Las empresas y sobretodo las pymes, son uno de los objetivos favoritos de los ciberdelincuentes, que siempre buscan nuevas formas de atacar sus sistemas, robar su información o entorpecer sus labores. Uno de los ataques más habituales que sufren las empresas (incluidas las grandes corporaciones) es el ransomware. Este tipo de malware puede causar graves daños en el funcionamiento de cualquier organización, impidiendo acceder a los datos o incluso a las aplicaciones que utilizan en su día a día. Por eso es necesario disponer de un buen sistema de protección ante este tipo de infección o ataque, y disponer de una serie de protocolos y buena prácticas que lo eviten.
El ransomware es un tipo de malware, o software malicioso, que secuestra archivos y, en ocasiones, equipos o dispositivos móviles enteros. Podemos definir el ransomware según este comportamiento: los ciberdelincuentes solicitan el pago de un rescate a cambio de descifrar sus archivos y así devolverle el acceso a estos.
Ransomware se forma al unir «ransom» (del inglés, rescate) con «ware» (producto o mercancía, en inglés). Una vez que el delincuente cifra los datos, pide un rescate (ransom) a la víctima, a través de un mensaje o ventana emergente, realizando lo que llamaríamos un secuestro virtual. Este mensaje, que suele ser amenazante y apremiante, advierte a la víctima de que la única forma mediante la que puede descifrar sus archivos, recuperar el sistema o evitar un posible filtrado de información, es realizar el pago de un rescate. Es habitual que incluyan un límite de tiempo para pagar, antes de que se produzca la destrucción total de los archivos secuestrados, su publicación o un incremento del valor del rescate, si no se paga a tiempo.
El motivo de los ataques de ransomware suele ser monetario y, a diferencia de otros tipos de ataques, generalmente se notifica a la víctima que se ha producido un exploit y se le dan instrucciones sobre cómo recuperarse del ataque. El pago a menudo se exige en una moneda virtual, como bitcoin, por lo que se desconoce la identidad del ciberdelincuente.
El malware ransomware se puede propagar a través de archivos adjuntos maliciosos que se encuentran en correos electrónicos o en aplicaciones de software malicioso infectadas, dispositivos de almacenamiento externos infectados y sitios web comprometidos. Los ataques también han utilizado el Protocolo de Escritorio Remoto y otros enfoques que no dependen de ninguna forma de interacción del usuario.
Al contrario que la mayoría del malware, que requiere que usted descargue un archivo infectado o haga clic en un enlace malicioso, hay ransomware capaz de infiltrarse en un equipo sin acción alguna por parte del usuario. Otros ataques recurren a los métodos tradicionales.
La empresa Avast Software, nos enseña cómo funcionan las distintas formas de ransomware:
- Kits de exploits: atacantes maliciosos desarrollan kits de exploits que contienen código escrito previamente, diseñado para aprovechar vulnerabilidades en aplicaciones, redes o dispositivos. Este tipo de ransomware puede infectar cualquier equipo o dispositivo móvil con software obsoleto que se conecte a una red, así que mantenga sus sistemas y aplicaciones actualizados para proteger de ataques el hardware y los archivos.
- Ingeniería social: en vez de desarrollar un «exploit» de software, muchos ciberatacantes recurren a métodos más clásicos. Emplean trucos de ingeniería social para engañar a su víctima y hacer que descargue el ransomware desde un archivo adjunto o una URL, un tipo de ataque que se conoce como phishing.
- Phishing: el ciberdelincuente se hace pasar por un contacto de confianza y le envía un correo electrónico que contiene un archivo adjunto o un enlace aparentemente legítimos. Algunos ejemplos comunes son un formulario de pedido, un recibo o una factura. Estos adjuntos suelen tener extensiones que los hacen parecer archivos PDF o de Microsoft Office (por ejemplo, .pdf, .xls, .docx), pero en realidad son archivos ejecutables camuflados. Cuando descarga el archivo y lo abre, se inicia el ataque del ransomware.Es posible que el asalto no comience de inmediato. Hay ransomware diseñado para esconderse en su dispositivo durante un tiempo determinado, de modo que no resulte sencillo determinar su origen. Por ejemplo, la cepa del troyano AIDS no se activaba hasta la nonagésima vez que se encendía el equipo infectado.
- Malvertising: los atacantes pueden distribuir el malware incrustándolo en falsos anuncios en línea, una práctica conocida como malvertising. Los ciberdelincuentes pueden poner sus anuncios en casi cualquier sitio web, incluso los de más confianza. Si hace clic en un anuncio malicioso, descargará un ransomware en su dispositivo. Es una razón excelente para no hacer clic en ningún anuncio que se encuentre en Internet.
- Descargas drive-by: los atacantes pueden preparar un sitio web con malware de modo que, cuando lo visite, se descargue de forma secreta y automática el malware en el dispositivo. Si utiliza navegadores y aplicaciones obsoletos, es especialmente vulnerable a esta técnica.
Independientemente del origen del ransomware y del modo en que llegue a su dispositivo, vamos a exponer lo peor que podría sucederle después de abrir o activar un programa malicioso de este tipo. Por desgracia, en el caso de una infección con malware, lo peor también es lo más habitual:
- El ransomware cifra sus archivos. Esto significa que cambia los archivos o la estructura de estos de tal modo que solo podrá volver a leerlos o utilizarlos restableciéndolos a su estado original. En otras palabras, que tendrá que descifrar los archivos.No es algo que pueda hacer tranquilamente por su cuenta: el ransomware suele utilizar métodos de cifrado difíciles de romper y que solo pueden revertirse mediante una clave de descifrado específica. Por esa clave es por la que el ransomware le pide que pague.
- Una vez que el malware termina de cifrar sus archivos, en la pantalla aparece una nota de rescate donde se le indica:
- Cuánto tiene que pagar, normalmente en bitcoines, para obtener la clave de descifrado, o para que el secuestrador descifre los archivos.
- Dónde y cómo debe transferir el pago del rescate.
- La fecha límite: si no paga antes de una fecha u hora determinada, el rescate puede aumentar, o el atacante puede amenazarlo con cifrar de forma permanente los archivos, o incluso borrarlos.
Mientras su dispositivo siga infectado con el ransomware, cualquier intento por abrir los archivos cifrados probablemente tendrá como consecuencia un mensaje de error que indique que los archivos están dañados, que no son válidos o que no se encuentran.
Existen cuatro tipos de ransomware que son los más utilizados para atacar a empresa:
- Virus de la policía. Este tipo de ataque ransomware muestra un mensaje alertando de que la máquina ha sido bloqueada por acceso a sitios ilegales. Este mensaje simula ser enviado por la policía para intentar engañar a un mayor número de personas y que paguen la multa solicitada.
- Filecoder. Este ransomware encripta archivos, impidiendo su acceso. Si el usuario paga el rescate en criptomonedas, se le facilitará la clave para desbloquear dichos archivos. Existe una variante de este ransomware que es el Wiper, que a una vez pagado el rescate, el código no desbloquea los archivos, sino que los borra.
- Lockscreen. Este ransomware bloquea el acceso al equipo, impidiendo realizar cualquier función si no se paga el rescate y se recibe el código para su desactivación.
- Hoax. Esta técnica de ransomware no llega a bloquear los archivos como el Filecoder, sino que simula hacerlo, forzando a que las víctimas paguen por miedo.