¿Qué es el ransomware?

El ransomware es una forma de malware que amenaza con destruir o retener los datos o archivos de la víctima a menos que se pague un rescate al intruso para descifrar y restaurar el acceso a los datos.

Una persona se sienta en el escritorio mientras mira una computadora portátil abierta frente a ella.

Cómo funciona el ransomware

Malware  con una  nota de rescate 
El ransomware es  el software malicioso  utilizado por los autores de amenazas con el objetivo de extorsionar a las víctimas. Esta forma de ciberagresión es uno de los modelos delictivos más prolíficos que existen en la actualidad en el entorno empresarial. Los ataques de ransomware  pueden costarle a una organización millones de dólares y pueden requerir cientos de horas para reconstruir los dispositivos y restaurar los datos destruidos durante un ataque.

Lo más común es que las organizaciones se enteren de que son víctimas de un  ciberataque  cuando reciben una notificación de una  máquina infectada  informándoles que sus datos han sido atacados. Por lo general, hay una secuencia típica en un  ataque de ransomware. Primero, el sistema o  servidor de control  se ve comprometido para poder instalar el  malware. A continuación, el  malware  toma el control de la máquina  cifrando  los datos con el ransomware. Luego, la máquina comprometida muestra un mensaje con la "nota de rescate", en la que figuran las exigencias del intruso para la persona física o corporación, indicándole que no podrá acceder a sus  archivos encriptados  hasta que se pague el rescate. 

Pagos de rescate
Normalmente el pago se exige en forma de  criptomonedas, tarjetas de crédito o tarjetas de regalo, pero eso no garantiza que la víctima recupere el acceso. Si la víctima elige pagar el rescate, los intrusos podrían proporcionar la  clave de descifrado  para restaurar el acceso a sus datos. A veces, la víctima paga y los intrusos no proporcionan la   clave de descifrado, lo que se traduce en pérdidas financieras y de datos. A veces, la víctima decide no pagar el rescate y confía en la reconstrucción del sistema y las copias de seguridad de los datos para restaurar sus operaciones de TI. Las víctimas que alguna vez han sufrido un ataque suelen ser el objetivo recurrente de los mismos  ciberdelincuentes , sobre todo si han mostrado antes la voluntad de pagar. 

Según el informe "Combatting Destructive Malware" (Lucha contra el malware destructivo), en promedio, un solo  ataque de ransomware  cuesta a las grandes empresas multinacionales USD 239 millones y destruye 12.316 estaciones de trabajo informáticas. El panorama de las ciberamenazas está en constante evolución y expansión con  nuevo ransomware  debido a la complejidad de las redes, la nube, la virtualización remota y el IoT.


¿Qué causa una infección de ransomware?

Hay varias formas en que el ransomware puede ingresar a su computadora o sistema. Una de las más comunes es el  phishing  y el spam por correo electrónico con mensajes que incluyen un archivo adjunto malicioso o un enlace que conduce a un sitio web comprometido. Una vez que el usuario abre el archivo adjunto o hace clic en el enlace, el ransomware puede infectar la computadora y extenderse a toda la red.

Otro vector de  ataque de ransomware  es a través de un  kit de vulnerabilidad de seguridad  que se aprovecha de una vulnerabilidad o brecha de seguridad en el sistema o programa. WannaCry  es un ejemplo de una  infección de ransomware  que afectó a cientos de sistemas en todo el mundo a través de una vulnerabilidad de seguridad en el sistema operativo  Microsoft  Windows  en 2018. También puede tomar la forma de una actualización de software falsa, que solicita a los usuarios que habiliten las funcionalidades de administración y ejecuten el  código malicioso.

Phishing,  Ingeniería social  y otras tácticas
El ransomware existe desde 1989 y el panorama de los ataques se expande constantemente a medida que la red y la infraestructura del mundo se vuelven más complejas, desde la nube hasta los dispositivos móviles y el IoT.

El ransomware suele ingresar a las organizaciones a través del  correo electrónico  phishing , que contiene archivos adjuntos maliciosos o enlaces a sitios maliciosos. Por ejemplo, el ransomware  Locky  infecta a las víctimas a través de un documento de  Microsoft  Word con macros maliciosas incrustadas.

El ransomware puede ser difícil de combatir, pero una combinación de educación del usuario, planificación de respuesta a incidentes proactiva y ensayada y prácticas de seguridad básica, como la administración agresiva de parches y las soluciones de protección de puntos finales, puede ayudar. La práctica de la ciberresiliencia abarca la protección de datos, la recuperación de datos, las mejores prácticas de resiliencia y la capacitación en ransomware para  los usuarios finales.  Para organizaciones que han movido datos a la nube, o usan la nube como su ubicación de respaldo, el uso de herramientas como el  cifrado de datos en la nube  puede ayudar a reducir el riesgo y el costo de un  ataque de ransomware.


Tipos de ataques de ransomware

 

Hay dos clases principales de ransomware, y ambas tienen como propósito interrumpir las operaciones comerciales con el fin de obtener ganancias financieras para los intrusos.

Ransomware criptográfico

El ransomware  criptográfico evita el acceso a archivos o datos a través del cifrado con una clave simétrica diferente generada aleatoriamente para cada archivo. Luego, la clave simétrica se cifra con una clave asimétrica pública; los intrusos exigen el  pago de un rescate  para acceder a la clave asimétrica.

Doxware

Doxware es una forma de ransomware  criptográfico  en el que las víctimas se ven amenazadas no solo con perder el acceso a sus archivos, sino también con que sus archivos y datos privados se hagan públicos mediante "doxing".

Locker ransomware

El Locker ransomware bloquea la computadora o el dispositivo al evitar que los usuarios inicien sesión; una  máquina infectada  puede mostrar un mensaje de apariencia oficial advirtiendo al usuario. Este  tipo de  malware  en realidad no  encripta  archivos en el dispositivo.

Si tiene una computadora infectada

El Departamento de Seguridad Nacional emitió una  alerta sobre ransomware (enlace externo a IBM) y variantes recientes con asesoramiento para organizaciones y personas físicas. Su principal recomendación es tener un proceso seguro de copia de seguridad y recuperación de datos.

El DHS hizo las siguientes recomendaciones a las organizaciones:

  • implementar un plan de respaldo y recuperación para todos los datos críticos;
  • probar periódicamente las copias de seguridad para limitar el impacto de una violación de datos y acelerar el proceso de recuperación; y
  • aislar las copias de seguridad críticas de la red para obtener la máxima protección si las copias de seguridad conectadas a la red se ven afectadas por el ransomware.

Recuperarse del ransomware depende principalmente de mantener el control de sus datos de la manera más eficiente y segura posible.  Las regulaciones como el GDPR (Reglamento General de Protección de Datos) en Europa y la Ley de Privacidad del Consumidor de California están imponiendo nuevos requisitos para las notificaciones de violación de datos que afectan la forma en que se debe manejar un  ataque de ransomware. El  FBI  recomienda denunciar los  ataques de ransomware  ante los organismos federales  del orden público  para que puedan coordinar con sus pares  locales  en los Estados Unidos  a fin de  rastrear los ataques e identificar a los intrusos.

Si está experimentando un incidente de  ciberseguridad , póngase en contacto con el equipo de IBM Security X-Force para obtener ayuda inmediata.

 


Soluciones relacionadas

Proteja los datos de los ataques de ransomware

Aprenda a proteger los datos de su organización de las amenazas de ransomware que pueden secuestrarlos.


Seguridad de la red

Proteja la infraestructura de red contra amenazas avanzadas y malware.


Gestión de eventos e información de seguridad (SIEM)

Obtenga visibilidad centralizada para detectar, investigar y responder a las amenazas de ciberseguridad.


IBM Security X-Force Incident Response Retainer

Descubra cómo puede mejorar la preparación para la respuesta a ciberincidentes y minimizar el impacto de las violaciones.


Organice la respuesta a incidentes

Obtenga tasas de respuesta a incidentes más rápidas con la orquestación y la automatización inteligentes.


Detección y respuesta gestionadas

La defensa contra amenazas comienza con la prevención, la detección y la respuesta rápida las 24 horas del día.


Responda más rápido

Evite pagar las consecuencias del ransomware aislando copias de datos inmutables. En caso de un ataque, las copias se pueden restaurar rápidamente para recuperarse con confianza.


Gestione y controle los dispositivos móviles

Obtenga una vista y un control permanentes de prácticamente todos sus dispositivos móviles, aplicaciones y contenido, ejecute analítica de seguridad basada en IA y mantenga la seguridad en todas sus plataformas.


Soluciones de almacenamiento flash

Simplifique la gestión de datos e infraestructura con la familia de plataformas unificadas IBM® FlashSystem, que simplifica la gestión y la complejidad operativa en entornos locales, de nube híbrida, virtualizados y en contenedores.