👋 Agenda una reunión y empieza a habilitar nuevos negocios con tu ciberseguridad
Ingresa tu correo corporativo. Nuestras soluciones están diseñadas específicamente para empresas.

Al hacer clic en Enviar, aceptas que Delta Protect almacene y procese la información personal suministrada arriba de acuerdo a la política de privacidad establecida en el Aviso de Privacidad.

🙌 ¡Gracias por contactarnos!
📩 Te hemos enviado un correo con los siguientes pasos, no olvides revisar tu buzón
Oops! Something went wrong while submitting the form.

“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”

Sergio García
Engineer Manager

“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”

Pablo Padilla
Gerente TI

“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”

Jaime Zenizo
CEO & Partner

“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”

Ilse Fernández
Data and Information Management

“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”

Enrique Guzman
Chief Information and Security Officer

Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.

Manuel Andere
Chief Technology Officer

Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.

Erick Pérez
Director General

Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.

Juan Leonardo Hinojosa
Gerente de Ciberseguridad

"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”

Joaquin Rivera
Co-Founder & CEO - Kikoya

"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”

Paolo Rizzi
Co-Founder & CTO - minu

"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”

Alberto Navarro
Head of Product - Arkángeles
-
19 min.

Ataques de Ransomware: ¿Qué son y cómo responder a ellos?

Tabla de Contenidos
¿Qué es Delta Protect?

Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐

Conoce más

El ransomware es un tipo de malware que impide al usuario acceder a sus archivos personales o sistemas operativos de sus dispositivos móviles y ordenadores. Este software malicioso los encripta para solicitar al usuario un pago a cambio de la clave de descifrado, por lo general en criptomonedas.

Su nombre significa software de rescate: «ransom» viene de la traducción en inglés de «rescate» y «ware» de «software».

¿Cuáles son los tipos de ransomware?

Existen distintos tipos de ransomware:

Ransomware de cifrado o Filecoders

Es el que bloquea y confisca los archivos para cifrarlos, y la única forma de recuperarlos es pagando. Es el más peligroso porque cuando se apoderan de los archivos, no hay software de seguridad ni restauración del sistema que los devuelva, a menos que pagues. Sin embargo, no hay garantía de que los ciberdelincuentes realmente te regresen tus archivos cifrados y suelen poner fecha límite si no quieres que sean dañados, destruidos o bloqueados de manera permanente.

Ransomware de bloqueo o Screenlockers

Bloquea por completo la pantalla del dispositivo afectado, quedando inutilizable y aparece una ventana con un mensaje supuestamente de instituciones oficiales, informando que el usuario ha sido descubierto infringiendo la ley y que debe pagar una multa para poder desbloquear el dispositivo. Sin embargo, estas entidades no actuarían de esa forma, tampoco exigirían pagos y seguirían los canales legales adecuados.

Generalmente, estas amenazas de ransomware son más frecuentes en dispositivos móviles Android y también en ordenadores con Windows por tener la mayoría de usuarios en el mercado, sin embargo, los dispositivos de Apple tampoco se quedan fuera de la mira.

Scareware

Es el más inofensivo, puesto que se hace pasar por un software antivirus que asegura haber encontrado problemas en el dispositivo y brinda ofertas falsas de soporte técnico, donde la única forma de solucionarlo es pagando. Al ignorarlos puede que te sigan bombardeando con ventanas emergentes y mensajes de alerta, pero sus archivos se mantendrán igual de seguros.

Algunos de este tipo se comportan como screenlockers, bloqueando el dispositivo hasta que se realice el pago.

Leakware o doxware

Este ransomware amenaza al usuario con la publicación de sus datos personales si no paga el rescate. En su mayoría, los hackers no atacan archivos determinados, simplemente aprovechan el hecho de que muchos tienen información privada (nombres de usuario, contraseñas, cuentas bancarias, números de tarjetas, entre otros) en el dispositivo y los hace caer en un estado de pánico.

Ransomware como servicio (RaaS)

No es un tipo de ransomware como tal, el RaaS (Ransomware as a Service) es más bien un modelo de negocio muy popular en la dark web, donde los nuevos ciberdelincuentes, además de escribir su propio código malicioso, llegan a un acuerdo con un tercero para desarrollarles un software para ser distribuido y del pago del rescate obtiene un porcentaje.

¿Cómo se infecta el ransomware?

El ransomware puede ingresar a los dispositivos de distintas formas:

  • Kits de exploits: este tipo de malware aprovecha las vulnerabilidades de las aplicaciones, redes o dispositivos que estén conectados a la red o tengan un software desactualizado, para instalar Ransomware.
  • Phishing: empieza como un correo electrónico común, pero contiene un enlace o archivo adjunto que parecen provenir de organizaciones de confianza y cuando se abren, comienza una serie de fraudes e instalación de Malware en el equipo que puede terminar en un ataque de ransomware.
  • Malvertising: esos anuncios falsos en línea son conocidos como malvertising y sin un bloqueador de anuncios, pueden instalar malware en el dispositivo tanto haciéndoles clic como con solo ingresar a la página web, y esto facilita un ataque de Ransomware.
  • Descargas drive-by: los ciberdelincuentes pueden disponer de páginas web con malware, así cuando las visites se descargan de forma inmediata y oculta por el navegador, especialmente este navegador está desactualizado o es obsoleto.

En general, una vez que se descarga, este programa infecta el dispositivo y puede encriptar los archivos rápidamente o permanecer latente antes de actuar. Una vez que se desencadena su acción, puede actuar de distintas maneras dependiendo del tipo de ransomware que sea, pero en cualquiera de los casos, el software mostrará en la pantalla una nota de rescate con los datos para realizar el pago y el plazo en el que debe hacerse el mismo.

Infografía con la anatomía de un ataque de Ransomware

¿Debería pagar por el rescate de ransomware?

Los ataques de ransomware no necesariamente terminan con el pago. Alrededor del 46% de las veces, las empresas no recuperan el acceso total a la información después de pagar un rescate. La herramienta de descifrado no funciona por completo y las empresas no recuperan el acceso total a su información.

Además, es más probable que las empresas vuelvan a ser victimizadas después de pagar un rescate: algunas empresas enfrentan extorsiones dobles y triples en las que los ciberatacantes vuelven tras una empresa una y otra vez. Alrededor del 70% de las negociaciones son un caso de doble extorsión y el 80% de las víctimas sufren ataques posteriores al rescate.

Nuestro consejo es: nunca pagues por un rescate de ransomware a ciberdelincuentes. El pago de rescates también da a los cibercriminales incentivos para seguir atacando a las empresas. Si seguimos haciendo los pagos de rescate, esto no terminará. Los ataques seguirán propagándose y empeorarán.

¿Cómo responder a un ataque de ransomware?

Si crees que estás siendo víctima de un ataque de ransomware, estos son los pasos que debes seguir:

Determina si el ataque de ransomware es real

Existen muchos subtipos de malware que engañan a los usuarios haciéndoles creer que han descargado un ransomware. Sin embargo, si se hace una revisión completa, se podrá verificar que los archivos están intactos.

Busca extensiones de archivo sospechosas, es común que el ransomware cifre archivos para que queden inutilizables y comprueba si este problema solo ocurre en un dispositivo o si ha afectado a varios sistemas y ubicaciones.

Declara el evento de ransomware e inicia la respuesta al incidente

Una vez que los sistemas de seguridad determinen que se trata de ransomware, notifica de inmediato a los equipos ejecutivos, legales y de marketing, recursos humanos y otras partes interesadas importantes.

Documenta todo el proceso de respuesta a incidentes para que toda la evidencia se conserve para el enjuiciamiento o el análisis posterior al incidente.

Desconecta la red

Si se descubre que el ransomware está atacando a más de una ubicación o dispositivo, entonces desconecta la red. Puedes volver a habilitar la red más tarde durante el modo de recuperación y restauración. También intenta deshabilitar las conexiones de red de conmutadores y dispositivos conectados a ella.

Determina el alcance del ciberataque

Es hora de profundizar en la naturaleza del ciberataque y el alcance del daño. ¿Qué fue y qué no fue golpeado? ¿Qué lugares? ¿Qué sistemas operativos? ¿Qué tipos de archivos? ¿Qué se comprometió? ¿Se han robado datos? ¿Es más de una máquina? ¿Qué tipo de cepa de ransomware es (Ryuk, Locky, Dharma, SamSam, Conti, entre otros)?

Verifica los registros del software de seguridad para detectar vulnerabilidades informáticas, escanea en busca de malware, herramientas y secuencias de comandos que puedan haberse utilizado para filtrar datos y verifica las copias de seguridad y asegúrate de que estén intactas.

Los archivos de almacenamiento inesperadamente grandes (por ejemplo, zip, arc) que contienen información confidencial pueden indicar datos robados. Y para determinar si se han robado las credenciales, revisa las credenciales de usuario en sitios de volcado de contraseñas como haveibeenpwned.com o MyPwd.

Limita el daño inicial

A estas alturas, los equipos de seguridad deberían haber deshabilitado las redes, Internet incluido, para evitar que los piratas informáticos miren dentro de la red o controlen de forma remota el ransomware.

Algunos incidentes de ransomware también pueden ser el resultado de un compromiso anterior de la red sin resolver (es decir, infecciones de malware como TrickBot, Dridex o Emotet). Se debe tener cuidado para identificar y limpiar cualquier malware de este tipo para evitar un compromiso continuo, por lo que es una buena idea llamar a expertos.

Comparte la información entre el equipo

Los equipos de seguridad deben compartir lo que se sabe en toda la organización para que todos tengan una comprensión común de los daños infligidos. Asegúrate de que todos estén de acuerdo con la evaluación inicial.

Al final, el propósito es que todos estén en la misma página porque solo así pueden llegar a una respuesta efectiva a la situación.

Determina la respuesta al ransomware con ayuda de un profesional

En muchos casos, los usuarios se sentirán confundidos y nerviosos cuando su sistema informático se enfrente a un incidente. Busca ayuda de un profesional en ciberseguridad, lo que llamamos CISO, para que puedas evaluar las opciones y determinar la respuesta al ransomware, quizás haya que reconstruir los sistemas, pero es mejor que dejar vulnerabilidades expuestas.

Recupera el entorno tecnológico

Concéntrate primero en las aplicaciones de misión crítica para poner en marcha el negocio y reconstruye la infraestructura (DNS, esquema de direcciones IP, DHCP) para asegurarte de que los sistemas de seguridad de TI sean ejecutados y supervisados tan pronto como se conecte.

Restablece todas las contraseñas del sistema, de inicio de sesión y de correo electrónico (suponiendo que todas las contraseñas hayan sido robadas). Recomendamos utilizar administradores de contraseñas comerciales (como Keeper) y que nunca usen la misma contraseña dos veces.

Evita realizar la recuperación en sistemas que hayan sido afectados y en vez de eso, realiza una copia de datos de ese disco duro y pasa a la recuperación. Por último, haz pruebas unitarias a gran escala antes de una implementación completa, así pruebas los sistemas y las aplicaciones para determinar si funcionan como se espera.

¿Se puede prevenir un ataque de ransomware?

Como primer paso, haz de los problemas que condujeron al incidente del ransomware una prioridad, ya que la prevención siempre será mejor y más barata que la recuperación.

  • Realiza frecuentemente una copia de seguridad de tu sistema y tus datos, así los tienes siempre actualizados.
  • Instala un antimalware y un firewall para identificar cualquier conducta sospechosa en tiempo real, como Apolo.
  • Utiliza una herramienta con autenticación multifactor para tener tus archivos cifrados, lo que impide que el ransomware los reconozca y los bloquee.
  • Usa un bloqueador de anuncios en tu navegador para evitar el malvertising y las descargas sospechosas.
  • Identifica si estás recibiendo contenido extraño en tu correo electrónico o en otras plataformas de mensajería.
  • Capacita a tu equipo sobre estos riesgos y cómo evitarlos.

El ransomware no tiene un solo objetivo en la mira, puede dirigirse a personas específicas, como a empresas pequeñas o grandes, por lo que entender cómo funciona, cuáles son sus tipos y de qué manera evitarlos, te ayudará a ser tu propio anti-ransomware y defenderte mejor contra él

Historia y ejemplos de ransomware

El primer ransomware del que se tiene registro ocurrió en 1989 y se le conoce como PC Cyborg o AIDS, haciendo referencia al SIDA en inglés. Este encriptaba todos los archivos de la unidad de almacenamiento “C” en Windows y luego forzaba al usuario a renovar su licencia por 189 dólares. Sin embargo, no era una gran amenaza para quiénes sabían de informática.

A partir de ese momento, han surgido nuevas variantes de ransomware cada vez más difíciles de eliminar. En el año 2004, el ransomware GpCode aplicó un algoritmo de cifrado RSA (Rivest, Shamir y Adleman) débil para incautar archivos a cambio de un rescate. Luego, en el 2007 surgió un nuevo tipo de ransomware llamado WinLock, que en vez de encriptar archivos, bloqueaba los ordenadores y controlaba la pantalla del usuario exigiendo el pago a través de SMS para eliminarlo.

En el 2012, con el desarrollo de los programas de ransomware como Reveton, empezaron los ciberataques que se hacían pasar por organismos policiales. Bloqueaban el uso de los ordenadores y mostraba una página aparentemente policial, denunciando al usuario culpable de diferentes crímenes. La mayoría de ellos abarcaba un pago de 100 a 3.000 dólares.

CryptoLocker renovó el mundo del ransomware de cifrado en 2013; empleó un cifrado de nivel militar almacenando la clave de desbloqueo en un servidor remoto, lo que hizo que fuera imposible para los usuarios recuperar sus datos a menos que pagaran.

Este tipo de ransomware de cifrado se sigue usando hoy en día y ha logrado ser muy eficaz para que los ciberdelincuentes consigan dinero. Ransomware como WannaCry en mayo de 2017 o Petya en junio de 2017, hicieron caer a usuarios determinados y grandes empresas de todo el mundo.

Al terminar el 2018, apareció el ransomware Ryuk con numerosos ataques en contra de Estados Unidos, donde primero fueron infectados con Emotet o Trickbot, dos troyanos que se utilizan para transmitir otro malware como Ryuk.

Durante el 2019 en México, la empresa petrolera estatal Pemex sufrió un ataque de ransomware llamado DoppelPaymer que exigía un rescate de $4.9 millones de dólares.

La Lotería Nacional fue víctima del segundo ciberataque en contra de una institución del gobierno en el 2021. Este ataque fue dirigido por Avaddon, uno de los grupos de hackers más poderosos que actualmente amenaza a varios países de Latinoamérica como México, Brasil, Perú y Chile.

Según un estudio de empresas realizado en México durante el año pasado, 148 de 200 compañías fueron víctimas de este tipo de ataque, donde el 57% de ellas la información fue cifrada por el ransomware, pero aunque algunas pudieron contrarrestar el ataque, el 37% tuvo que pagar la extorsión.

Y para este año, México registró más de 80 mil millones de intentos de ciberataques, siendo uno de los países con mayor promedio internacional y en Latinoamérica el que más ataques de ransomware ha sufrido.

Si tienes un incidente de ciberseguridad, en Delta Protect contamos con profesionales para ayudarte a hacer frente. Nuestro servicio de ciberseguridad puede ayudar a recuperar los datos y analizar el ataque para evitar que suceda de nuevo.

Escrito por:
Juan Armando Gómez
Head of Cybersecurity

Cyber Security researcher y profesional en tecnologías de la información con una fuerte preocupación por la privacidad y los derechos digitales. Como Hacker Ético y Purple Teamer, desarrollando e implementando controles y evaluaciones de seguridad basados en amenazas reales (“Threat-informed defense”), maximizando la operatividad y costos de implementación. Especialista en tecnologías Cloud e infraestructura, incluyendo arquitectura, evaluaciones, mejores prácticas, deployments y seguridad operacional.

👋 ¡Déjanos tu correo
para tener acceso al E-Book!
🙌 ¡Gracias por dejarnos tu correo!

Si el E-Book no se descarga automaticamente, haz click 👉 aquí.
Oops! Something went wrong while submitting the form.