Ransomware en México: las familias más propagadas

Las familias de ransomware más propagadas en México

El 16% de las empresas que encuestamos en Latinoamérica fue víctima del secuestro de información en 2016. Veamos la realidad del ransomware en México.

El 16% de las empresas que encuestamos en Latinoamérica fue víctima del secuestro de información en 2016. Veamos la realidad del ransomware en México.

La problemática del ransomware continúa vigente y en crecimiento, lo que mantiene a este tipo de malware como una amenaza latente. De acuerdo con el ESET Security Report 2017, donde se analiza el estado de la seguridad en las empresas latinoamericanas, el 16% de los encuestados manifestó haber padecido un caso de códigos maliciosos que secuestran la información.

Su actividad permanece en distintas partes del orbe, donde Latinoamérica no ha sido la excepción. Por esta razón, nos dimos a la tarea de revisar el comportamiento de las diferentes familias de ransomware que se propagan en territorio mexicano, un país con importantes niveles de detección en esta región.

A continuación se muestran los resultados durante 2016 y lo que se observa en los primeros meses del presente año.

Detecciones de ransomware en México durante 2016

El análisis de las principales detecciones del malware tipo FileCoder en México coloca a las siguientes seis familias con el mayor porcentaje de detección en este país. A la cabeza se encuentra TeslaCrypt con 36.8%, seguido de Cryptowall (23.6%), Locky (20%), CryptProjectXXX (7.9%), Cerber (7.6%), CTB-Locker (2.8%) y finalmente Crysis con 1.3% del total de las detecciones.

Es importante destacar que en algunos casos en los cuales los sistemas se han visto infectados por algún tipo de ransomware y los archivos han sido cifrados, es posible recuperar la información, tal como sucede con TeslaCrypt, para el cual se ha desarrollado una herramienta de descifrado gratuita.

Del mismo modo, también existe una herramienta gratuita para la información que ha sido cifrada por el ransomware Crysis, con el objetivo de recuperarla sin la necesidad de realizar un pago a los atacantes. Esta herramienta funciona para seis variantes con las siguientes extensiones: .xtbl, .crysis, .crypt, .lock, .crypted y .dharma.

De este análisis también destaca que las detecciones de los FileCoder han crecido 7% durante 2016 en el territorio mexicano, si se compara con el año anterior. Al comparar los primeros cuatro meses de 2017 con el mismo periodo del año pasado, se observa una disminución de los porcentajes de detección; no obstante, el número de familias de ransomware detectadas sigue en aumento.

Detecciones de ransomware en México en lo que va de 2017

De enero a abril del año en curso, nuevas familias de ransomware comenzaron a aparecer; destaca que el porcentaje de familias identificadas aumentó 100%, pasando de 7 en 2016 a 14 en los primeros meses de 2017.

En este periodo, nuevamente TeslaCrypt ocupa el primer lugar de detecciones con el 27.5%, seguido de CryptoWall (22%), Locky (13.5%), Cerber (13.2%), Crysis (8.3%), CryptoProjectXXX (5.6%), Spora (4.9%) y CTB-Locker (3.7). En el grupo de familias más comunes, CTB-Locker es desplazado por Spora, el ransomware con servicio de atención al cliente que ofrece un chat en tiempo real para que las víctimas se pongan en contacto con los operadores.

En esta revisión también sobresale que, aunque de manera marginal debido a los bajos porcentajes de detección, aparecen otras familias de ransomware. Tal es el caso de Salsa con el 0.4% y Philadelphia con 0.3%. Además, reaparecen TorrentLocker (0.2%), HydraCrypt (0.2%), Fantom (0.1%) y Xmas (0.1%).

Secuestro de información en el ámbito digital, una amenaza latente

Sin duda los ciberdelincuentes han encontrado en los códigos maliciosos y especialmente en el ransomware un negocio muy lucrativo que genera réditos económicos con mayor rapidez. Tal es así, que otras plataformas como los teléfonos inteligentes se ven cada vez más afectados por estas amenazas, e incluso se pronostica que más dispositivos con la funcionalidad de conectarse a Internet puedan verse comprometidos con el denominado Ransomware de las Cosas (RoT).

Por estas razones, resulta necesario continuar con la aplicación de medidas preventivas y proactivas en busca de aumentar la protección de la información y otros activos, sin la necesidad de llegar al último recurso que encuentran las empresas, es decir, el pago del rescate de la información.

Cuando se paga, se promueve la industria del secuestro en el ámbito digital. La prevención resulta básica para mitigar los riesgos asociados al ransomware y otros tipos de malware, así como contar con la tecnología de protección instalada, configurada y actualizada.

Créditos imagen: ©Geraint Rowland/Flickr

Discusión