Vea cómo Zero Trust Exchange puede ayudarle a aprovechar las tecnologías de la nube, movilidad, IA, IoT y OT para volverse más ágil y reducir el riesgo
Vea cómo Zero Trust Exchange puede ayudarle a aprovechar las tecnologías de la nube, movilidad, IA, IoT y OT para volverse más ágil y reducir el riesgo
Proteja el trabajo desde cualquier lugar y los datos y brinde la mejor experiencia posible a los usuarios
Ha llegado el momento de proteger mejor sus datos de ServiceNow y responder con mayor celeridad a los incidentes de seguridad
Proteja y potencie su negocio aprovechando la plataforma, los procesos y las habilidades del personal para acelerar sus iniciativas de confianza cero
Zscaler: líder en el Gartner® Magic Quadrant™ para Security Service Edge (SSE) Zscaler se acaba de colocar en la posición más alta en capacidad de ejecución
Conozca desde dentro las últimas investigaciones de seguridad y las mejores prácticas
Conozca desde dentro las últimas investigaciones de seguridad y las mejores prácticas
Únase a un líder reconocido en la confianza cero para ayudar a su organización a transformarse de forma segura
Únase a un líder reconocido en la confianza cero para ayudar a su organización a transformarse de forma segura
Únase a un líder reconocido en la confianza cero para ayudar a su organización a transformarse de forma segura
Un ataque típico de ransomware se produce en cuatro fases.
La primera fase, la entrega, suele realizarse mediante un correo electrónico de phishing diseñado para atraer al usuario a abrirlo. El correo electrónico a menudo parece provenir de una fuente de confianza, como una marca conocida. Las empresas de transporte, los bancos y los grandes minoristas suelen ser "suplantados" en los correos electrónicos de phishing con mensajes sobre un retraso en la entrega, compras fraudulentas, saldo bajo, etc.
Estos correos electrónicos están diseñados para que parezcan proceder de remitentes conocidos, pero incluyen archivos maliciosos como PDF o enlaces de Google Drive. Estos archivos contienen cargadores de malware que, una vez abierto el archivo, colocan el contenido malicioso en el sistema de la víctima y configuran el ataque.
En la siguiente fase, la explotación, el ataque se extiende una vez que el malware se ha cargado con éxito. Esta fase suele comenzar después de que el destinatario abre un archivo adjunto de correo electrónico que transmite el malware a un dispositivo.
Si el dispositivo infectado está en una red, el malware identifica el controlador de dominio con el que se está comunicando el dispositivo. Una vez identificado, roba las credenciales, lo que le permite moverse por la red e infectar otros dispositivos.
La siguiente fase es la devolución de llamada, en la que la carga útil del malware intenta comunicarse con sus servidores de mando y control, a donde se envían los datos robados.
Los servidores de mando y control envían a la carga útil instrucciones sobre cómo llevar a cabo la fase final: la detonación. Durante esta fase, el malware roba los datos e instala el ransomware, cifrando y bloqueando el sistema o los datos para que una persona o empresa no pueda acceder a ellos. Por lo general, la víctima tiene una cantidad limitada de tiempo para pagar el rescate antes de que los datos se pierdan para siempre. A veces, las demandas del rescate aumentan en las horas previas al vencimiento del pago.
Si se paga el rescate, se supone que las víctimas obtienen una clave de descifrado que les permite recuperar sus datos, pero no siempre obtienen dicha clave e, incluso cuando lo hacen, no siempre funciona.
En ataques recientes, algunos delincuentes han comenzado a robar los datos antes de cifrarlos y luego amenazan con exponerlos. De este modo, aunque las víctimas tengan buenas copias de seguridad, es más probable que paguen el rescate.
Agencia de Seguridad de la Ciberseguridad y de las Infraestructuras
Puede que el ransomware sea la herramienta preferida entre los ciberdelincuentes actuales, pero no es nuevo. De hecho, ha existido en varias formas durante décadas.
El primer ransomware conocido fue introducido en 1989 por el Dr. Joseph Popp. Envió por correo postal disquetes titulados "Disquete introductorio de información sobre el SIDA" a los asistentes a la conferencia sobre el SIDA de la Organización Mundial de la Salud en Estocolmo. Estos disquetes contenían un código malicioso que se instalaba en los sistemas MS-DOS y empezaba a contar el número de veces que los usuarios arrancaban sus máquinas.
A la 90.ª vez, el troyano del Dr. Popp ocultaba todos los directorios y cifraba todos los archivos de la unidad, inutilizándolos. Las víctimas veían entonces un mensaje que afirmaba ser de PC Cyborg Corporation que indicaba que el arrendamiento de software del propietario había caducado y que tenían que enviar 189 dólares estadounidenses a una dirección en Panamá para recuperar el acceso.
La siguiente ola de ciberataques de tipo ransomware se llamó scareware. Los usuarios recibirían una advertencia sobre un error catastrófico en su ordenador, seguido de un comando para pagar y descargar software a fin de para limpiar o corregir su dispositivo. Por supuesto, el software era simplemente otro malware diseñado para robar información del ordenador.
A medida que compartir archivos se fue haciendo más popular, se desarrolló otra forma común de ransomware, conocida como ataque de Police Locker. A menudo oculto en sitios de descarga P2P o sitios web que alojan material pirata o para adultos, este ataque cambiaba el escritorio del usuario para mostrar un mensaje que afirmaba que la policía había bloqueado el equipo debido a la sospecha de actividad ilegal. El miedo llevó a muchas víctimas a pagar cientos de dólares para desbloquear sus ordenadores. Sin embargo, en muchos de estos casos, Locker se podría haber eliminado simplemente reiniciando el sistema.
Entre los innumerables tipos de ransomware y grupos de ransomware, algunos de los más comunes y conocidos son:
Así que, ¿hasta qué punto está seguro frente a los ataques de ransomware? Ejecute un análisis gratuito de exposición a las amenazas de Internet para averiguarlo.
Paul Webber, Analista director sénior de Gartner
Al principio, las peticiones de rescate solían ser de unos pocos cientos de dólares porque los objetivos eran en su mayoría usuarios domésticos. Las víctimas del ransomware pagaban con moneda estándar, lo que significa que los delincuentes responsables corrían un mayor riesgo de ser identificados.
El aumento de las criptomonedas (monedas digitales basadas en anonimato y cifrado) ha cambiado la suerte de estos atacantes. Las criptomonedas como el bitcoin hacen que las transacciones sean casi imposibles de rastrear, lo que permite a los ciberdelincuentes borrar sus huellas. Más información.
El ransomware como servicio es un subproducto fruto de la popularidad y el éxito del ransomware. Al igual que muchas ofertas de SaaS legal, las herramientas RaaS suelen ser de suscripción. A menudo son económicas y fáciles de obtener en la web oscura, lo que proporciona a cualquier persona una plataforma para lanzar un ataque, incluso para aquellos sin habilidades de programación. Si un ataque RaaS tiene éxito, el dinero del rescate se divide entre el proveedor de servicios, el codificador y el suscriptor.
Esta es la eterna pregunta cuando se trata del ransomware. ¿Pagar o no pagar?
Por supuesto, muchas organizaciones están dispuestas a pagar dado el riesgo de que sus datos estén expuestos, pero ¿es esa la manera correcta de hacer frente a la situación? Los datos de Gartner afirman que "el 80 % (de las organizaciones que pagan) sufren otro ataque de ransomware". Tal vez no sea una buena práctica pagar, pero ¿cuál es la alternativa, dejar que los ciberdelincuentes expongan sus datos al mundo?
Lamentablemente, no hay una respuesta correcta definida. El analista de Gartner, Paul Proctor, afirma que depende de usted: "Se trata de cuando los resultados de negocio se ven afectados por la falta de datos robados. La organización debe sopesar si merece la pena arriesgarse a realizar un pago".
Basta con consultar las noticias casi a diario para entender cómo está afectando el ransomware a las empresas de todos los sectores. Pero, en caso de que haya estado viviendo aislado del mundo exterior, he aquí algunas de las formas en que el ransomware puede dañar sus resultados:
Perderá dinero y/o datos
La complicación más obvia que presenta el ransomware reside en el hecho de que aquellos que lo implementan buscan mantener sus datos como rehén hasta que usted les pague una suma de dinero por su devolución. Este factor, por sí solo, supone una peligrosa trampa para su empresa, especialmente si trabaja en el sector sanitario, el sector público, las finanzas u otros sectores que manejan montones de datos confidenciales.
Si ignora las demandas de los ciberdelincuentes, se arriesga a exponer sus datos al público, o peor, a otros grupos de amenazas que pagarán grandes sumas por ellos. Pero, incluso si paga el rescate, lo más probable es que no recupere sus datos. Es por ello que la prevención del ransomware es clave.
Su reputación se verá afectada
Tanto si decide pagar el rescate como si no, está obligado a denunciar el delito y, finalmente, su organización acabará apareciendo en un titular. Muchos ya lo han experimentado y la lista seguirá creciendo mientras el ransomware siga evolucionando y las empresas sigan sin prepararse para afrontarlo.
A menudo, las empresas que son víctimas del ransomware pierden negocio debido a la pérdida de confianza de sus clientes. Si bien la empresa puede no ser culpable al 100 %, es probable que sea a ella a la que los clientes y los consumidores se lo achaquen.
Podría enfrentarse a repercusiones legales
Sí, pagar el rescate por un ataque de ransomware es ilegal. En una sentencia de 2020, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los EE. UU. y la Red de Cumplimiento de Delitos Financieros (FinCEN) declararon que era ilegal pagar un rescate en la mayoría de los casos.
Por si la pérdida de datos y de capital y el daño a la imagen pública no fueran lo suficientemente malos, los honorarios legales también pueden suponer un importante costo como resultado del ransomware.
Gartner ha designado los "nuevos modelos de ransomware" como los principales riesgos a los que se enfrentan las organizaciones. Según el informe Emerging Risks Monitor Report de la empresa, la preocupación por el ransomware ha llegado a ser incluso mayor que la de la pandemia.
Si no estaba claro antes, ahora sí lo está: no solo hay que saber cómo prepararse para un ataque de ransomware, sino cómo prevenirlo por completo.
Detener todos los ataques de ransomware que se produzcan es imposible, pero mediante una rigurosa diligencia debida, una formación de concienciación y la tecnología adecuada, puede minimizar la amenaza que estos ataques representan para su empresa.
Se puede eliminar el ransomware, pero debe hacerse con cuidado y precaución siguiendo un proceso paso a paso.
Paso 1: aísle el dispositivo infectado
Esto implica desconectar dicho dispositivo de cualquier conexión por cable o inalámbrica para poner el ransomware en cuarentena y evitar que se propague. Asegúrese de eliminar inmediatamente el malware del sistema si no le han exigido aún el rescate.
Paso 2: averigüe a qué tipo de ransomware se enfrenta
Con la ayuda de un profesional de la seguridad o de una herramienta, averigüe qué cepa de ransomware necesita ser eliminada. Conocer esa información le permitirá entender mejor cómo mitigar el ransomware que se ha abierto camino en su sistema.
Paso 3: elimine el ransomware
Elimine la infección de su disco duro con una herramienta de eliminación de ransomware o la ayuda de un profesional de seguridad de TI, o hágalo usted manualmente. A continuación, utilice un descifrador de ransomware o una herramienta de descifrado para recuperar los datos cifrados que se mantienen como rehenes.
Paso 4: restaure el sistema con una copia de seguridad
Utilice un almacén de sistemas o recupere los archivos del sistema operativo vulnerado. Como parte de este proceso, es importante que se asegure de haber hecho una copia de seguridad de sus datos, ya que será la única forma de acceder a ellos una vez que el ransomware los haya cifrado. Esta es una de las mejores prácticas tanto para el ransomware como para las infracciones de datos.
Para no quedarse atrás y hacer frente a la amenaza constante del ransomware siempre en evolución, necesita una estrategia eficaz contra el ransomware, que incluya principios y herramientas que:
La combinación de soluciones modernas con un enfoque defensivo proactivo está ampliamente considerada como el modelo de protección contra el ransomware más eficaz del manual de ciberseguridad actual.
Zscaler ofrece protección contra el ransomware nativa de la nube para proteger a las organizaciones frente a este a través de Zscaler Zero Trust Exchange™, una plataforma que:
Con una cuarentena de sandbox basada en IA y desarrollada sobre una arquitectura de proxy nativa de la nube, los archivos se pueden poner en cuarentena y analizar completamente antes de la entrega, lo que prácticamente elimina el riesgo de infecciones de paciente cero. A diferencia de los enfoques de paso heredados, se garantiza que los archivos sospechosos o nunca vistos serán retenidos para su análisis y no llegarán a su entorno.
Una solución nativa de la nube e impulsada por IA como Zscaler Cloud Sandbox (parte de Zero Trust Exchange) ofrece beneficios que van más allá de los de las soluciones antimalware heredadas, incluidos:
2. Inspecciona todo el tráfico cifrado
Zscaler opera una arquitectura de proxy nativa de la nube que le permite realizar una inspección SSL completa a escala sin preocuparse por el rendimiento o por ampliar la potencia de procesamiento de costosos dispositivos.
Al utilizar una nube global distribuida en más de 150 centros de datos en los cinco continentes, el tráfico SSL se puede inspeccionar exhaustivamente en busca de amenazas ocultas de ransomware sin sufrir bajadas de rendimiento, incluso si el ancho de banda del usuario aumenta drásticamente.
3. Sigue las conexiones fuera de la red
Zero Trust Exchange puede ofrecer las dos estrategias mencionadas anteriormente (cuarentena de sandbox impulsada por IA e inspección completa de SSL) a los usuarios independientemente de su ubicación o dispositivo. Cada conexión a través de una red recibe una protección idéntica para descubrir y frustrar tanto amenazas conocidas como desconocidas, lo que mantiene a su organización libre de infecciones de ransomware de paciente cero.
Este enfoque para prevenir el ransomware comienza protegiendo las conexiones de los usuarios. Los usuarios que están fuera de la red simplemente agregan Zscaler Client Connector, nuestro agente de punto final ligero, a sus ordenadores portátiles o dispositivos móviles (compatible con Android, iOS, macOS y sistemas operativos Windows) para disfrutar de la protección de las mismas herramientas de seguridad, la misma aplicación de políticas y los mismos controles de acceso que obtendrían en su sede central.
Sea como sea, la prevención de los ataques de ransomware comienza con la confianza cero y el intercambio de confianza cero.
El estado de los ataques cifrados 2021
Descargar el informeTres secretos para detener el Ransomware
Vea el webinarioRansomware en 2022: lo que necesita saber y cómo prepararse
Vea el webinarioLa protección contra ransomware más eficaz del mundo
Más informaciónCómo proteger sus datos frente al ransomware y la doble extorsión
Leer el blog
