad legítimo. Al infectar el sistema, muestra mensajes engañosos y falsas alertas de seguridad para asustar al usuario y hacerle creer que su sistema está infectado con virus o malware. Luego, ofrece una solución para eliminar la supuesta infección que, en realidad, es un rescate para desbloquear el sistema.
Para dispositivos móviles
Está diseñado para atacar dispositivos móviles, como teléfonos inteligentes y tabletas. Al infectarlos, puede bloquear el acceso al sistema operativo, cifrar los archivos del usuario o mostrar mensajes de rescate en la pantalla del dispositivo. También, puede propagarse a través de aplicaciones maliciosas, correos electrónicos o mensajes de texto.
Las variantes móviles de ransomware están en constante evolución, por lo que es importante mantener los dispositivos móviles actualizados y protegidos para evitar ataques.
Ransomware as a Service (RaaS)
Es una práctica en la que los ciberdelincuentes proporcionan herramientas de ransomware a otros atacantes a cambio de una tarifa. El objetivo es simplificar la creación y distribución del malware, lo que permite a los atacantes menos experimentados llevar a cabo ataques de ransomware.
Los proveedores de RaaS ofrecen una variedad de herramientas, incluyendo el software de cifrado, la infraestructura de comando y control, así como los servicios de pago.
La importancia de conocer los tipos de ransomware
Los diferentes tipos de ransomware se han convertido en una de las amenazas cibernéticas más importantes y costosas en la actualidad. Y es que se han vuelto más complejos con el tiempo, con nuevas variantes que utilizan técnicas avanzadas de ingeniería social y encriptación.
De este modo, los múltiples tipos de ransomware cada vez son más fáciles de ejecutar y pueden activarse de manera automática en el sistema infectado, ya que se pueden disfrazar para parecerse a un software legítimo, ocultarse así en el sistema y evitar ser reconocidos por parte del software antivirus.
Teniendo esto en cuenta, resulta fundamental estar al día de estos tipos de vulnerabilidades por varias razones. Entre ellas, destacamos las siguientes:
-
Proteges tus datos: las amenazas con ransomware pueden resultar en la pérdida de datos críticos y valiosos.
-
Evitas el cese de operaciones: una empresa infectada con cualquiera de los tipos de ransomware puede experimentar un tiempo de inactividad significativo, lo que afecta a la productividad y las ganancias.
-
Proteges tu reputación: si tu empresa sufre un ataque de ransomware, perderá la confianza de los clientes, inversionistas, proveedores y socios estratégicos.
-
Cumples con la normativa: dependiendo de la naturaleza de tu empresa, esta puede estar sujeta a regulaciones que requieren que protejas los datos y evites accesos no autorizados a los mismos. Por ejemplo, este sería el caso de las bases de datos con información confidencial o de los datos personales de tus clientes.
-
Ahorras costos: recuperar el control después de una amenaza de ransomware suele ser costoso. Lo ideal es que tomes medidas preventivas para evitar ser víctima de algún ataque y así ahorrar costos asociados a la recuperación de datos.
6 ejemplos prácticos de ransomware
Algunos de los ejemplos de ransomware más famosos son los siguientes:
WannaCry
Se propagó de forma rápida en mayo de 2017, afectando a más de 200,000 sistemas en todo el mundo. Utilizó una vulnerabilidad en sistemas operativos Windows no actualizados, cifró los archivos de los usuarios y exigió el pago de un rescate en Bitcoin para recuperar los archivos.
CryptoLocker
Utiliza una técnica de RSA-2048 para cifrar los archivos y exigir un rescate en Bitcoin para descifrarlos. Fue responsable de la infección de cientos de miles de sistemas, resultando en pérdidas financieras significativas para las víctimas.
CTB-Locker
Utilizó una combinación de cifrado AES y RSA para cifrar los archivos del usuario y, al igual que el anterior, exigir el pago de un rescate en Bitcoin para descifrarlos.
La distribución de este tipo de ransomware se realizó a través de correos electrónicos de phishing. De hecho, CTB-Locker ha sido responsable de una gran cantidad de ataques exitosos y ha evolucionado en diversas variantes a lo largo del tiempo.
TorrentLocker
Utiliza la técnica AES para cifrar los archivos de la víctima. Se propaga a través de correos electrónicos de phishing que contienen un archivo adjunto malicioso que, al abrirse, descarga y ejecuta el ransomware en el sistema de la víctima.
Una vez que está en el sistema, TorrentLocker busca y cifra una amplia variedad de archivos, incluyendo documentos, fotos y videos, y agrega una extensión aleatoria a los nombres de archivo cifrados. Además de usar técnicas de cifrado y extorsión para afectar a las víctimas, TorrentLocker también utiliza técnicas de evasión de detección para evitar la detección por parte de soluciones de seguridad.
Reveton
Este es uno de los tipos de ransomware que se ha ido descontinuando en gran medida en los últimos años. Esta variante de malware mostraba una pantalla de bloqueo en el sistema infectado, haciéndose pasar por una entidad gubernamental que acusaba a la víctima de actividades ilegales y exigía el pago de una multa. Reveton se propagaba, principalmente, a través de sitios web comprometidos.
Simplocker
Se enfocaba en dispositivos Android. Utilizaba cifrado AES para cifrar los archivos y se propagaba a través de la descarga de aplicaciones maliciosas de tiendas de aplicaciones no oficiales o mediante la visualización de anuncios maliciosos.
Una vez instalado en el dispositivo, este tipo de ransomware cifraba archivos multimedia como imágenes y videos. Hace algunos años se eliminaron algunas variantes de Simplocker, pero se recomienda a los usuarios de Android que eviten descargar aplicaciones de fuentes no confiables y que realicen copias de seguridad periódicas de sus datos.
¿Cómo saber qué tipo de ransomware te atacó?
Si has sido atacado por ransomware, lo primero que debes hacer es revisar los mensajes de rescate o las alertas que aparecen en tu pantalla, ya que a menudo incluyen información sobre el tipo de ransomware. Asimismo, si tienes acceso a los archivos cifrados, los nombres de archivo o la extensión pueden proporcionar pistas sobre la variante que los cifró.
Lo cierto es que saber qué tipo de ransomware ha infectado el sistema puede ser un desafío, ya que muchas variantes tienen similitudes en su comportamiento. Bajo este contexto, lo mejor es buscar la ayuda de expertos en ciberseguridad para determinar la naturaleza del ataque y cómo responder de manera adecuada.
¿Cómo evitar los ataques de diferentes tipos de ransomware?
Hay una serie de prácticas que pueden ayudarte a evitar los ataques por algún tipo de ransomware:
-
Concientiza y capacita a todo tu personal: la educación en ciberseguridad ayuda a identificar y reportar amenazas, seguir prácticas seguras de navegación y comprender la importancia de mantener actualizados los sistemas y aplicaciones, crear contraseñas seguras y realizar copias de seguridad de los datos críticos.
-
Utiliza solo aplicaciones corporativas con licencias válidas y vigentes: las aplicaciones oficiales suelen recibir actualizaciones de seguridad regulares para corregir las vulnerabilidades conocidas, lo que puede reducir la superficie de ataque y mejorar la seguridad general de sus sistemas.
-
Implementa un bloqueador de anuncios: los anuncios publicitarios en línea suelen ser una fuente importante de amenazas de ransomware, virus y malware. Un bloqueador de anuncios puede prevenir la visualización de anuncios maliciosos y mejorar la velocidad de navegación y la productividad del personal.
-
Realiza copias de seguridad frecuentemente: hacer copias de seguridad te permite minimizar las posibles pérdidas ante ataques de distintos tipos de ransomware, ya que gracias a estas puedes recuperar los datos originales sin tener que pagar el rescate.
-
No obstante, las copias de seguridad deben realizarse con regularidad y almacenarse en un lugar seguro fuera de línea para evitar que también se cifren con el ransomware.
-
Instala herramientas de seguridad oficiales y propietarias: los programas de seguridad están diseñados para detectar y prevenir gran variedad de tipos de ransomware y virus en los sistemas, ya que bloquean conexiones maliciosas y advierten sobre actividades sospechosas.
-
Actualiza tus sistemas operativos y aplicaciones actualizados con las versiones recomendadas por los desarrolladores y/o fabricantes: los fabricantes de software publican actualizaciones y parches que corrigen vulnerabilidades de seguridad conocidas, de manera que mejoran la protección contra virus y malware.
En Alestra #SomosExpertos y desarrollamos tecnologías de última generación como nuestro EDR Administrado, una solución inteligente, que es capaz de aprender de nuevas amenazas y aplica controles de seguridad predeterminados con el fin de ser más efectivo y proteger de manera anticipada y proactiva todos los dispositivos del personal de tu empresa.
Esta solución es soportada con personal especializado y certificado del CSOC (Cybersecurtiy Operation Center) de Alestra, con el que, proteges tus dispositivos terminales endpoints, reduciendo tu exposición al riesgo, y enfrentas los retos de las brechas de talento en ciberseguridad. Gracias a esto, podrás concentrarte en lo esencial y de valor de tu organización y, al mismo tiempo, estar al día de las posibles amenazas o tener un mejor conocimiento de cómo y cuándo empezó un ataque mediante los reportes que ofrece la solución.
Edmundo Albarran Rogel
Especialista Producto Ciberseguridad
Cuenta con más de 24 años de experiencia en el sector de Telecomunicaciones y TI. Está especializado en el desarrollo de proyectos a nivel Corporativo y Gobierno, involucrando áreas como: Mercadotecnia, Estrategia de Mercado, Administración de Productos y Desarrollo de Negocios. Actualmente, en Alestra se desempeña como Cybersecurity Product Specialist, brindando servicios de estratégicos en Consultoría y Tecnologías de Ciberseguridad, enfocadas en mejorar la postura, resiliencia y madurez en Ciberseguridad de nuestros clientes.