Recursos > Glosario de términos de seguridad > Qué es el Ransomware

¿Qué es el Ransomware?

El ransomware es un tipo de software malicioso, o malware, que roba datos, los cifra y pide un rescate, generalmente en criptomonedas. Los ataques de ransomware suelen negar a las víctimas el acceso a sus datos a menos que se pague el rescate y normalmente hay un plazo para pagarlo antes de que los datos desaparezcan para siempre. El pago por una clave de descifrado puede costar desde cientos de dólares hasta cientos de miles, o incluso millones, en casos excepcionales.

Antaño, los ataques de ransomware que bloqueaban el ordenador o los archivos de un usuario los podía revertir fácilmente un profesional capacitado. Sin embargo, en los últimos años, los ataques de ransomware se han vuelto más sofisticados y, en muchos casos, han dejado a las víctimas sin más opción que pagar el rescate o perder sus datos para siempre.

Un cambio reciente y notable en muchas variantes de la familia del ransomware ha sido la incorporación de una función de exfiltración de datos. Esta nueva función permite a los cibercriminales exfiltrar datos confidenciales de las organizaciones víctimas antes de cifrar los datos. Estos datos exfiltrados son como una póliza de seguro para los atacantes: incluso si la organización víctima del ataque tiene buenas copias de seguridad, probablemente pagará el rescate para evitar que sus datos queden expuestos.

Una banda de ransomware logró infiltrarse en la red de una gran empresa estadounidense en julio de 2020, realizó actividades de vigilancia, se movió por la red y liberó su carga útil de ransomware en 30 000 ordenadores. Antes de cifrar esos 30 000 sistemas, exfiltraron más de 2 terabytes de información confidencial y amenazaron con publicarla en Internet. Finalmente, la empresa pagó 4,5 millones de dólares. Se trata de un pago inusualmente grande, pero las tácticas utilizadas en el ataque son cada vez más comunes.

La historia del ransomware y el aumento de los ataques

Aunque los cibercriminales llevan más de 30 años utilizando los ataques de ransomware, en los últimos años se ha producido un importante repunte. Según el FBI, los ataques de ransomware empezaron a aumentar en 2012, y no parece que vayan a desacelerar.

Un informe de ThreatLabz de 2020 mostró un aumento de más del 500 por ciento en el ransomware propagado en canales cifrados entre marzo y septiembre. Se estima que sólo durante el año 2020, el ransomware habrá causado daños por más de 20 000 millones de dólares en todo el mundo.

Los objetivos más comunes de los ataques de ransomware en los últimos años han sido los gobiernos municipales y las instituciones académicas, pero desde el inicio de la pandemia de COVID-19, los nuevos objetivos de las bandas de ransomware son los hospitales y los trabajadores a distancia. Además, en el último año, se han incrementado significativamente los informes de ransomware propagado a través del tráfico cifrado. A causa de las limitaciones de capacidad de las tecnologías de seguridad heredadas, como los cortafuegos de próxima generación, la mayoría de las organizaciones no pueden inspeccionar todo el tráfico cifrado. Y los atacantes lo saben, así que cada vez utilizan más el cifrado para ocultar sus enlaces y archivos adjuntos maliciosos.

La mejor manera de evitar exponerse al ransomware (o a cualquier tipo de malware) es ser un usuario precavido y minucioso. Los propagadores de malware son cada vez más astutos, y hay que tener cuidado con lo que se descarga y en lo que se hace clic.

Oficina Federal de Investigación de los EE. UU. (FBI)

Cómo opera el ransomware

El ransomware se propaga normalmente a través de correos electrónicos de phishing y anuncios con enlaces infectados o un sitio web falso con malware incrustado. Los correos electrónicos de phishing suelen parecer enviados por una organización legítima o por alguien conocido por la víctima (en los ataques dirigidos), engañando al usuario para que haga clic en un enlace malicioso o abra un archivo adjunto malicioso.

En los ataques de ransomware contra un individuo, lo más común es que se bloqueen y se mantengan como rehenes los documentos, las fotos y la información financiera. Aunque los individuos pueden ser un objetivo más fácil, las empresas (sobre todo las grandes organizaciones) son mucho más atractivas. Si los atacantes consiguen que un solo empleado descargue el malware, éste puede extenderse desde el dispositivo de ese usuario a la red, donde hay mucho más en juego. Un ataque no sólo puede interrumpir la actividad empresarial, sino que la amenaza de pérdida o exposición de datos podría ser devastadora y costosa en dólares y para la reputación de la empresa.

Aunque algunas organizaciones están invirtiendo en seguros de ciberseguridad para cubrir los costes en caso de un ciberataque o una violación de datos, la mejor forma de actuar cuando se trata de ransomware es la prevención.

La CISA (Agencia de Ciberseguridad y Seguridad de Infraestructura) y el FBI recomiendan lo siguiente para proteger a su organización del ransomware:

Haga copias de seguridad de los ordenadores, para poder restaurar el sistema a su estado anterior utilizando las copias de seguridad.
Almacene las copias de seguridad por separado, como en un disco duro externo o en la nube, para que no se pueda acceder a ellas desde una red.
Actualice y parche los ordenadores, para que las aplicaciones y sistemas operativos vulnerables no se conviertan en objetivos.
Capacite a los empleados con sesiones continuas y obligatorias de concienciación sobre ciberseguridad para asegurarse de que conocen las amenazas actuales y las mejores prácticas de seguridad. Asegúrese de que sean precavidos con el correo electrónico (incluso de remitentes conocidos), verificando la legitimidad del remitente antes de abrir cualquier archivo adjunto o hacer clic en los enlaces.
Cree un plan de continuidad en caso de que su organización sea víctima de un ataque de ransomware.

El ransomware puede ser devastador para un individuo o una organización. Cualquier persona con datos importantes almacenados en su ordenador o red está en riesgo, incluidos los organismos gubernamentales o policiales y los sistemas sanitarios u otras entidades de infraestructuras críticas.

Agencia de Ciberseguridad y Seguridad de Infraestructura de los EE. UU.

El ransomware tiene menos que ver con la sofisticación tecnológica y más con la explotación del elemento humano. Sencillamente, es un giro digital de una táctica criminal centenaria.

Instituto de Tecnología de Infraestructuras Críticas

Prevención de ataques de ransomware

La tecnología moderna de defensa contra el ransomware no solo es muy eficaz, sino también fácil de implementar. El primer paso para tener una protección adecuada frente al ransomware es la adopción de una postura de seguridad construida de forma nativa en la nube para proteger a los usuarios, las aplicaciones y los datos confidenciales de estos ataques, independientemente de dónde se conecten los usuarios o qué dispositivos estén utilizando.

Una estrategia de prevención para hacer frente a las amenazas de ransomware más comunes de hoy en día debe incorporar los siguientes principios y herramientas, a fin de evitar que estos ataques expongan sus datos, interrumpan su actividad o le cuesten tiempo y dinero a su organización:

Utilizar una cuarentena de sandbox gestionada por inteligencia artificial para retener e inspeccionar el contenido sospechoso antes de permitir que pase al destinatario
Inspeccionar todo el tráfico cifrado con SSL/TLS para garantizar que no haya amenazas ocultas
Implementar una protección siempre activa para los usuarios dentro y fuera de la red

Ninguna empresa grande o pequeña está a salvo del ransomware sin una defensa de seguridad especializada. No se convierta en la próxima víctima del ransomware o en la próxima organización que aparezca en las noticias por un ataque. Más información sobre Zscaler Advanced Cloud Sandbox y Zscaler Ransomware Protection