El ransomware o secuestro de datos mediante cifrado de información es el malware que más perjuicios provoca y cuya evolución permanente hace que se tenga especial cuidado por sus altas cotas de efectividad. Instituciones sanitarias, universidades, e instituciones públicas son algunas de sus principales víctimas, pero nadie está a salvo de este tipo de ciberataque con el que peligra nuestra cartera y los negocios de las empresas. Los daños causados por un ataque de ransomware no solo afectan al bolsillo, sino a la operatividad de los servicios y al crédito de las organizaciones.
Índice de temas
¿Qué es el ransomware y cómo funciona?
El ransomware es un tipo de ataque que utilizan los criminales para obtener dinero de la víctima afectada. El malware se encarga de cifrar todos los archivos que considera interesantes (documentos, hojas de cálculo, fotos y muchos más). Después pide un rescate a cambio de la clave de cifrado y las instrucciones para descifrarlos.
En primer lugar, un atacante consigue un acceso inicial a la empresa, generalmente a través de la explotación de una vulnerabilidad, engañando a algún usuario, o a través de credenciales comprometidas. En este punto el atacante empezará a desplegar las herramientas necesarias para prevenir la detección, y escalar privilegios dentro de la infraestructura de la empresa.
Seguidamente el atacante intentará entender la infraestructura y moverse lateralmente dentro de esta (saltar entre máquinas que no requieren privilegios más elevados) para intentar descubrir donde se almacena la información sensible, y, si es posible, conseguir elevar privilegios, es decir, poder acceder a infraestructura que requiera permisos superiores a los que el atacante tiene en este momento.
Una vez localizada la joya de la corona de la empresa, el punto que contiene la información más sensible, el atacante empezará el proceso de exfiltración. Cogerá toda esta información y la mandará a un servidor remoto, fuera de la infraestructura de la empresa. Esta acción genera mucho ruido, generalmente son terabytes de datos moviéndose fuera de la infraestructura de la empresa en sistemas extremadamente críticos, lo cual debería alertar al equipo de seguridad de que algo está ocurriendo. Por desgracia, si este es el punto en el que nos encontramos en el momento de la detección, ya solo podemos hablar de mitigación, debido a que ya ha ocurrido el robo de datos, aunque solo de forma parcial.
Por último, cuando ha finalizado la transferencia de datos, el actor desplegará el ransomware en sí, cifrando toda la información y cantidad de equipos posible. En este punto es cuando la mayoría de empresas detectan la infección, ya que se paralizan los procesos de la empresa.
Historia del ransomware
Las raíces del ransomware datan de cuatro décadas, pero no fue hasta 2017, con la irrupción de Wannacry cuando irrumpió en nuestras vidas. En los 80, aparece el primer antecedente del ransomware, un programa malicioso llamado PC Cyborg, que encriptaba archivos del sistema y exigía un cheque por correo de rescate a cambio de la clave para desencriptar.
En los albores del siglo, aparecieron variantes como GpCode, con algoritmos más potentes y que exigían criptodivisas en el pago. Al poco tiempo, Cryptolocker, Wannacry y NotPetya entraron en escena mostrando un potencial devastador y con un alto impacto mediático.
Hace dos años las amenazas de ransomware se han ido sofisticando evolucionando a la doble y triple extorsión. Además, con herramientas de Ransomware as a Service permitegenerar ransomware sin necesidad de conocimientos y por una módica cantidad de dólares.
¿Como saber si estamos infectados de ransomware?
El ransomware es un tipo de malware cuyo fin es encriptar los datos de la máquina infectada y pedir un rescate por ellos por lo que es bastante evidente saber si hemos sido atacados con este tipo de carga maliciosa. Una de las primeras cosas que el usuario notará, seguramente, sea el hecho de no poder acceder a los archivos del disco ya que están cifrados.
Si la máquina objeto del ataque está protegida con algún tipo de solución de seguridad, tendremos que investigar la alerta y descubrir si algo ha sido bloqueado.
Generalmente, una pantalla a modo de alerta aparece en tu monitor, poniendo un precio a los archivos robados. En casos de grandes empresas, el precio es un punto de arranque, desde donde se comienza a negociar.
¿Cómo se infecta el ransomware?
Ahí varias formas de ser infectados por este malware. Lo más habitual es a través de archivos de Word o PDF adjuntos de correo de phishing aparentemente legítimos que contienen scripts o macros que se descargan y se ejecutan el ransomware cuando se abren.
También hay que tener especialmente cuidado con los enlaces desconocidos o sospechosos dentro de los mensajes de texto y con descargarse software pirateado o no confiable. Otra puerta de entrada bastante dañina son las vulnerabilidades provocadas por no actualizar el software. Es un imperativo para las organizaciones tener sus sistemas operativos y aplicaciones actualizadas con los parches necesarios para tapar posibles agujeros de la puerta de atrás (backdoor attacks).
Tipos de ransomware
Este tipo de ataques es tan rentable para los cibercriminales por lo que abundan sus variantes, normalmente clasificado por familias. El ransomware de cifrado (encrypting ransomware) es el más abundante, cifra los archivos y exige un rescate a cambio de proporcionar la llave de desencriptación.
Los bloqueadores de pantalla (screen blocker) bloquean el acceso al dispositivo y en sus mensajes se hacen pasar por agencias gubernamentales como el FBI. El BRM Ransomware infecta el sector de arranque del sistema operativo del disco duro e impide que el equipo se inicialice correctamente.
Existe un ransomware específico para dispositivos móviles (mobile ransomware) que afecta directamente a smartphones y tabletas. Asimismo, hay un ransomware basado en el navegador, que se ejecuta en el navegador web y bloquea el acceso a distintos sites.
Impacto del ransomware en individuos y organizaciones
Para los individuos son muchos los efectos perniciosos que puede causar un ataque de estas características. El primero, es la pérdida de fotos, documentos valiosos, vídeos y otros datos de alto valor personal. La extorsión financiera se convierte en un dilema muchas veces para la persona que se ve obligada a pagar si quiere recuperar sus bienes más preciados. Y lo que es todavía más grave: la violación de su privacidad, algunas variantes de ransomware amenazan con exponer datos confidenciales de una persona si no se paga el rescate.
Y colateralmente, un ataque de ransomware puede hacernos caer en la ansiedad y el estrés, debido a la incertidumbre de si se podrán recuperar esos datos o si irán a parar a manos de indeseables. De la misma forma, la recuperación de datos puede suponer un proceso largo y tedioso, que requiere un esfuerzo y tiempo adicionales.
Para las organizaciones, el impacto de un ataque de ransomware puede tener graves consecuencias. De entrada, pierden el acceso a datos críticos para su funcionamiento, paralizando su capacidad para operar y prestar servicios a sus clientes. El coste del rescate puede resultar muy oneroso y, además, no garantiza al cien por cien la recuperación de la información secuestrada.
El tiempo que lleva recuperarse de un ataque de ransomware puede causar un período prolongado de inactividad, los expertos hablan de unas tres semanas para la vuelta a la normalidad. El daño reputacional para la empresa puede también ser considerable, y que sus clientes pierdan su confianza depositada.
A esto hay que añadir los costes adicionales de recuperación y mitigación, contratación de profesionales en ciberseguridad, implementación de mejoras e inversión en soluciones de respaldo más robustas.
Dependiendo de la naturaleza de los datos afectados, las organizaciones pueden enfrentarse a sanciones legales y multas por no cumplir con regulaciones de protección de datos, como es el GDPR. Y como gran espada de Damocles, un ataque de ransomware grave puede amenazar la continuidad del negocio e incluso llevar a la quiebra de una compañía.
Medidas de prevención
El impacto del ransomware puede ser mitigado fomentando políticas de formación concienciación y flujos de trabajo regulares. Es clave concienciar a los empleados para que entiendan que no deben abrir archivos adjuntos ni hacer clic en enlaces de fuentes no confiables. Proporcionar capacitación periódica ayuda a comprender las mejores prácticas para proteger sus sistemas y datos.
Las organizaciones deben implementar políticas claras de ciberseguridad que aborden el uso de dispositivos personales, el acceso a la red y la gestión de datos sensibles. También es aconsejable que las organizaciones puedan realizar ejercicios de simulación de ataques de ransomware para entrenar a su personal sobre cómo responder eficazmente en caso de un ataque real.
Pasos para recuperarse de un ataque de ransomware, ¿Cómo se elimina?
Una vez sufrido el ataque, lo primero es contactar con un equipo de respuesta a incidentes. Lo más crítico es asegurarse de que se identifica el vector de acceso del mismo, y cualquier puerta trasera que haya podido dejar para cerrar el acceso a la empresa. No sería la primera vez que después de recuperar los datos de un ataque de ransomware, el atacante vuelve a cifrarlos porque todavía tiene acceso a la misma. También es importante entender qué tipo de información han podido robar, y notificar a los usuarios y autoridades pertinentes en caso de que sea de carácter sensible.
El siguiente paso es la restauración de los procesos críticos de negocio, restaurando copias de seguridad y reestableciendo las máquinas que forman parte de estos. Precisamente por este punto es importante tener copias de seguridad actualizadas, para minimizar la perdida de datos y el impacto al negocio.
Por último, se restauran el resto de equipos afectados y se reestablece la normalidad en la empresa.
Tendencias y evolución del ransomware
En 2020 los grupos de ransomware empezaron a utilizar una nueva técnica de extorsión que cambió el paradigma del cibercrimen, que la industria denominó doble extorsión, y en la que los grupos de ransomware no solo cifran los datos, sino que también los roban y amenazan con publicarlo en caso de que la empresa no pague.
Poco después aparecieron grupos utilizando la ‘triple’ extorsión (la extorsión alcanza a clientes y proveedores de la víctima); donde además lanzan ataques de denegación de servicio contra las compañías hasta que estas ceden a las condiciones de los cibercriminales.
Durante estos últimos años, los grupos de ransomware han evolucionado hacia técnicas y sistemas que mejoran el beneficio económico obtenido por los mismos, pero gracias a la evolución de las medidas de seguridad, las herramientas y equipos cada vez detectan las intrusiones más rápido, lo que está forzando a los grupos de ransomware a ser más agresivos, y cometer más errores.
Se estima que en los últimos años los ataques de ransomware aumentaron un 105% y que en torno a 4.000 se llevan a cabo cada día. Casi el 50% de las empresas informaron de pérdidas por un ataque de este tipo el año pasado. Una amenaza muy presente en la red sobre la que es importante mantenerse informado y protegido. Eso pasa por seguir la evolución de cómo los hackers utilizan los ataques ransomware para amenazar la ciberseguridad personal en los últimos años.
Además de ese aumento de las demandas de pago, aparecen nuevos tipos de ransomware. La estimación de pagos en este tipo de extorsiones se calcula en más de 6 millones de dólares, sólo en Estados Unidos. Y los dispositivos móviles se han convertido en un nuevo objetivo de los ataques de este tipo. Por ejemplo, más de 10 millones de personas perdieron dinero y sufrieron la exposición de sus datos tras ser engañadas por una estafa de ransomware dirigida a usuarios del sistema operativo Android.
El futuro se presenta complicado, “los ciberataques de ransomware se duplican a medida que se imponen las tácticas de inteligencia artificial, y aumentan en eficacia y rapidez de ejecución. Es imprescindible dotar a los equipos de ciberseguridad de empresas y AAPP con herramientas de última generación que incorporen inteligencia artificial orientada a la protección corporativa”, como explica Miguel López, director general de Barracuda España.
Casos famosos de ataques de ransomware y lecciones aprendidas
Para incluir todos los grandes ataques de ransomware sería necesaria una enciclopedia, pero cierto es que algunos incidentes han tenido una relevancia mediática superior por su alcance o por el momento que sucedieron.
Se estima que en los últimos años los ataques de ransomware aumentaron un 105% y que en torno a 4.000 se llevan a cabo cada día
El ataque de Wannacry un ataque a nivel global que alcanzó a Telefónica, BBVA, Vodafone… supuso todo shock en nuestro país, un despertar de un problema del que vivíamos plácidamente alejados. El ransomware WannaCry explotó una vulnerabilidad en los sistemas Windows llamada EternalBlue, que había sido previamente utilizada por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y luego filtrada por un grupo de hackers llamado Shadow Brokers. WannaCry cifraba los archivos de las máquinas infectadas y exigía un rescate en bitcoin a cambio de la clave para desbloquear los datos.
Otro impacto informativo en nuestro país fue cuando el SEPE sufrió un bloqueo que lo tuvo inoperativo una buena temporada. De origen presumiblemente ruso, se piensa que el ciberataque se produjo en represalia por tensiones diplomáticas entre España y Rusia. Varios ayuntamientos españoles vienen siendo víctimas con regularidad de ataques que suelen producirse en viernes con el fin de paralizar toda la actividad de los consistorios.
También tuvo gran alcance global el que sufrió en mayo de 2021, Colonial Pipeline, operadora de oleoductos para el suministro de combustible en la costa este de Estados Unidos. El grupo de ransomware DarkSide se atribuyó la responsabilidad del ataque. Como resultado, Colonial Pipeline se vio obligada a cerrar parte de su infraestructura para contener la amenaza y evitar la propagación del ransomware. Las malas lenguas dicen que se pagó rescate, aunque la Administración Biden lo prohíbe taxativamente.
Ese mismo año, el FBI emitió un comunicado anunciando que la cárnica brasileña JBS Foods fue atacada por el ransomware REvil, ejecutado por Pinchy Spider, un grupo de cibercriminales que opera su plataforma de ransomware as a service fuera de Rusia.
Es larga la lista de damnificados es casi infinita: EDP, Cognizant, Grubman Shire Meiselas & Sacks (bufete con clientes famosos que se vieron afectados como Bruce Springsteen y Lady Gaga), Universidad Estatal de Michigan, Honda, Orange, Manchester United FC…
En los últimos tiempos, los ataques de ransomware se han vuelto más selectivos a la hora de elegir quiénes son las víctimas y a cuánto ascienden los rescates. Hay que tratar de adelantarse a los atacantes y no bajar la guardia.
Educación en la lucha contra el ransomware
La prevención y detección comienza con la educación. Los profesionales de ciberseguridad nos debemos de responsabilizar de difundir buenas prácticas y advertencias alrededor de este tipo de situaciones. Cosas tan sencillas como tener cuidado con el phishing y los correos electrónicos sospechosos, actualizar los sistemas operativos y aplicaciones, tener copias de seguridad de los datos, etc. son las que nos ayudarán a estar prevenidos y evitar que un ransomware nos pueda llegar a paralizar una organización o afectar a nuestros dispositivos personales.
La mejor forma de luchar contra el ransomware no es centrarse en el ransomware en sí, sino en prevenir ese acceso inicial a la empresa, y como hemos comentado con anterioridad, esto ocurre principalmente de dos formas: a través de usuarios, a través de vulnerabilidades, y a través de credenciales comprometidas.
La mejor forma de reducir el riesgo que suponen estos tres vectores de acceso es mejorar la higiene cibernética de la compañía. Esto implica reducir la cantidad de servidores y servicios desactualizados, educar a los empleados para que puedan identificar posibles estafas y phishings, y que todos los empleados entienden y conocen los riesgos que supone un servidor desactualizado, o clicar en un link desconocido.
Herramientas y tecnologías para combatir el ransomware
Afortunadamente contamos con herramientas y tecnologías para combatir el ransomware. Empezando con lo básico, es necesario contar con firewalls (para bloquear el tráfico malicioso y reducir la superficie de ataque), antivirus y antimalware (totalmente actualizados), sistemas de detección de intrusiones (IDS) y de prevención de intrusiones (IPS), que monitorizan la red en busca de actividades sospechosas y sistemas de prevención de fuga de datos (DLP).
Es altamente recomendable realizar copias de seguridad frecuentes de los datos críticos almacenándolos en lugares seguros, preferiblemente en la nube o en un dispositivo desconectado de la red. Ha que mantener todo el software y los sistemas operativos actualizados con los últimos parches de seguridad para corregir vulnerabilidades conocidas.
Y por supuesto, contar con filtrado de correo electrónico, herramientas de control de acceso de los usuarios y reducción de privilegios, análisis de comportamiento anómalo, tecnologías de respuesta y recuperación de desastres, utilizando honeypots y señuelos para atraer a los atacantes y aprender de su modus operandi. También cabe considerar el uso de soluciones de antiransomware específicas que pueden detectar y detener el cifrado de archivos en tiempo real.
Aspectos legales y éticos relacionados con el ransomware
Los ataques de ransomware son un problema grave para las empresas y la sociedad en general, pero debido a su naturaleza son muy difíciles de perseguir desde un punto de vista legal, y para los atacantes representan una forma ‘fácil’ de conseguir dinero con limitadas repercusiones.
Generalmente, los grupos actúan desde países sin extradición, con los que es difícil colaborar en una investigación, y suelen incluir mecanismos para evitar atacar a sus países de origen. Por ejemplo, muchos de los grupos que actúan desde Rusia, detectan si la máquina que están infectando es rusa, y de ser así evitan la infección. Otros países que dan cobertura y facilitan la impunidad de grupos de ransomware son Corea del Norte y China.
Recomendaciones para mantener la seguridad frente al ransomware en el futuro
- Concienciación de los empleados: las organizaciones deben capacitar a sus empleados sobre las amenazas de ransomware y cómo reconocer correos electrónicos de phishing y enlaces maliciosos. Los empleados deben entender que no deben abrir archivos adjuntos ni hacer clic en enlaces de fuentes no confiables.
- Formación en ciberseguridad: proporcionar capacitación periódica en ciberseguridad ayuda a los empleados a comprender las mejores prácticas para proteger sus sistemas y datos. Esto puede incluir el uso de contraseñas fuertes, la autenticación de doble factor y la identificación de comportamientos sospechosos.
- Políticas de seguridad sólidas: las organizaciones deben implementar políticas claras de ciberseguridad que aborden el uso de dispositivos personales, el acceso a la red y la gestión de datos sensibles. Estas políticas deben ser comunicadas y reforzadas regularmente.
- Actualización y parcheo de software: mantener el software actualizado y aplicar parches de seguridad ayuda a prevenir la explotación de vulnerabilidades conocidas que los ciberdelincuentes pueden utilizar para introducir ransomware.
- Copias de seguridad regulares: es algo crítico. Realizar copias de seguridad regulares de los datos críticos y almacenar esas copias fuera de línea o en ubicaciones seguras puede ayudar a recuperar los datos sin pagar el rescate en caso de ataque.
- Desconfiar de solicitudes de rescate: educar a las víctimas potenciales a no pagar el rescate en caso de infección por ransomware es crucial. Pagar el rescate no garantiza la recuperación de los archivos y solo alienta a los atacantes a continuar con sus actividades maliciosas.
- Colaboración y recursos compartidos: fomentar la colaboración entre organizaciones y la comunidad de seguridad cibernética puede ayudar a recopilar y compartir información sobre nuevas variantes de ransomware y técnicas de ataque.
- Participación en ejercicios de simulación: las organizaciones pueden realizar ejercicios de simulación de ataques de ransomware para entrenar a su personal sobre cómo responder eficazmente en caso de un ataque real.
- Recursos y materiales educativos: ofrecer recursos online, como guías, vídeos y webinars sobre ransomware y ciberseguridad en general, puede ayudar a las personas a mantenerse informadas y actualizadas sobre las amenazas actuales.
Cómo crear un ransomware
El ecosistema del cibercrimen ha evolucionado rápidamente en los últimos años. Donde antes podíamos encontrar a ciberdelincuentes generalistas con un alto nivel técnico, capaces de desarrollar, desplegar, gestionar su propia infraestructura, y buscar vulnerabilidades, ahora tenemos especialistas en distintos campos, y ciberdelincuentes con niveles técnicos muy dispares, pero aun así capaces de causar grandes daños.
En el caso de ransomware, unos años atrás los ataques eran perpetrados por personas o grupos en su plenitud. El mismo grupo desarrollaba o modificaba el ransomware de su elección, encontraba una empresa objetivo a la que podía atacar, se infiltraba en la misma, desplegaba el ransomware y gestionaba el pago resultante de la extorsión.
Hoy en día el modelo de negocio ha evolucionado para convertirse en una industria de productos y servicios, existen grupos dedicados únicamente al desarrollo y mantenimiento del ransomware y su infraestructura, que a su vez se dedican a buscar “afiliados”, los responsables de desplegar el ransomware en sus futuras víctimas, y estos a su vez compran el acceso a estas empresas a lo que en la industria se conoce como IAB – Initial Access Broker, o Intermediarios de Acceso Inicial.
Este catálogo de servicios también complica enormemente la atribución. En grupos que utilizan afiliados, es prácticamente imposible distinguir quien ha realizado el ataque realmente, y en la mayoría de casos se atribuye al grupo en sí, a pesar de que no han estado involucrados en el ataque directamente.