Home » Blog » ¿Cómo eliminar un ransomware y evitar una extorsión a tu empresa?
volver

¿Cómo eliminar un ransomware y evitar una extorsión a tu empresa?

ransomware

¿Qué es Ransomware? 

Ransomware es una palabra en inglés que sirve para denominar a un software malicioso que impide el acceso a ciertos archivos o ubicaciones del sistema operativo. A esto se le conoce como “secuestro de datos” y le permite a la persona detrás del ataque exigir un rescate. Es por ese motivo que el nombre del programa es ransom: “rescate”, y “ware”: diminutivo de software. 

El objetivo del ransomware es extorsionar a grandes empresas, obligándolas a efectuar  un pago para recuperar el acceso a sus dispositivos o archivos. Por ejemplo, una práctica común por parte de los cibercriminales es bloquear la pantalla de los dispositivos afectados o cifrar la información del disco. 

ransomware

Historia del virus ransomware 

La historia del ransomware surge en  1989, con el primer caso registrado de este tipo de ataque llamado el “Troyano del SIDA”. 

El ransomware se distribuyó dentro de miles de disquetes por correo postal, asegurando que contenía una base de datos interactiva sobre el SIDA, además de una lista de factores de riesgo asociados. Al momento que la persona ejecutaba el programa, el software malicioso desactivaba el acceso del usuario a su disco duro. En ese momento, el ransomware pedía un rescate, en forma de pago de licencia, por 189 dólares, que debía ser enviado a Panamá. La persona detrás de la creación de este malware fue un sujeto de nombre Joseph Popp. 

De ahí en adelante, el crecimiento de este tipo de ataques incrementó de manera exponencial, pasando de usar métodos de pago tradicionales a medios de pago que no se pueden rastrear, como las criptomonedas. 

De acuerdo a información de DarkTracer, una compañía encargada de dar seguimiento a las actividades relacionadas con el ransomware en la Dark Web, desde el 1 de enero de 2019 al 9 noviembre de 2021, 53 bandas de ransomware atacaron a 3,767 organizaciones. 

Los ataques con ransomware se centran en las economías occidentales, siendo los tres países más afectados Reino Unido, EE.UU. y Canadá. Aunque se ha visto un gran auge en los mercados emergentes de Asia y Latinoamérica

¿Cómo eliminar un ransomware? 

  1. ¡No pagues el rescate! La primera recomendación, avalada y recomendada por el FBI, es nunca pagar el rescate porque es una manera de motivar a los ciberdelincuentes a seguir realizando este tipo de ataques. Además, se pueden descargar desencriptadores gratuitos que ayudan a recuperar parte de los archivos afectados. 
  2. Contacta con especialistas en ciberseguridad. Si tu empresa cuenta con un equipo de TI, ellos pueden ayudar a utilizar el desencriptador apropiado de acuerdo al malware. Otra opción excelente es contratar a una empresa con experiencia en delitos cibernéticos, que no solo cuentan con los especialistas necesarios para resolver el problema, sino que además fortifican la seguridad de tu información y evitan nuevos episodios de ciberdelincuencia. 
  3. Refuerza la seguridad de tu información. Invertir en ciberseguridad es una apuesta segura en los tiempos que vivimos. Una empresa en expansión que no refuerza la protección de sus sistemas, está en constante riesgo de perder grandes cantidades de dinero.

¿Cómo ataca un ransomware? 

Un ransomware puede cifrar los datos, bloquear el sistema y congelar tu pantalla. El proceso comúnmente tiene tres etapas:

  1. Reconocimiento: Los ciberdelincuentes inspeccionan el sistema para tener un mejor entendimiento del dispositivo e identificar los potenciales archivos a atacar, que casi siempre serán aquellos con información confidencial. También buscan credenciales que le permitan moverse de manera lateral dentro de la red para propagarse a más dispositivos.  
  2. El cifrado: Posteriormente, codifican todas las estructuras de datos con el fin de dejarlas inutilizables hasta después de que se descifren. Los ciberdelincuentes usan métodos de cifrado que se revierten con una clave precisa que es ofrecida al afectado después de exigir un pago. 
  3. Pedido de rescate: Después de terminar el proceso de cifrado, aparece una nota de rescate con todos los pasos a seguir: monto, método de transferencia y plazos. Los ciberdelincuentes amenazan con borrar o cifrar de manera permanente los datos de no realizar el pago. 

Cómo se infecta un dispositivo con ransomware

Por correo electrónico 

Existen muchas maneras en las que el ransomware  infecta un dispositivo. Una de las más comunes en la actualidad es enviar el malware a través de un mensaje de spam; es decir, mensajes de correo electrónico no deseados infectados con el ramsonware. El mensaje puede contener archivos adjuntos (como PDF o Word) o enlaces a sitios web contaminados con el virus. 

Publicidad maliciosa

La publicidad maliciosa o malvertising es también otro de los métodos más comunes de ataque. Este método de infección se basa en el uso de la publicidad en línea para “entregar” el software malicioso sin que el usuario tenga interacción. Un ejemplo de este método es ser redirigido a servidores delictivos cuando se está navegando por sitios legítimos sin siquiera haber hecho clic en algún anuncio. 

La función de estos servidores es clasificar los detalles de los dispositivos de las víctimas junto a la ubicación, para elegir el malware más conveniente y enviarlo. Este tipo de ataque es llamado drive-by-download (por descarga oculta), porque todo el proceso sucede sin conocimiento del usuario. 

¿Cómo desencriptar un  ransomware?

Desencriptar un ransomware es posible, pero como se ha dicho anteriormente es necesario contar con las herramientas necesarias y específicas para atacar dicho problema. Aunque existe una gran variedad de desencriptadores no todos funcionan para un ransomware en específico. 

Aun cuando las herramientas que se consiguen online pueden llegar a ser muy útiles, sin la experiencia necesaria el problema puede empeorar. 

Asimismo, desencriptar la información es un primer paso, luego se debe recuperar la información dañada por el ciberataque. Para ello se requiere un especialista en TI.

En líneas generales, para desencriptar un ransomware con éxito es indispensable seguir los siguientes pasos:

  1. Entender con cuál ransomware se está lidiando, para saber cómo afecta al sistema y poder frenarlo correctamente.
  2. Evaluar si es posible romper el cifrado o no.
  3. Entender cuál fue el vector que originó el ataque para tomar acciones preventivas. 
  4. Corregir los programas de cifrado que no funcionen para prevenir retrasos en el proceso.
  5. Reparar los archivos dañados.

La importancia de herramientas dedicadas para cada ransomware recae en que  la desencriptación representa dos grandes problemas:

  • En caso de malwares complejos, las herramientas para darle solución a estos problemas suelen ser muy caras para las personas. 
  • El segundo problema recae en la dificultad de uso de los programas, por lo que son necesarios conocimientos informáticos avanzados . 

Es debido a esto que para obtener el mejor resultado siempre es recomendable recibir asesoría de especialistas en ciberseguridad o TI. 

Ransomware Perú 

En el año 2020, 1 de cada 3 ataques por medio de ransomware del mundo se efectuó en Latinoamérica, siendo afectadas empresas de países como Colombia, Brasil, Ecuador y Perú. Para finales del año 2021, el Perú fue el país con mayor cantidad de ataques de ransomware ( 23%). 

Los vectores primarios de infección en el país, así como de la región, son las vulnerabilidades en programas que están obsoletos, descontinuados o son pirateados. 

Otro de los factores que permiten la proliferación de este tipo de cibercrímenes es el uso de contraseñas simples.

Las principales víctimas del ransomware son entidades gubernamentales, sectores industriales claves, además de empresas que presentan malas prácticas de seguridad. 

Tipos de ransomware 

El uso de este tipo de malware se ha visto incrementado debido a la disponibilidad y fácil uso. Los ransomware se pueden clasificar en tres diferentes tipos:

  • Filecoders: También llamados cifrados, es un ransomware que ejecuta un cifrado del contenido de ficheros o del nombre. En este malware se usa la criptografía asimétrica, anteriormente se usaba la criptografía simétrica. Un ejemplo de este ransomware es el PGPCoder y AIDS.
  • Bloqueadores: La función principal de este tipo de ransomware es bloquear o simular un bloqueo del sistema operativo, mostrando un aviso de alerta pidiendo un  rescate. Es una práctica muy común que el mensaje sea emitido por una supuesta agencia gubernamental, alegando que se ha incumplido con la ley al tener contenido ilegal, a su vez piden pagar una multa para no ir a la cárcel. 
  • Híbridos: Los ransomware híbridos son una combinación de los dos anteriores, bloqueador y cifrador. El CryptoLocker es un ejemplo de este malware. 
  • Doxxing: Aunque no es una forma de ransomware en sí, es una seria amenaza digital que comúnmente lleva el pedido de un rescate. Por medio de un enlace o archivo malicioso se obtienen datos importantes como claves, números de tarjetas de créditos e información confidencial.
  • Scareware: Es un software falso que descubre supuestos problemas en los equipos y exige que se haga un pago para poder arreglarlos. El modus operandi del scareware es abrumar con ventanas emergentes y mensajes de alerta. Algunas veces también funcionan como screenlockers que bloquean el dispositivo.
  • Ransomware móvil: Aquí se incluyen todos los ransomware que afectan los dispositivos móviles. Estos se introducen por medio  de aplicaciones maliciosas o descargas drive-by. Este es un ransomware sin cifrado. 
  • Wiper: Es un malware que advierte con destruir todos los datos después de proceder con el pago.

Ransomware RaaS

El ransomware RaaS es una de las modalidades de mayor uso de este malware. Generalmente es muy parecido a otros de su tipo, pero incluso más sencillo de desarrollar 

Consiste en un paquete de software más información técnica para la ejecución del ciberataque, que es vendido a piratas informáticos aún si no tienen mucha experiencia. 

Esto demuestra el gran riesgo que implica este tipo de malware.

Ransomware: ¿cómo evitarlo?

  • El software de seguridad debe ser actualizado constantemente. Estos sistemas hacen análisis periódicos del sistema para detectar posibles vulnerabilidades.
  • También es indispensable contar con las últimas actualizaciones para las aplicaciones que se tengan instaladas y sus respectivos parches de seguridad.
  • Es importante tener cuidado para abrir archivos adjuntos de correos extraños o con los cuales no se tiene contacto seguido, así como proceder con extrema cautela si vamos a páginas que se desconocen o parecen poco confiables. 
  • Asegúrate que tu equipo de TI haga respaldos o copias de seguridad de todos los datos de la empresa.

¿Cómo protegerse contra el ransomware y el ciberchantaje?

  • El sistema de tu empresa debe procurar el uso de softwares originales.
  • La conexión a internet debe realizarse a través de una VPN, para ingresar de forma segura.
  • Las copias de seguridad deben ser almacenadas en dispositivos offline o en servidores en la nube de confianza con una estricta política de ciberseguridad, como Canvia.
  • Capacite al equipo de trabajo sobre los riesgos de la ciberseguridad y qué medidas de prevención deben tener en cuenta.
  • Usar una solución de seguridad con tecnologías de protección precisas para el combate de ransomware. Además, que esté configurada para detectar comportamientos sospechosos, así como la configuración de análisis del sistema y archivos. 

Ejemplos de ransomware

La gran mayoría de ataques de ransomware son dirigidos a PC con sistema operativo Windows, pero en los últimos años dispositivos con Mac, iOS y Android, también se han visto afectados. 

Ransomware para Windows

Los dispositivos que tiene este sistema operativo son los objetivos por excelencia. Primero porque es más fácil aprovecharse de ciertas vulnerabilidades de seguridad, además de tener muchos más usuarios a nivel mundial que Mac. 

WannaCry

En mayo del 2017, esta cepa se extendió por todo el mundo, llegando a afectar hasta 200.000 ordenadores con daños calculados en cientos de  miles de millones de dólares. Con WannaCry se pudo demostrar el gran alcance que puede tener un ataque de ransomware.

Petya

Esta cepa usa el método de screenlockers, además de cifrar la tabla maestra de archivos del disco duro para bloquear el dispositivo. Algunas versiones de este malware traía un ransomware filecoder convencional que se activaba de no poder Petya. Salió en 2016 y en 2017 se reconoció una versión más avanzada. 

GandCrab

GandCrab era un modelo de ransomware como servicio (RaaS), es decir, podía ser alquilado por aspirantes a ciberdelincuentes para obtener una parte de las ganancias. Esta cepa apareció en 2018 y afectó a 1.5 millones de usuarios, pero fue anulada en 2019 por una asociación de ciberseguridad integrada por entes públicos y privados. Gracias a que el descifrador se encuentra en línea de manera gratuita, ya no se considera una amenaza. 

CryptoLocker

Este ransomware cifraba los archivos en equipos de Windows para proceder a pedir un pago por la clave de descifrado. CryptoLocker engañaba a los usuarios para descargar archivos adjuntos corrompidos. Esta cepa se descubrió en septiembre de 2013 y sostuvo un ataque prolongado hasta mayo de 2014.

Ransomware para dispositivos móviles 

Los ataques de ransomware en dispositivos móviles han experimentado un gran crecimiento en los últimos años. La empresa de investigación Check Point descubrió un aumento del 50% interanual en ataques a teléfonos móviles y tablets en la primera mitad del 2019.

El medio por el cual se “infectan” los dispositivos móviles con ransomware es por portales de descarga de terceros, aunque ha habido casos donde se han logrado ocultar ransomware en aplicaciones de Google Play Store. 

Ransomware para dispositivos Apple

En comparación a Windows, los dispositivos Apple son menos propensos a los ataques de ransomware. Aunque se ha visto que los usuarios adeptos a este sistema operativo ha crecido, lo que ha llamado la atención de desarrolladores de malware. 

Se han descubierto programas de ransomware y spyware que fueron desarrollados por ingenieros especializados en macOS. De igual manera, se han registrado ataques a las cuentas de iCloud para enviar screenlocker con el servicio “Buscar mi iPhone”. 

Conclusión

Sin duda alguna, el ransomware en todas sus formas y presentaciones es una seria amenaza para la ciberseguridad de usuarios tanto del hogar como grandes empresas, instituciones gubernamentales y privadas. Es debido a este latente riesgo que es indispensable estar atento a las amenazas que estos malwares suponen y tomar la decisión correcta. 

Aunque no hay una fórmula perfecta para no verse afectado por algún ransomware, sí es verdad que se pueden seguir tres fundamentos básicos que ayudan a estar preparados para una de estas situaciones: estar siempre informado sobre los malwares, usar con gran cautela y discreción los dispositivos, contar un software de protección actualizado y contar con especialistas en el tema que puedan recuperar y proteger los datos de tu empresa.

Otra buena práctica es tener siempre copias de seguridad de todos los datos que hay en el dispositivo. Es importante saber que aunque se pueda desencriptar la información, cabe la posibilidad de que se dañe algún dato durante el proceso. 

También se recomienda a las víctimas de un ciberataque con ransomware, no pagar el rescate ni negociar con los ciberdelincuentes. Esto con el fin de no fomentar a la creación de nuevas cepas, además para que puedan ser financiadas nuevas actividades ilegales. 

últimos artículos
Ciberseguridad en la Cadena de Suministro

La importancia de la ciberseguridad en la cadena de suministro

En la actualidad, la cadena de suministro se enfrenta a desafíos significativos en términos de ciberseguridad. Desde la adquisición de materias primas hasta la entrega del producto final, cada paso en el proceso puede ser vulnerable a ataques cibernéticos. En CANVIA, entendemos la importancia de proteger cada eslabón de esta cadena para garantizar la integridad […]

Analítica predictiva para empresas

Analítica predictiva: transformando la toma de decisiones empresariales

En el vertiginoso mundo empresarial actual, la capacidad para anticipar el futuro y tomar decisiones informadas es más valiosa que nunca. La analítica predictiva, una rama avanzada del análisis de datos, se ha convertido en una herramienta esencial para las empresas que buscan obtener una ventaja competitiva. En CANVIA, estamos comprometidos con la innovación y […]

más artículos