Los ataques de ransomware pueden utilizar varios métodos, o vectores, para infectar un dispositivo o una red. Algunos de los vectores de infección de ransomware más destacados incluyen:

• Correos electrónicos de phishing y otros ataques de ingeniería social: Los correos electrónicos de phishing manipulan a los usuarios para que descarguen y ejecuten un archivo adjunto malicioso (que contiene el ransomware disfrazado de un archivo de apariencia inofensiva: un PDF, un documento de Microsoft Word u otro archivo), o para que visiten un sitio web malicioso que pasa el ransomware a través del explorador web del usuario. Según el documento IBM Cyber Resilient Organization Study 2021, el phishing y otras acciones de ingeniería social causaron el 45 por ciento de todos los ataques por ransomware notificados por los participantes de la encuesta, lo que los convierte en los más comunes de todos los vectores de ataque de ransomware.  
• Vulnerabilidades del sistema operativo y del software: Los ciberdelincuentes suelen explotar vulnerabilidades existentes para inyectar código malicioso en un dispositivo o en una red. Las vulnerabilidades de día cero, que son vulnerabilidades desconocidas para la comunidad de seguridad o identificadas pero aún no reparadas, representan una amenaza particular. Algunas bandas de ransomware compran información sobre defectos de día cero a otros piratas informáticos para planificar sus ataques. Los piratas informáticos también han utilizado eficazmente vulnerabilidades parcheadas como vectores de ataque, como en el caso de ataque de WannaCry de 2017 que se analiza a continuación.
• Robo de credenciales: Los ciberdelincuentes pueden robar las credenciales de los usuarios autorizados, comprarlas en la web oscura o descifrarlas por la fuerza bruta. Luego pueden utilizar estas credenciales para iniciar sesión en una red o en un ordenador y desplegar directamente el ransomware. El Protocolo de Escritorio Remoto (RDP - Remote Desktop Protocol), un protocolo propietario desarrollado por Microsoft para permitir a los usuarios acceder a un sistema de forma remota, es un objetivo muy utilizado entre los atacantes de ransomware para robar credenciales.
• Otro malware: Los piratas informáticos a menudo utilizan algún malware desarrollado para otros ataques para insertar ransomware en un dispositivo. El troyano Trickbot, por ejemplo, diseñado originalmente para robar credenciales bancarias, se utilizó para dispersar la variante del ransomware Conti a lo largo del año 2021.
• Descargas de tipo drive-by-download: Los piratas informáticos pueden utilizar sitios web para pasar ransomware a dispositivos sin el conocimiento de los usuarios. Los kits de explotación utilizan sitios web en riesgo para explorar los navegadores de los visitantes en busca de vulnerabilidades de aplicaciones web que pueden utilizar para inyectar ransomware en el dispositivo. El Malvertising o publicidad maliciosa (anuncios digitales legítimos que han sido corrompidos por piratas informáticos) puede pasar ransomware a los dispositivos, incluso si el usuario no ha pulsado en el anuncio.

Los ciberdelincuentes no necesitan necesariamente desarrollar su propio ransomware para explotar estos vectores. Algunos desarrolladores de ransomware comparten su código de malware con los ciberdelincuentes a través de acuerdos de ransomware como servicio (RaaS). El ciberdelincuente, o 'afiliado', utiliza el código para llevar a cabo un ataque, y luego comparte el pago del rescate con el desarrollador. Es una relación mutuamente beneficiosa: los afiliados pueden extorsionar sin tener que desarrollar su propio malware, y los desarrolladores pueden aumentar sus beneficios sin iniciar manualmente los ciberataques.

Los distribuidores de ransomware pueden vender ransomware a través de mercados digitales o encontrar afiliados directamente a través de foros en línea o vías similares. Las grandes bandas de ransomware han invertido importantes sumas de dinero para atraer afiliados. El grupo REvil, por ejemplo, invirtió 1 millón de dólares como parte de un plan de reclutamiento en octubre de 2020 (enlace externo a ibm.com).

Una vez que los piratas informáticos accedan a un dispositivo, un ataque de ransomware generalmente seguirá los siguientes pasos.

Paso 1: Reconocimiento. Los atacantes exploran el sistema infectado para comprender mejor el dispositivo y la red, y para identificar los archivos que pueden atacar, incluyendo los archivos que contienen información confidencial que el atacante puede utilizar para un ataque de doble o triple extorsión. La mayoría también buscan credenciales adicionales que les permitan moverse lateralmente dentro de la red, propagando el ransomware a otros dispositivos por el camino.

Paso 2: Activación. El ransomware criptográfico comienza a identificar y cifrar archivos. La mayoría del ransomware de cifrado implementa un cifrado asimétrico, utilizando una clave pública para cifrar el ransomware y conservando una clave privada que permite descifrar los datos. Como las víctimas no tienen la clave privada, no pueden descodificar los datos cifrados sin la ayuda de los piratas informáticos. Algún ransomware criptográfico también deshabilita las funciones de restauración del sistema o eliminan o cifra las copias de seguridad en el sistema o la red de la víctima para aumentar la presión para que paguen por obtener la clave de descifrado.

El ransomware sin cifrado bloquea la pantalla del dispositivo, o inunda el dispositivo con ventanas emergentes, o impide que la víctima utilice el dispositivo.

Paso 3: La nota de rescate. Una vez que los archivos han sido encriptados y/o el dispositivo ha sido inhabilitado, el ransomware alerta a la víctima de la infección, a menudo a través de un archivo .txt depositado en el escritorio del sistema o a través de una ventana emergente de notificación. La nota de rescate contendrá instrucciones sobre cómo pagar el rescate, generalmente en criptomonedas o un método similar que no se pueda rastrear, a cambio de una clave de descifrado o de operaciones estándar de restauración.

Hay dos tipos generales de ransomware. El tipo más común, denominado 'ransomware de cifrado ' o 'ransomware criptográfico', secuestra los datos de un usuario cifrándolos. La forma menos común de ransomware, a veces llamado 'ransomware de bloqueo', bloquea todo el dispositivo de la víctima.

Estos dos tipos se pueden subdividir en las siguientes subcategorías:

• Leakware/Doxware es un ransomware que roba o exfiltra datos confidenciales y amenaza con hacerlos públicos. Aunque los primeros tipos de leakware o doxware a menudo robaban datos sin cifrarlos, las variantes actuales suelen hacer ambas cosas.
• Ransomware móvil incluye todo el ransomware que afecta a dispositivos móviles. Se introduce a través de aplicaciones maliciosas o descargas drive-by, el ransomware móvil es típicamente un ransomware sin cifrado porque gracias a las copias de seguridad automáticas de datos en la nube, el estándar en muchos dispositivos móviles, es fácil revertir los ataques con cifrado.
• Wiper/ransomware destructivo amenaza con destruir los datos si no se paga el rescate, excepto en los casos en que el ransomware destruye los datos incluso aunque se pague el rescate. Este último tipo de wiper, a menudo se sospecha que lo despliegan actores o hacktivistas de estados-nación y no cibercriminales comunes.
• Scareware es justo lo que significa en inglés: un ransomware que intenta asustar a los usuarios para que paguen un rescate. El scareware puede presentarse como un mensaje de algún cuerpo de seguridad, acusando a la víctima de un delito y exigiendo una multa; puede suplantar la identidad de una alerta legítima de infección por virus, recomendando a la víctima que compre un software antivirus o antimalware. A veces, el scareware es ransomware, es decir, que cifra los datos o bloquea el dispositivo; en otros casos, es el vector del ransomware, que no cifra nada sino que simplemente coacciona a la víctima para que descargue el ransomware.

Desde 2020, los investigadores de ciberseguridad han identificado más de 130 familias o variantes activas de ransomware distintas: cepas exclusivas de ransomware con sus propias firmas de código y sus funciones. 

Entre las muchas variantes de ransomware que han circulado a lo largo de los años, destacan especialmente varias cepas por el alcance de la destrucción que provocaron, por cómo influyeron en el desarrollo del ransomware o por la amenaza que representan aún hoy.

CryptoLocker

Aparecido por primera vez en septiembre de 2013, a CryptoLocker se le reconoce ampliamente el mérito de iniciar la era moderna del ransomware. Propagado mediante una botnet (una red de computadoras secuestradas), CryptoLocker fue una de las primeras familias de ransomware en cifrar fuertemente los archivos de los usuarios. Extorsionó unos 3 millones de dólares, hasta que, gracias a una acción conjunta de cuerpos de seguridad a nivel internacional, fue desmantelado en el año 2014. El éxito de CryptoLocker generó numerosos imitadores y allanó el camino para variantes como WannaCry, Ryuk y Petya (que se describen a continuación).

WannaCry

WannaCry fue el primer criptogusano importante (ransomware que se puede extender a otros dispositivos en una red) y atacó a más de 200.000 ordenadores (en 150 países) en los cuales los administradores habían olvidado instalar el parche que arrreglaba la vulnerabilidad EternalBlue de Microsoft Windows. Además de cifrar los datos confidenciales, el ransomware WannaCry amenazaba con borrar los archivos si no se recibía el pago en un plazo de siete días. Sigue siendo uno de los mayores ataques de ransomware hasta la fecha, con un coste estimado de hasta 4 mil millones de dólares.

Petya y NotPetya

A diferencia de otros ransomware criptográficos, Petya encripta la tabla del sistema de archivos en vez de cifrar archivos individuales, por lo que el sistema infectado es incapaz de arrancar Windows. Una versión muy modificada, NotPetya, se utilizó para realizar un ciberataque a gran escala, principalmente contra Ucrania, en 2017. NotPetya era un wiper incapaz de desbloquear los sistemas incluso después de que se pagara el rescate.

Ryuk

Visto por primera vez en 2018, Ryuk popularizó los ataques de 'ransomware de caza mayor' contra objetivos específicos de alto valor, con demandas de rescate de más de 1 millón de dólares de promedio. Ryuk puede localizar e inhabilitar los archivos de copia de seguridad y las características de restauración del sistema; en 2021 se descubrió una nueva cepa con capacidades de criptogusano.

DarkSide

Dirigido por un grupo que se sospecha que opera desde Rusia, DarkSide es la variante de ransomware que atacó el oleoducto estadounidense Colonial Pipeline el 7 de mayo de 2021, en lo que se considera el peor ciberataque en una infraestructura crítica de EE.UU. hasta la fecha. Como resultado, el oleoducto que abastece el 45 por ciento del combustible de la Costa Este de Estados Unidos se tuvo que cerrar temporalmente. Además de lanzar ataques directos, el grupo DarkSide también proporciona licencias de su ransomware a sus afiliados a través de acuerdos RaaS.

Locky

Locky es un ransomware de cifrado con un método distinto de infección: utiliza macros ocultas en archivos adjuntos de correo electrónico (archivos de Microsoft Word) con apariencia de facturas válidas. Cuando un usuario descarga y abre el documento de Microsoft Word, las macros maliciosas descargan secretamente la carga útil del ransomware en el dispositivo del usuario.

REvil/Sodinokibi

REvil, también denominado Sodin o Sodinokibi, ayudó a popularizar el método RaaS para la distribución de ransomware. Conocido por ser utilizado en ataques de "caza mayor" y de doble extorsión, REvil estaba detrás de los ataques de 2021 contra las conocidas empresas JBS USA y Kaseya Limited. JBS pagó un rescate de 11 millones de dólares después de que se interrumpiera toda su operación de procesamiento de carne de vacuno en EE.UU., y más de 1.000 clientes del software de Kaseya se vieron afectados por un tiempo de inactividad importante. El Servicio de Seguridad Federal de Rusia informó de que había desmantelado REvil y procesado a varios de sus miembros a principios de 2022.

Muy a menudo se paga un rescate. Según el estudio de investigación de IBM Cyber Resilient Organization Study 2021, el 61 por ciento de las empresas participantes que declararon haber sufrido un ataque de ransomware dijeron que pagaron un rescate.

Sin embargo, los cuerpos de seguridad federales de EE.UU. recomiendan unánimamente a las víctimas de ransomware no pagar las demandas de rescate. Según la National Cyber Investigative Joint Task Force (NCIJTF), una coalición de 20 agencias federales de EE.UU. asociadas encargadas de investigar las ciberamenazas:

"El FBI no recomienda pagar un rescate a los criminales. Pagar un rescate puede animar a los adversarios a atacar a otras organizaciones, alentar a otros criminales a involucrarse en la distribución de ransomware, o servir para financiar actividades ilícitas. Pagar el rescate tampoco garantiza que se recuperen los archivos de las víctimas"

Los cuerpos de seguridad recomiendan a las víctimas de ransomware informar de los ataques a las autoridades correspondientes, como por ejemplo el Internet Crime Complaint Center del FBI (IC3), antes de pagar cualquier rescate. Algunas víctimas de ataques de ransomware pueden tener la obligación legal de informar de las infecciones de ransomware independientemente de si pagan o no un rescate. Por ejemplo, la conformidad con la HIPAA generalmente requiere que las entidades de atención sanitaria informen de cualquier vulneración de datos, incluyendo ataques de ransomware, al Departamento de Salud y Servicios Humanos.

Bajo ciertas condiciones, el pago de un rescate puede ser ilegal. Según una advertencia de 2020 de la Office of Foreign Assets Control (OFAC), del Tesoro de EE.UU., pagar un rescate a atacantes de países que están bajo sanción económica de EE.UU., como Rusia, Corea del Norte o Irán, constituiría un incumplimiento de la normativa de la OFAC y podría resultar en sanciones civiles, multas o cargos criminales.

Para defenderse de las amenazas de ransomware, las agencias federales tales como CISA, NCIJFT y el Servicio Secreto de EE.UU. recomiendan a las organizaciones tomar ciertas medidas de precaución, como por ejemplo:

• Mantener copias de seguridad de los datos confidenciales e imágenes del sistema, idealmente en discos duros u otros dispositivos que puedan estar desconectados de la red.
• Aplicar parches regularmente para impedir los ataques de ransomware que explotan vulnerabilidades del software y del sistema operativo.
• Actualizar las herramientas de ciberseguridad incluyendo software anti-malware y antivirus, cortafuegos y pasarelas web seguras, así como soluciones de ciberseguridad empresarial, como por ejemplo herramientas de detección y respuesta de puntos finales (EDR) y detección y respuesta extendida (XDR), que ayudan a a los equipos de seguridad a detectar y responder a ataques de ransomware en tiempo real.
• Formación en ciberseguridad para los empleados para ayudar a los usuarios a reconocer y evitar el phishing, la ingeniería social y otras tácticas que pueden conducir a infecciones de ransomware.
• Implementar políticas de control de acceso incluyendo la autenticación multifactor, la arquitectura de confianza cero, la segmentación de redes y medidas similares que pueden impedir que el ransomware alcance los datos especialmente confidenciales, y evitar que los criptogusanos se propaguen a otros dispositivos de la red.

Aunque las herramientas de descifrado de algunas variantes de ransomware están disponibles públicamente a través de proyectos como No More Ransom (enlace externo a ibm.com), a menudo, para solucionar una infección de ransomware activa se requiere un enfoque multifacético. Consulte el documento de IBM Guía definitiva del ransomware (PDF, 966 KB)  para ver un ejemplo de un plan de respuesta a un incidente de ransomware creado según el ciclo de vida de respuesta a incidentes del Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés).

1989: El primer ataque documentado de ransomware, conocido como el troyano AIDS (siglas del SIDA en inglés) o "ataque PC Cyborg", se distribuyó a través de disquetes. Ocultaba directorios en el ordenador de la víctima y exigía 189 dólares para desocultarlos. Pero como cifraba los nombres de los archivos y no los archivos en sí, era fácil para los usuarios revertir los daños sin pagar un rescate.

1996: Mientras analizaban los fallos del virus troyano AIDS, los informáticos Adam L. Young y Moti Yung advirtieron de futuras formas de malware que podrían utilizar criptografía de clave pública más sofisticada para secuestrar datos confidenciales. 

2005: Tras relativamente pocos ataques de ransomware a principios de los 2000, comienza un repunte de infecciones, centrado en Rusia y Europa del Este. Aparecen las primeras variantes que utilizan el cifrado asimétrico. A medida que el nuevo ransomware ofrecía formas más efectivas de extorsión, más ciberdelincuentes comenzaron a propagar el ransomware en todo el mundo.

2009: La introducción de las criptomonedas, en particular el Bitcoin, brinda a los ciberdelincuentes una forma de recibir pagos de rescates imposibles de rastrear, lo que genera la siguiente oleada de actividad de ransomware.

2013: La era moderna del ransomware comienza con CryptoLocker, que inauguró la ola actual de ataques de ransomware basado en cifrado altamente sofisticado y que solicitan el pago en criptomonedas.

2015: La variante de ransomware Tox introduce el modelo Raas (ransomware como servicio).

2017: Aparece WannaCry, el primer criptogusano autorreplicante ampliamente utilizado.

2018: Ryuk popularizó la "caza mayor" en el ransomware