Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
El ransomware es un tipo de malware que impide al usuario acceder a sus archivos personales o sistemas operativos de sus dispositivos móviles y ordenadores. Este software malicioso los encripta para solicitar al usuario un pago a cambio de la clave de descifrado, por lo general en criptomonedas.
Su nombre significa software de rescate: «ransom» viene de la traducción en inglés de «rescate» y «ware» de «software».
Existen distintos tipos de ransomware:
Es el que bloquea y confisca los archivos para cifrarlos, y la única forma de recuperarlos es pagando. Es el más peligroso porque cuando se apoderan de los archivos, no hay software de seguridad ni restauración del sistema que los devuelva, a menos que pagues. Sin embargo, no hay garantía de que los ciberdelincuentes realmente te regresen tus archivos cifrados y suelen poner fecha límite si no quieres que sean dañados, destruidos o bloqueados de manera permanente.
Bloquea por completo la pantalla del dispositivo afectado, quedando inutilizable y aparece una ventana con un mensaje supuestamente de instituciones oficiales, informando que el usuario ha sido descubierto infringiendo la ley y que debe pagar una multa para poder desbloquear el dispositivo. Sin embargo, estas entidades no actuarían de esa forma, tampoco exigirían pagos y seguirían los canales legales adecuados.
Generalmente, estas amenazas de ransomware son más frecuentes en dispositivos móviles Android y también en ordenadores con Windows por tener la mayoría de usuarios en el mercado, sin embargo, los dispositivos de Apple tampoco se quedan fuera de la mira.
Es el más inofensivo, puesto que se hace pasar por un software antivirus que asegura haber encontrado problemas en el dispositivo y brinda ofertas falsas de soporte técnico, donde la única forma de solucionarlo es pagando. Al ignorarlos puede que te sigan bombardeando con ventanas emergentes y mensajes de alerta, pero sus archivos se mantendrán igual de seguros.
Algunos de este tipo se comportan como screenlockers, bloqueando el dispositivo hasta que se realice el pago.
Este ransomware amenaza al usuario con la publicación de sus datos personales si no paga el rescate. En su mayoría, los hackers no atacan archivos determinados, simplemente aprovechan el hecho de que muchos tienen información privada (nombres de usuario, contraseñas, cuentas bancarias, números de tarjetas, entre otros) en el dispositivo y los hace caer en un estado de pánico.
No es un tipo de ransomware como tal, el RaaS (Ransomware as a Service) es más bien un modelo de negocio muy popular en la dark web, donde los nuevos ciberdelincuentes, además de escribir su propio código malicioso, llegan a un acuerdo con un tercero para desarrollarles un software para ser distribuido y del pago del rescate obtiene un porcentaje.
El ransomware puede ingresar a los dispositivos de distintas formas:
En general, una vez que se descarga, este programa infecta el dispositivo y puede encriptar los archivos rápidamente o permanecer latente antes de actuar. Una vez que se desencadena su acción, puede actuar de distintas maneras dependiendo del tipo de ransomware que sea, pero en cualquiera de los casos, el software mostrará en la pantalla una nota de rescate con los datos para realizar el pago y el plazo en el que debe hacerse el mismo.
Los ataques de ransomware no necesariamente terminan con el pago. Alrededor del 46% de las veces, las empresas no recuperan el acceso total a la información después de pagar un rescate. La herramienta de descifrado no funciona por completo y las empresas no recuperan el acceso total a su información.
Además, es más probable que las empresas vuelvan a ser victimizadas después de pagar un rescate: algunas empresas enfrentan extorsiones dobles y triples en las que los ciberatacantes vuelven tras una empresa una y otra vez. Alrededor del 70% de las negociaciones son un caso de doble extorsión y el 80% de las víctimas sufren ataques posteriores al rescate.
Nuestro consejo es: nunca pagues por un rescate de ransomware a ciberdelincuentes. El pago de rescates también da a los cibercriminales incentivos para seguir atacando a las empresas. Si seguimos haciendo los pagos de rescate, esto no terminará. Los ataques seguirán propagándose y empeorarán.
Si crees que estás siendo víctima de un ataque de ransomware, estos son los pasos que debes seguir:
Existen muchos subtipos de malware que engañan a los usuarios haciéndoles creer que han descargado un ransomware. Sin embargo, si se hace una revisión completa, se podrá verificar que los archivos están intactos.
Busca extensiones de archivo sospechosas, es común que el ransomware cifre archivos para que queden inutilizables y comprueba si este problema solo ocurre en un dispositivo o si ha afectado a varios sistemas y ubicaciones.
Una vez que los sistemas de seguridad determinen que se trata de ransomware, notifica de inmediato a los equipos ejecutivos, legales y de marketing, recursos humanos y otras partes interesadas importantes.
Documenta todo el proceso de respuesta a incidentes para que toda la evidencia se conserve para el enjuiciamiento o el análisis posterior al incidente.
Si se descubre que el ransomware está atacando a más de una ubicación o dispositivo, entonces desconecta la red. Puedes volver a habilitar la red más tarde durante el modo de recuperación y restauración. También intenta deshabilitar las conexiones de red de conmutadores y dispositivos conectados a ella.
Es hora de profundizar en la naturaleza del ciberataque y el alcance del daño. ¿Qué fue y qué no fue golpeado? ¿Qué lugares? ¿Qué sistemas operativos? ¿Qué tipos de archivos? ¿Qué se comprometió? ¿Se han robado datos? ¿Es más de una máquina? ¿Qué tipo de cepa de ransomware es (Ryuk, Locky, Dharma, SamSam, Conti, entre otros)?
Verifica los registros del software de seguridad para detectar vulnerabilidades informáticas, escanea en busca de malware, herramientas y secuencias de comandos que puedan haberse utilizado para filtrar datos y verifica las copias de seguridad y asegúrate de que estén intactas.
Los archivos de almacenamiento inesperadamente grandes (por ejemplo, zip, arc) que contienen información confidencial pueden indicar datos robados. Y para determinar si se han robado las credenciales, revisa las credenciales de usuario en sitios de volcado de contraseñas como haveibeenpwned.com o MyPwd.
A estas alturas, los equipos de seguridad deberían haber deshabilitado las redes, Internet incluido, para evitar que los piratas informáticos miren dentro de la red o controlen de forma remota el ransomware.
Algunos incidentes de ransomware también pueden ser el resultado de un compromiso anterior de la red sin resolver (es decir, infecciones de malware como TrickBot, Dridex o Emotet). Se debe tener cuidado para identificar y limpiar cualquier malware de este tipo para evitar un compromiso continuo, por lo que es una buena idea llamar a expertos.
Los equipos de seguridad deben compartir lo que se sabe en toda la organización para que todos tengan una comprensión común de los daños infligidos. Asegúrate de que todos estén de acuerdo con la evaluación inicial.
Al final, el propósito es que todos estén en la misma página porque solo así pueden llegar a una respuesta efectiva a la situación.
En muchos casos, los usuarios se sentirán confundidos y nerviosos cuando su sistema informático se enfrente a un incidente. Busca ayuda de un profesional en ciberseguridad, lo que llamamos CISO, para que puedas evaluar las opciones y determinar la respuesta al ransomware, quizás haya que reconstruir los sistemas, pero es mejor que dejar vulnerabilidades expuestas.
Concéntrate primero en las aplicaciones de misión crítica para poner en marcha el negocio y reconstruye la infraestructura (DNS, esquema de direcciones IP, DHCP) para asegurarte de que los sistemas de seguridad de TI sean ejecutados y supervisados tan pronto como se conecte.
Restablece todas las contraseñas del sistema, de inicio de sesión y de correo electrónico (suponiendo que todas las contraseñas hayan sido robadas). Recomendamos utilizar administradores de contraseñas comerciales (como Keeper) y que nunca usen la misma contraseña dos veces.
Evita realizar la recuperación en sistemas que hayan sido afectados y en vez de eso, realiza una copia de datos de ese disco duro y pasa a la recuperación. Por último, haz pruebas unitarias a gran escala antes de una implementación completa, así pruebas los sistemas y las aplicaciones para determinar si funcionan como se espera.
Como primer paso, haz de los problemas que condujeron al incidente del ransomware una prioridad, ya que la prevención siempre será mejor y más barata que la recuperación.
El ransomware no tiene un solo objetivo en la mira, puede dirigirse a personas específicas, como a empresas pequeñas o grandes, por lo que entender cómo funciona, cuáles son sus tipos y de qué manera evitarlos, te ayudará a ser tu propio anti-ransomware y defenderte mejor contra él
El primer ransomware del que se tiene registro ocurrió en 1989 y se le conoce como PC Cyborg o AIDS, haciendo referencia al SIDA en inglés. Este encriptaba todos los archivos de la unidad de almacenamiento “C” en Windows y luego forzaba al usuario a renovar su licencia por 189 dólares. Sin embargo, no era una gran amenaza para quiénes sabían de informática.
A partir de ese momento, han surgido nuevas variantes de ransomware cada vez más difíciles de eliminar. En el año 2004, el ransomware GpCode aplicó un algoritmo de cifrado RSA (Rivest, Shamir y Adleman) débil para incautar archivos a cambio de un rescate. Luego, en el 2007 surgió un nuevo tipo de ransomware llamado WinLock, que en vez de encriptar archivos, bloqueaba los ordenadores y controlaba la pantalla del usuario exigiendo el pago a través de SMS para eliminarlo.
En el 2012, con el desarrollo de los programas de ransomware como Reveton, empezaron los ciberataques que se hacían pasar por organismos policiales. Bloqueaban el uso de los ordenadores y mostraba una página aparentemente policial, denunciando al usuario culpable de diferentes crímenes. La mayoría de ellos abarcaba un pago de 100 a 3.000 dólares.
CryptoLocker renovó el mundo del ransomware de cifrado en 2013; empleó un cifrado de nivel militar almacenando la clave de desbloqueo en un servidor remoto, lo que hizo que fuera imposible para los usuarios recuperar sus datos a menos que pagaran.
Este tipo de ransomware de cifrado se sigue usando hoy en día y ha logrado ser muy eficaz para que los ciberdelincuentes consigan dinero. Ransomware como WannaCry en mayo de 2017 o Petya en junio de 2017, hicieron caer a usuarios determinados y grandes empresas de todo el mundo.
Al terminar el 2018, apareció el ransomware Ryuk con numerosos ataques en contra de Estados Unidos, donde primero fueron infectados con Emotet o Trickbot, dos troyanos que se utilizan para transmitir otro malware como Ryuk.
Durante el 2019 en México, la empresa petrolera estatal Pemex sufrió un ataque de ransomware llamado DoppelPaymer que exigía un rescate de $4.9 millones de dólares.
La Lotería Nacional fue víctima del segundo ciberataque en contra de una institución del gobierno en el 2021. Este ataque fue dirigido por Avaddon, uno de los grupos de hackers más poderosos que actualmente amenaza a varios países de Latinoamérica como México, Brasil, Perú y Chile.
Según un estudio de empresas realizado en México durante el año pasado, 148 de 200 compañías fueron víctimas de este tipo de ataque, donde el 57% de ellas la información fue cifrada por el ransomware, pero aunque algunas pudieron contrarrestar el ataque, el 37% tuvo que pagar la extorsión.
Y para este año, México registró más de 80 mil millones de intentos de ciberataques, siendo uno de los países con mayor promedio internacional y en Latinoamérica el que más ataques de ransomware ha sufrido.
Si tienes un incidente de ciberseguridad, en Delta Protect contamos con profesionales para ayudarte a hacer frente. Nuestro servicio de ciberseguridad puede ayudar a recuperar los datos y analizar el ataque para evitar que suceda de nuevo.