Bagira22/Getty Images

El ransomware es una de las amenazas más peligrosas a las que se enfrentan las empresas y los consumidores en la actualidad. Ya sea usted un individuo o una empresa Fortune 500, la experiencia de quedar excluido de su sistema, tener sus archivos cifrados y estar sujeto a amenazas y demandas de pago puede ser desgarradora.

Mientras las empresas encargadas de hacer cumplir la ley y de ciberseguridad luchan contra el auge de los grupos de ransomware, este negocio extremadamente lucrativo e ilegal está floreciendo. Cada día aparecen nuevas bandas de ransomware en el campo, mientras que las más establecidas cambian de nombre y se reagrupan para confundir los esfuerzos por rastrear y procesar a los perpetradores.

Aquí encontrará todo lo que necesita saber sobre el ransomware, cómo funciona y qué puede hacer para mitigar el riesgo de ataque.

El ransomware es uno de los mayores problemas de ciberseguridad en Internet y una de las mayores formas de ciberdelito que enfrentan las organizaciones en la actualidad. El ransomware es una forma de software malicioso (malware) que cifra archivos y documentos en cualquier cosa, desde una sola PC hasta una red completa, incluidos servidores.

Una vez que el ransomware cifra los archivos, a las víctimas les quedan pocas opciones: pueden recuperar el acceso a su red cifrada pagando un rescate a los delincuentes detrás del ataque. Pueden restaurar datos desde sus copias de seguridad. Pueden esperar que haya una clave de descifrado disponible gratuitamente. O empiezan de nuevo desde cero.

Algunas infecciones de ransomware comienzan cuando alguien dentro de una organización hace clic en lo que parece un archivo adjunto inocente que, cuando se abre, descarga la carga maliciosa y cifra la red.

Un ejemplo de ataque de ransomware.

Imágenes Rawf8/Getty

Otras campañas de ransomware mucho más grandes utilizan vulnerabilidades y vulnerabilidades de software, contraseñas descifradas y otras vulnerabilidades para obtener acceso a organizaciones utilizando puntos débiles como servidores con acceso a Internet o inicios de sesión en escritorios remotos. Los atacantes buscarán en secreto a través de la red hasta controlar todo lo posible, antes de cifrar todo lo que puedan.

Puede ser un dolor de cabeza para empresas de todos los tamaños si archivos y documentos, redes o servidores vitales de repente se cifran y se vuelven inaccesibles. Peor aún, después de ser atacado con ransomware de cifrado de archivos, los delincuentes anunciarán descaradamente que mantendrán como rehenes sus datos corporativos hasta que pague un rescate para recuperarlos. Algunos incluso publican datos robados en Internet para que todos los vean.

Conocido como SIDA o troyano PC Cyborg, el virus se enviaba a las víctimas en un disquete. El ransomware contaba el número de veces que se iniciaba la PC: una vez que llegaba a 90, cifraba la máquina y los archivos que contenía y exigía al usuario “renovar su licencia” con “PC Cyborg Corporation” enviando 189 dólares o 378 dólares a una oficina de correos. Caja en Panamá.

La exigencia de pago del PC Cyborg… por correo postal.

Imagen: Sofos

Este primer ransomware era una construcción relativamente simple, que usaba criptografía básica que en su mayoría solo cambiaba los nombres de los archivos, lo que lo hacía relativamente fácil de superar.

Sin embargo, en la práctica creó una nueva rama del delito informático que creció gradualmente en alcance y ambición. Una vez que el acceso telefónico a Internet estuvo disponible para los consumidores, el ransomware básico apareció en masa.

Una de las variantes más exitosas fue el “ransomware policial”, que intentaba extorsionar a las víctimas afirmando que la PC había sido cifrada por las autoridades. Bloqueó la pantalla con una nota de rescate advirtiendo al usuario que había cometido una actividad ilegal en línea, lo que podría llevarlo a la cárcel.

Sin embargo, si la víctima pagaba una multa, la “policía” dejaría pasar la infracción y restablecería el acceso al ordenador entregándole la clave de descifrado. Por supuesto, esto no tenía nada que ver con la aplicación de la ley: se trataba de delincuentes que explotaban a personas inocentes.

Un ejemplo de “ransomware policial” que amenaza a un usuario.

Sofos

Los delincuentes aprendieron de este enfoque y ahora la mayoría de los esquemas de ransomware utilizan criptografía avanzada para bloquear una PC infectada y los archivos que contiene.

El ransomware siempre está evolucionando y continuamente aparecen nuevas variantes que plantean nuevas amenazas para las empresas. Sin embargo, ciertos tipos de ransomware han tenido mucho más éxito que otros.

WannaCry de Corea del Norte se utilizó en uno de los mayores ataques de ransomware hasta la fecha. En 2017, el ransomware causó caos en todo el mundo, con más de 300.000 víctimas en más de 150 países. Locky fue alguna vez la forma más notoria de ransomware y causó estragos en organizaciones de todo el mundo a lo largo de 2016, difundiéndose a través de correos electrónicos de phishing. Una de las familias de ransomware más prolíficas durante 2021 fue REvil, responsable de cifrar las redes de una gran cantidad de organizaciones de alto perfil.
Conti, al igual que REvil, combina el cifrado de redes con amenazas de publicar datos para extorsionar el pago de rescates. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) se encuentra entre las que han emitido advertencias sobre los prolíficos ataques de ransomware Conti, que están en curso e incluso se han cobrado servicios de salud y hospitales entre sus víctimas.
Cerber alguna vez fue popular como uno de los primeros modelos de 'Ransomware-as-a-Service' (RaaS), que permitía a los usuarios sin conocimientos técnicos realizar ataques a cambio de que algunas de las ganancias regresaran a los autores originales.

El ransomware viene en muchas variaciones, pero en esencia, el ransomware está diseñado para bloquearle el acceso a su sistema y revocar el acceso a los archivos. Algunos ransomware podrán moverse lateralmente a través de las redes, cifrar datos (o destruirlos) y también pueden incluir módulos de vigilancia.

Mientras las operaciones de ransomware van y vienen, las personas involucradas en la creación y prueba del malware se mueven regularmente entre ellas o buscan nuevas oportunidades, lo que significa que hay un flujo constante de nuevas variantes de ransomware que potencialmente se convertirán en la próxima gran amenaza.

Red de platos: Un ataque en febrero contra el gigante de la radiodifusión Dish Network provocó cortes de servicio y la exposición de datos pertenecientes a aproximadamente 300.000 personas. Según se informa, es posible que la empresa haya pagado un rescate, ya que una carta enviada a las personas afectadas reveló que la empresa “recibió confirmación de que los datos extraídos han sido eliminados”.correo Real: El servicio de entrega Royal Mail del Reino Unido recibió una demanda de rescate de 80 millones de dólares luego de un ataque en enero que interrumpió gravemente las entregas, a nivel nacional y en el extranjero. Los funcionarios de la empresa se negaron a pagar. Césares: El operador de casino Caesars sufrió un ataque de ransomware y una violación de datos, incluido el robo de datos de clientes. Los informes sugieren que la empresa pagó aproximadamente la mitad de una demanda de ransomware de 30 millones de dólares. Hoteles MGM: Los atacantes detrás de un caótico ataque de ransomware contra MGM Resorts, que obligó a muchos servicios a desconectarse, incluidos los sistemas de puntos de venta, afirmaron que lograron obtener las credenciales necesarias para realizar el ataque con solo una llamada telefónica. Todo, desde las máquinas tragamonedas de los casinos hasta las tarjetas de las habitaciones de los hoteles, dejó de funcionar.

Obviamente, el costo más inmediato asociado con la infección con ransomware (si se paga) es la demanda de rescate, que puede depender del tipo de ransomware o del tamaño de su organización.

Los ataques de ransomware pueden variar en tamaño, pero cada vez es más común que las bandas de piratas informáticos exijan millones de dólares para restaurar el acceso a la red. Y la razón por la que las bandas de hackers pueden exigir tanto dinero es, en pocas palabras, porque muchas víctimas pagarán.

Ese es especialmente el caso si una red bloqueada con ransomware significa que la organización no puede hacer negocios: podría perder grandes cantidades de ingresos por cada día, tal vez cada hora, que la red no esté disponible. Este tiempo de inactividad puede sumar rápidamente millones de dólares en pérdidas.

Además: ante la probabilidad de ataques de ransomware, las empresas siguen optando por pagar

Si una organización decide no pagar el rescate, no sólo perderá ingresos durante un período de tiempo que podría durar semanas, tal vez meses, sino que también tendrá que pagar una gran suma para que una empresa de seguridad venga y restablezca el acceso a la red, y también puede haber costosas repercusiones legales.

Cualquiera que sea la forma en que la organización aborde un ataque de ransomware, el incidente también tendrá un impacto financiero en el futuro, porque para protegerse contra volver a ser víctima, la organización necesitará invertir en su infraestructura de seguridad y manejar los costos legales, posibles demandas colectivas y multas reglamentarias.

Además de todo esto, también existe el riesgo de que los clientes pierdan la confianza en la organización debido a una ciberseguridad deficiente, y los clientes lleven sus negocios a otra parte.

La ciberseguridad y las fuerzas del orden desaconsejan el pago del rescate porque anima a los ciberdelincuentes a seguir lanzando campañas de ransomware. Incluso hay casos en los que una víctima ha pagado un rescate, pero los mismos atacantes regresan con otro ataque y exigen otro pago de rescate.

Hasta la fecha, el mayor pago de ransomware lo realizó CNA Financial, uno de los principales proveedores de seguros de EE. UU. Según se informa, la organización pagó 40 millones de dólares después de ser víctima de un ataque de ransomware.

En pocas palabras: el ransomware puede destruir su negocio. Que el malware bloquee sus propios archivos aunque sea por solo un día afectará sus ingresos. Pero dado que el ransomware desconecta a la mayoría de las víctimas durante al menos una semana, o a veces meses, las pérdidas pueden ser significativas. Los sistemas pueden permanecer desconectados durante tanto tiempo, no simplemente porque el ransomware bloquea el sistema, sino por todo el tiempo y esfuerzo necesarios para limpiar y restaurar las redes.

Y no es sólo el impacto financiero inmediato del ransomware lo que dañará a una empresa; Los consumidores se vuelven cautelosos a la hora de proporcionar sus datos a empresas que consideran inseguras.

Además: los ataques de ransomware y phishing continúan afectando a estas empresas

Los ciberdelincuentes han aprendido que no sólo las empresas son objetivos lucrativos para los ataques de ransomware, sino que también infraestructuras importantes como hospitales e instalaciones industriales se ven afectadas por el ransomware. Y esas perturbaciones pueden tener grandes consecuencias para las personas.

El sector educativo también se ha convertido en un objetivo cada vez más popular para las campañas de ransomware. Las escuelas y universidades se volvieron dependientes del aprendizaje remoto debido a la pandemia de coronavirus, y los ciberdelincuentes se dieron cuenta. Estas redes educativas son utilizadas potencialmente por miles de personas, muchas de ellas utilizando sus dispositivos personales, y todo lo que podría necesitar un hacker malintencionado para obtener acceso a la red es un correo electrónico de phishing exitoso o descifrar la contraseña de una cuenta.

Las pequeñas y medianas empresas son un objetivo popular porque tienden a tener una ciberseguridad más deficiente que las grandes organizaciones. A pesar de ello, muchas PYMES creen erróneamente que son demasiado pequeñas para ser atacadas, pero incluso un modesto rescate de unos pocos cientos de dólares sigue siendo muy rentable para los ciberdelincuentes.

Las empresas más pequeñas y las que están al alcance de la mano también pueden ser objetivos tentadores porque los ataques a la cadena de suministro pueden proporcionar acceso a un objetivo más grande y lucrativo.

El auge de las criptomonedas como Bitcoin ha facilitado que los ciberdelincuentes reciban pagos con menos riesgo de que las autoridades puedan identificar y rastrear a los perpetradores.

Las billeteras digitales se utilizan para almacenar criptomonedas y, aunque no son imposibles de rastrear, esto hace que sea más difícil rastrear e incautar fondos ilegales, especialmente si los fondos criptográficos se mezclan y filtran a través de múltiples billeteras e intercambios de criptomonedas.

Muchos grupos de ransomware ofrecen “servicio al cliente” para ayudar a las víctimas que no saben cómo adquirir o enviar…