Ransomware: qué es y cómo funciona

Contenido actualizado el 24/04/2024, publicación original 21/05/2021

El término ransomware se refiere a un tipo de malware que, tras comprometer un equipo, secuestra su información para extorsionar a las víctimas, solicitando el pago de una suma de dinero, usualmente en criptomonedas, para recuperar estos datos. La palabra es un acrónimo de las palabras ransom (rescate, en español) y software.

Las primeras variantes aparecieron a finales de 1980 y en aquel entonces se exigía un pago por correo. Actualmente, la exigencia de la extorsión son pagos con criptomonedas o tarjeta de crédito.

En los últimos años tuvieron un cambio de enfoque de ataques masivos a ataques dirigidos. Los atacantes comenzaron a estudiar en profundidad los objetivos a los que se dirigen, lo que implica que tras el compromiso inicial exploran la red con el fin de recopilar información de interés y conocer los recursos de la víctima, para luego liberar el ransomware en el sistema. Esto les permite, entre otras cosas, determinar la cantidad máxima que la víctima puede pagar por el rescate.

Además, con el tiempo los atacantes también han agregado más funciones para aumentar el peligro y la efectividad de sus creaciones, con mayor planificación y sofisticación

Lectura recomendada: "Etapas de un ataque de  Ransomware: desde acceso inicial a la extorsión"

Tabla de contenidos de este artículo:
• ¿Cómo funciona el ransomware?
• ¿Cómo el ransomware infecta un equipo?
• Cuando pago el rescate, ¿se descifran los archivos?
• No uso Windows... ¿Estoy protegido contra el ransomware?
• Ransomware: casos resonantes, evolución y tendencia
• ¿Qué hacer cuando eres víctima de esta amenaza?
• ¿Cómo se protege un usuario hogareño del ransomware?
• ¿Cómo pueden protegerse las empresas contra esta amenaza?

¿Cómo funciona el ransomware?

El ransomware es un tipo de malware que puede manifestarse de diversas maneras, dependiendo de sus acciones y métodos de extorsión. Las dos categorías principales son:

1. Ransomware de cifrado (Cryptoransomware): Es el más frecuente y sofisticado. Utiliza técnicas de encriptación para codificar los archivos en la computadora comprometida, haciéndolos inaccesibles para el usuario. El ransomware criptográfico se dirige a las extensiones de archivo más utilizadas, como documentos de oficina, multimedia y bases de datos. También pueden extenderse a unidades extraíbles y unidades de red, lo que aumenta su capacidad de infiltración. Un signo obvio de este tipo de infección es la alteración de las extensiones de archivo y la imposibilidad de abrirlos incluso después de que se haya eliminado el malware. La recuperación de los datos afectados por el ransomware de cifrado suele ser un desafío,imposible.
2. Ransomware de pantalla de bloqueo: Es la forma más rudimentaria de ransomware y es menos común hoy en día, aunque aun se encuentra en dispositivos como teléfonos y tabletas con el sistema operativo Android. Este ransomware bloquea la pantalla del dispositivo, impidiendo el acceso hasta que se pague el rescate exigido. Suele ser más fácil de eliminar y tiene menos impacto, pero así puede causar inconvenientes significativos.

¿Cómo el ransomware infecta un equipo?

El ransomware puede infectar una computadora de varias maneras, muchas de las cuales explotan la vulnerabilidad humana y las fallas de seguridad del sistema. Las principales formas de infección incluyen:

1. Correos electrónicos de phishing: La forma más común de distrubución de ransomware. Los atacantes envían correos electrónicos fraudulentos con archivos adjuntos o enlaces maliciosos que parecen legítimos para que abran rchivos adjuntos o hagan clic en enlaces que llevan a la infección del sistema.
2. Ataques de conexión remota: Los delincuentes explotan las conexiones remotas, como el Protocolo de Escritorio Remoto (RDP), para acceder a sistemas vulnerables que tienen contraseñas débiles o mal configuradas. Una vez dentro del sistema, el ransomware se puede implementar para cifrar los datos o bloquear el acceso.
3. Explotación de vulnerabilidades: El ransomware también puede propagarse aprovechando las vulnerabilidades de un software obsoleto o mal configurado. Esto puede ocurrir a través de sitios web comprometidos que redirigen a los visitantes a exploits, o a través de dispositivos USB infectados.
4. Ingeniería social: Los atacantes suelen utilizar Ingeniería Social para engañar a los usuarios para que instalen ransomware. Esto puede implicar la creación de mensajes convincentes que apelen a la curiosidad o el miedo del usuario, incitándolo a realizar acciones dañinas, como descargar software malicioso.

Además, se pueden llevar a cabo ataques dirigidos contra empresas y organizaciones específicas, con el objetivo de obtener acceso a datos confidenciales o interrumpir operaciones esenciales. Estos ataques pueden implicar técnicas más avanzadas, como la explotación de vulnerabilidades específicas del sistema o el uso personalizado.

La prevención del ransomware requiere un enfoque múltiple, que incluye concienciar a los usuarios sobre las prácticas informáticas seguras, actualizar regularmente el implementar soluciones de seguridad sólidas.

Cuando pago el rescate, ¿se descifran los archivos?

Nada puede garantizar la recuperación de archivos. Acceder a realizar el pago del rescate estimula la actividad delictiva e, incluso, puede motivar nuevos ataques al dar la señal de que se está dispuesto a pagar. Lo fundamental es hacer prevención e invertir en seguridad para minimizar los riesgos de un ataque.

No uso Windows... ¿Estoy protegido contra el ransomware?

Aunque existe una gran variedad de ransomware para las plataformas de Microsoft, también hay para Apple, distribuciones de Linux, celulares y otras arquitecturas de Internet de las cosas (IoT). Por eso es tan importante que los usuarios adopten herramientas de protección y mejores prácticas al usar todos sus dispositivos.

Si bien los atacantes tienden a generar una mayor cantidad de código malicioso para las plataformas más utilizadas y con mayor número de víctimas, en los últimos años se han centrado en planificar ataques a grupos más reducidos, mediante ataques a víctimas previamente analizadas. De esta forma se aseguran conocer hasta cuánto podrían pagar, y cómo ejercer la suficiente presión para hacerlos ceder. En los últimos tiempos, las cantidades de dinero solicitadas por los delincuentes han aumentado considerablemente, gracias a esta investigación previa y a los ataques más dirigidos, que ya no se centran en las plataformas y sistemas más utilizados.

Ransomware: casos resonantes, evolución y tendencia

El ransomware WannaCry ganó protagonismo en mayo de 2017  cuando afectó a usuarios de más de 150 países, causando interrupciones significativas, en sectores de atención médica, finanzas, gobierno y educación. Desde entonces, se transformó en una amenaza digital de creciente relevancia. Se propagan rápidamente aprovechando una vulnerabilidad conocida en los sistemas Windows, llamada Azul eterno, que supuestamente fue desarrollado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y luego filtrado por el grupo de piratas informáticos conocido como Shadow Brokers.

El ataque de WannaCry fue notable no solo por su escala global, sino también por su enfoque agresivo y su impacto inmediato. Miles de organizaciones, entre ellas Telefónica en España y el Servicio Nacional de Salud (NHS) en el Reino Unido, se han visto afectadas. El NHS, en particular, ha sufrido un golpe significativo y se estima que cerca de un tercio de los hopitales del sistema se vieron afectados, poniendo vidas en riesgo y produciendo pérdidas financieras.

Muchas organizaciones afectadas por WannaCry no habían aplicado las actualizaciones de seguridad disponibles de Microsoft, lo que dejaba sus sistemas vulnerables a los ataques. Este incidente subrayó la necesidad urgente de medidas de seguridad proactivas, como actualizaciones periódicas de software, capacitación en concientización sobre ciberseguridad e implementación de políticas de respaldo sólidas.

A medida que las tecnologías digitales continúan avanzando y las amenazas cibernéticas se vuelven más sofisticadas, la protección contra el ransomware y otros ataques maliciosos sigue siendo una prioridad clave para las organizaciones y las personas de todo el mundo.

Wiperware. A finales de 2017 se identificó otro tipo de ransomware, llamado Wiperware, un tipo de malware que se asemeja al criptoransomware. Además de cifrar la información, también intenta cifrar, generalmente con éxito, el registro de arranque principal o MBR (Master Boot Record), lo que inutiliza el sistema operativo.

Ransomware as a Service (RaaS)

La evolución en el ransomware, muy presenten en Latinoamérica, es el llamado Ransomware as a Service (RaaS): un modelo que permite a los ciberdelincuentes, incluso sin grandes conocimientos técnicos, iniciar una campaña de ransomware contratando la creación de malware como servicio o uniéndose como afiliados para distribuir la amenaza a cambio de un porcentaje de las ganancias.

Este modelo, que es muy popular en la actualidad, fue descubierto hace algún tiempo a través de una herramienta llamada Tox, que permitía la creación de este tipo de malware de forma automática, independientemente de los conocimientos técnicos de quienes lo utilizan.

Del mismo modo, el ransomware de código abierto (cuya primera referencia se denominó Hidden Tear), ha desatado nuevos escenarios para el desarrollo de este tipo de programas maliciosos y sus variantes, donde es posible crear rápidamente malware cada vez más sofisticado y masivo mejorando el código preexistente.

Doxing y ataques DDoS

A finales de 2019 se comenzó a observar una tendencia de ataques de ransomware que ya es una realidad: hacer uso de una técnica conocida como doxing, que consiste en obtener datos sensibles de las víctimas y amenazar con hacerlos públicos a menos que se pague la extorsión. Sin duda, esto aumenta la presión sobre las víctimas, ya que no solo se trata de recuperar la información cifrada, sino también de evitar que los datos robados se hagan públicos. Como indicó el reporte trimestral de amenzas de ESET de 2020, los operadores detrás del ransomware Maze fueron los primeros en adoptar esta práctica.

Si bien sus campañas comenzaron a detectarse en mayo de 2019, a partir de octubre comenzaron a incluir la filtración de información de las víctimas como parte de la amenaza. Poco después, esta modalidad de extorsión fue adoptada por más grupos de ransomware que, a su vez, añadieron otras modalidades de extorsión para aquellas víctimas que no están interesadas en llegar a un acuerdo, como las cold calls y los ataques DDoS.

¿Qué hacer cuando eres víctima de esta amenaza?

La acción que tomes dependerá de las medidas de seguridad que hayas adoptado antes de que ocurra el incidente. Si tienes una copia de seguridad actualizada, puedes restaurar la información, o si no está tan actualizada puedes, al menos, recuperar una parte importante. Si no cuentas con una copia de seguridad o también está comprometida, deberás decidir si quieres correr el riesgo de realizar el pago, que como mencionamos, no es una práctica recomendada.

Si cuentas con la habilidad necesaria, puedes extraer la muestra de ransomware de la computadora para identificar qué variante específica ha logrado infiltrarse en el sistema, utilizando servicios como VirusTotal para analizar el archivo. También escanear el equipo con una solución de seguridad para que detecte el código malicioso y nos diga a qué familia de ransomware pertenece la amenaza.

Una vez que tenemos esta información, podemos utilizar motores de búsqueda, como Google, para ver si existe alguna herramienta que nos permita recuperar los archivos. ¡Atención! Muchas páginas prometen herramientas de descifrado de archivos, pero en realidad buscan aprovecharse del pánico del usuario para instalar otro malware. Visita sitios web de confianza y ten en cuenta que, de hecho, para la mayor cantidad de ransomware, no hay forma de recuperar archivos una vez que se han visto afectados.

Otro consejo que puede seguir si ha sido víctima de ransomware es ejecutar un programa como Recuva o ShadowExplorer, ya que algunas muestras de ransomware obsoletas utilizan una eliminación de archivos insegura que permite a las víctimas recuperar archivos con herramientas de restauración de archivos. De todas, formas estas técnicas de recuperación de archivos ya son bien conocidas por los atacantes, y las nuevas versiones de ransomware garantizan que los archivos no se puedan recuperar de esta manera.

En cualquier caso, algo que siempre se debe hacer después de un incidente de seguridad es un análisis del mismo para determinar y corregir la situación futuro para prevenir nuevos ataques. La clave para luchar contra el ransomware es la prevención.

¿Cómo se protege un usuario hogareño del ransomware?

La forma más sencilla de proteger un equipo sin tener conocimientos técnicos es instalar una solución de seguridad que nos permita bloquear los intentos de explotar vulnerabilidades, malware o sitios web peligrosos.

Es importante actualizar todas las aplicaciones y sistemas operativos para asegurarse de que se instalan los últimos parches de seguridad. Además, tener una copia de seguridad actualizada de su información es crucial para hacer frente al ransomware.

También se recomienda tener cuidado con los archivos adjuntos de correo electrónico y otros enlaces que se pueden encontrar mientras se navega por Internet. Los sitios web falsos intentarán atraer la confianza de los usuarios haciéndose pasar por organizaciones de renombre, ofreciendo premios y promociones, o respondiendo al miedo de los usuarios. Por ejemplo, las campañas de propagación de malware han utilizado la pandemia para propagar troyanos haciéndose pasar por las autoridades sanitarias locales.

Como último consejo, el uso de herramientas de cifrado para archivos confidenciales como fotos, videos y documentos personales puede ayudar a evitar presiones adicionales si los atacantes deciden extorsionar a las víctimas con la amenaza de publicar los archivos en línea.

¿Cómo pueden protegerse las empresas contra esta amenaza?

El concepto de un sistema seguro está cambiando a medida que evolucionan la tecnología y la ciberdelincuencia. Hoy sabemos que la seguridad de la información es el resultado de una combinación de capas de protección cuidadosamente desplegadas. El acto aislado de instalar una solución de seguridad por sí solo no será suficiente, ya que la superficie de exposición de las empresas y las personas ha aumentado drásticamente.

Las empresas deben diseñar cuidadosamente los mecanismos de seguridad que necesitan implementar. Así, un correcto análisis de riesgos se traducirá en la instalación de soluciones de seguridad para la detección de infecciones (antimalware), la gestión de backups de seguridad, protección de procesos de autenticación en redes corporativas a través del factor, implementación de soluciones de prevención, detección y monitorización, cifrado de archivos, rendimiento de inteligencia de amenazas, entre otros. La adecuación de las herramientas necesarias para crear una arquitectura de seguridad profunda (es decir, seguridad por capas) será decisiva en la detección temprana de amenazas.

La adquisición de tecnologías de protección debe ir acompañada de una buena gestión de la seguridad a través de políticas y educación para los usuarios. Los planes deben diseñarse para audiencias específicas, construirse en base a los resultados esperados y estar diseñados para llamar la atención de su audiencia, buscando mantener a los diversos actores interesados en actualizarse.

En particular, algunos consejos básicos para protegerse contra los ransomware los siguientes:

• Tener una copia de seguridad actualizada: De esta forma es posible restaurar el sistema al instante anterior o desinfectar el ordenador y restaurar los documentos que se infectaron desde la copia de seguridad. Además, hay que tener en cuenta que la copia de seguridad puede verse comprometida si está conectada al ordenador donde se inició la infección, por lo que se debe elaborar una buena política de copias de seguridad para evitar esta situación.

• Instalar una solución de seguridad: Siempre es una buena idea tener un software antimalware y un firewall para identificar comportamientos sospechosos o amenazas. Los ciberdelincuentes suelen lanzar nuevas variantes de código conocido para evitar la detección, por lo que es importante contar con ambas capas de protección.

• Usar herramientas para cifrar archivos: El ransomware encripta principalmente archivos con ciertas extensiones, como imágenes, videos, bases de datos o documentos de oficina. Con una solución de cifrado, es posible hacer que un archivo sobreviva intacto a una infección de ransomware.

• Educar al personal sobre los riesgos de seguridad: Es necesario acompañar la inclusión de tecnologías de defensa con la creación de planes de formación para alertar a los empleados sobre los riesgos que existen en los y cómo evitarlos.

• Mostrar extensiones ocultas de forma predeterminada: A menudo, una de las formas en que el ransomware se presenta es en archivos con una doble extensión (por ejemplo, ".PDF.EXE"), aprovechando la configuración predeterminada de Windows para ocultar las extensiones de los tipos de archivos conocidos. Al modificar las opciones del sistema para ver las extensiones de archivo completas, será más fácil detectar archivos sospechosos.

• Escanear archivos adjuntos de correo electrónico: La mayoría de las infecciones de ransomware comienzan con un archivo adjunto de correo electrónico. Por esta razón, es importante establecer reglas en el servidor de correo para el análisis de archivos adjuntos y el bloqueo de mensajes que contengan archivos .EXE, . SCR, doble extensión o cualquier otra extensión perteneciente a un ejecutable.

• Deshabilitar los archivos que se ejecutan en las carpetas AppData y LocalAppData a través de las políticas locales o de red, o a través de un software de prevención de intrusiones. 

• Deshabilitear RDP cuando no se necesite: El ransomware puede acceder a las máquinas utilizando el protocolo de escritorio remoto, que permite a terceros acceder de forma remota. 

• Actualizar el software de la oficina, el celular y el dispositivo de red: Los ciberdelincuentes a menudo confían en software obsoleto con vulnerabilidades conocidas para usar un exploit e ingresar al sistema. Al gestionar la instalación frecuente de actualizaciones de seguridad, es posible aumentar las barreras de protección contra cualquier tipo de malware.

• Crear políticas de seguridad y comunicarlas a los empleados: La gestión a través de la creación de políticas de seguridad y la generación de canales de comunicación para que los empleados las conozcan y respeten ahorrará muchos dolores de cabeza al evitar infecciones que se propaguen por el uso de la Ingeniería Social.

Como sabemos que un sistema de protección de la información debe pensarse como un conjunto de capas superpuestas, en ESET ofrecemos diferentes productos dirigidos a de estas capas. En particular, desarrollamos el Kit Antiransomware, que es una combinación ideal de nuestros productos para hacer frente a este tipo de amenazas en entornos empresariales. El kit incluye nuestra solución integral Antimalware, herramientas para gestionar el cifrado y restaurar copias, así como un complejo conjunto de materiales educativos que las empresas pueden utilizar para educar a sus usuarios y crear planes de formación sólidos.