¿Qué es el ransomware?
Los ataques de ransomware mantienen los datos y los dispositivos como rehenes hasta que se pague un rescate. Conozca cómo está evolucionando el ransomware y cómo las organizaciones se protegen contra él.
Obtenga la guía definitiva sobre ransomware Explore IBM Security QRadar
Una persona sentada en un escritorio mientras mira la computadora portátil abierta que tiene delante
¿Qué es el ransomware?

El ransomware es un tipo de malware que bloquea los datos o dispositivos de una víctima y amenaza con mantenerlos bloqueados, a menos que la víctima pague un rescate al atacante. Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 por ciento de todos los ciberataques en 2022.

Los primeros ataques de ransomware simplemente exigían un rescate a cambio de la clave de cifrado necesaria para recuperar el acceso a los datos afectados o el uso del dispositivo infectado. Al realizar respaldos de datos regulares o continuos, una organización podía limitar los costos de estos tipos de ataques de ransomware y, a menudo, evitar el pago del rescate exigido.

Sin embargo, en los últimos años, los ataques de ransomware han evolucionado para incluir ataques de doble y triple extorsión que aumentan considerablemente los riesgos, incluso para las víctimas que mantienen rigurosamente el respaldo de sus datos o pagan la demanda inicial de rescate. Los ataques de doble extorsión agregan la amenaza de robar los datos de la víctima y filtrarlos en línea. Además de eso, los ataques de triple extorsión amenazan con usar los datos robados para atacar a los clientes o socios comerciales de la víctima.

El Índice X-Force Threat Intelligence de 2023 descubrió que la participación del ransomware en todos los incidentes de ciberseguridad disminuyó en un 4 % de 2021 a 2022, probablemente porque los defensores tenían más éxito detectando y evitando ataques de ransomware. Pero este hallazgo positivo quedó eclipsado por una enorme reducción del 94 % en el tiempo promedio de ataque: de 2 meses a menos de 4 días, lo que daba a las organizaciones muy poco tiempo para detectar y frustrar posibles ataques.

Las víctimas y los negociadores de ransomware son reacios a divulgar los montos de pago de rescate.Sin embargo, según la Guía definitiva para el ransomware, las demandas de rescate han crecido hasta alcanzar siete y ocho cifras.Además, los pagos de rescate son solo parte del costo total de una infección por ransomware.Según el informe Costo de una filtración de datos 2022 de IBM, el costo promedio de una filtración de datos causada por un ataque de ransomware, que no incluye el pago de rescate, fue de 4.54 MUSD. Se espera que los ataques de ransomware costarán a las víctimas un estimado de 30 MUSD en 2023.

Tipos de ransomware

Hay dos tipos generales de ransomware. El tipo más común, llamado ransomware de cifrado o ransomware criptográfico, mantiene como rehenes los datos de la víctima mediante cifrado.Luego, el atacante exige un rescate a cambio de proporcionar la clave de cifrado necesaria para descifrar los datos.

La forma menos común de ransomware, llamada ransomware sin cifrar o ransomware con bloqueo de pantalla, bloquea todo el dispositivo de la víctima, generalmente bloqueando el acceso al sistema operativo. En lugar de arrancar como de costumbre, el dispositivo muestra una pantalla con la demanda de rescate.

Estos dos tipos se pueden dividir en las siguientes subcategorías:

  • Leakware/Doxware es un ransomware que roba o exfiltra datos confidenciales y amenaza con publicarlos. Mientras que las formas anteriores de leakware o doxware a menudo robaban datos sin cifrarlos, las variantes actuales suelen hacer ambas cosas.

  • El ransomware móvil incluye todo el ransomware que afecta a los dispositivos móviles. El ransomware para dispositivos móviles, que se entrega a través de una aplicación maliciosa o una descarga no autorizada, suele ser un ransomware sin cifrado porque el respaldo automatizado de datos en la nube, estándar en muchos dispositivos móviles, facilita la reversión de los ataques de cifrado.

  • Los wipers o ransomware destructivos amenazan con destruir datos si no se paga el rescate, excepto en los casos en que el ransomware destruye los datos incluso si se paga el rescate. Se sospecha que son agentes o hactivistas de un país o estado, en lugar de delincuentes cibernéticos comunes, quienes despliegan este tipo de wipers.

  • El scareware es justo lo que parece: un ransomware que intenta asustar a los usuarios para que paguen un rescate. Es posible que un scareware se presente como un mensaje de una agencia policial, acusando a la víctima de un delito y exigiendo una multa; podría falsificar una alerta legítima de infección por virus, alentando a la víctima a comprar un antivirus o software antimalware. A veces, el scareware es el ransomware, que cifra los datos o bloquea el dispositivo; en otros casos, es el vector del ransomware, que no cifra nada pero coacciona a la víctima para que descargue el ransomware.
Regístrese para obtener la Guía definitiva sobre ransomware 2023
Cómo infecta el ransomware un sistema o dispositivo

Los ataques de ransomware pueden usar varios métodos o vectores para infectar una red o dispositivo. Algunos de los vectores de infección de ransomware más destacados son:

  • Correos electrónicos de phishing y otros ataques de ingeniería social: los correos electrónicos de phishing manipulan a los usuarios para que descarguen y ejecuten un archivo adjunto malicioso (que contiene el ransomware disfrazado con un aspecto inofensivo de .pdf, documento de Microsoft Word, u otro archivo), o para que visiten un sitio web malicioso que pasa el ransomware a través del navegador web del usuario. En el Estudio de organizaciones con resiliencia cibernética de 2021 de IBM, el phishing y otras tácticas de ingeniería social causaron el 45 % de todos los ataques de ransomware informados por los participantes de la encuesta, haciéndolos los más comunes de todos los vectores de ataque de ransomware.

  • Vulnerabilidades del sistema operativo y del software: Los delincuentes cibernéticos a menudo aprovechan las vulnerabilidades existentes para inyectar código malicioso en un dispositivo o red. Las vulnerabilidades de día cero, que son vulnerabilidades desconocidas para la comunidad de seguridad o identificadas pero aún no parcheadas, suponen una amenaza particular. Algunos grupos delincuentes de ransomware compran información sobre fallas de día cero de otros hackers para planificar sus ataques. Los hackers también han utilizado eficazmente vulnerabilidades parcheadas como vectores de ataque, como fue el caso en el ataque de WannaCry de 2017 que se analiza a continuación.

  • Robo de credenciales: los delincuentes cibernéticos pueden robar las credenciales de los usuarios autorizados, comprarlas en la web oscura o romperlas a través de la fuerza bruta. Luego, pueden usar estas credenciales para iniciar sesión en una red o computadora y desplegar el ransomware directamente. El protocolo de escritorio remoto (RDP), un protocolo patentado desarrollado por Microsoft para permitir a los usuarios acceder a un equipo de forma remota, es un objetivo popular de robo de credenciales entre los atacantes de ransomware.

  • Otro malware: los hackers a menudo usan malware desarrollado para otros ataques para entregar un ransomware a un dispositivo. El troyano Trickbot, por ejemplo, originalmente diseñado para robar credenciales bancarias, se utilizó para difundir la variante de ransomware Conti durante 2021.

  • Descargas no autorizadas: los hackers pueden utilizar sitios web para pasar ransomware a dispositivos sin el conocimiento de los usuarios. Los kits de aprovechamiento utilizan sitios web comprometidos para analizar los navegadores de los visitantes en busca de vulnerabilidades de aplicaciones web que puedan usar para inyectar ransomware en el dispositivo. La publicidad maliciosa, anuncios digitales legítimos comprometidos por hackers, puede pasar ransomware a los dispositivos, incluso si el usuario no hace clic en el anuncio.

Los delincuentes cibernéticos no tienen que desarrollar su propio ransomware para aprovechar estos vectores. Algunos desarrolladores de ransomware comparten su código de malware con los delincuentes cibernéticos a través de acuerdos de ransomware como servicio (RaaS). El delincuente cibernético, o "afiliado", utiliza el código para llevar a cabo un ataque y luego divide el pago de rescate con el desarrollador. Es una relación mutuamente beneficiosa: los afiliados pueden beneficiarse de la extorsión sin tener que desarrollar su propio malware, y los desarrolladores pueden aumentar sus ganancias sin lanzar ciberataques adicionales.

Los distribuidores de ransomware pueden vender ransomware a través de mercados digitales o reclutar afiliados directamente a través de foros en línea o vías similares.Los grandes grupos de ransomware han invertido importantes sumas de dinero para atraer afiliados.El grupo REvil, por ejemplo, gastó 1 MUSD en una campaña de contratación en octubre de 2020.

Etapas de un ataque de ransomware

Un ataque de ransomware típicamente consiste de las siguientes etapas.

Etapa 1: acceso inicial

Los vectores de acceso más comunes para los ataques de ransomware siguen siendo el phishing y el aprovechamiento de vulnerabilidades.

Etapa 2: posaprovechamiento

Dependiendo del vector de acceso inicial, esta segunda etapa puede requerir el uso de una herramienta de acceso remoto intermediario (RAT) o malware antes de establecer el acceso interactivo.

Etapa 3: comprensión y ampliación

Durante esta tercera etapa del ataque, los atacantes se centran en comprender el sistema local y el dominio al que tienen acceso actualmente y en obtener acceso a otros sistemas y dominios (llamado movimiento lateral).

Etapa 4: recopilación y exfiltración de datos

Aquí los operadores de ransomware cambian su enfoque para identificar datos valiosos y exfiltrarlos (robarlos), generalmente descargando o exportando una copia para ellos mismos. Si bien los atacantes pueden exfiltrar todos y cada uno de los datos a los que pueden acceder, por lo general se centran en datos especialmente valiosos (credenciales de inicio de sesión, información personal de los clientes, propiedad intelectual) que pueden utilizar para una doble extorsión.

Etapa 5: despliegue y envío de la nota

El ransomware criptográfico comienza a identificar y cifrar archivos. Algunas versiones de ransomware criptográfico también deshabilitan las funciones de restauración del sistema o eliminan o cifran los respaldos en el equipo o la red de la víctima para aumentar la presión de pagar la clave de descifrado. El ransomware sin cifrado bloquea la pantalla del dispositivo, inunda el dispositivo con ventanas emergentes o evita que la víctima use el dispositivo.

Una vez cifrados los archivos o deshabilitado el dispositivo, el ransomware alerta a la víctima de la infección, a menudo a través de un archivo .txt en el escritorio de la computadora o a través de una notificación emergente. La nota de rescate contiene instrucciones sobre cómo pagar el rescate, generalmente en criptomonedas o un método no posible de rastrear similar, a cambio de una clave de descifrado o restauración de operaciones estándar.

Variantes notables de ransomware

Desde 2020, los investigadores de ciberseguridad han identificado más de 130 familias o variantes de ransomware distintas y activas: cepas únicas de ransomware con sus propias firmas de código y funciones. 

Entre las muchas variantes de ransomware que han circulado a lo largo de los años, varias cepas son especialmente notables por el alcance de su destrucción, cómo influyeron en el desarrollo del ransomware o las amenazas que aún representan hoy en día.
 

CryptoLocker


Aparecido por primera vez en septiembre de 2013, CryptoLocker es ampliamente conocido como el inicio de la era moderna del ransomware. Propagado usando una botnet (una red de computadoras secuestradas), CryptoLocker fue una de las primeras familias de ransomware en cifrar fuertemente los archivos de los usuarios. Se estima que sus extorsiones sumaron tres millones de dólares antes de que un esfuerzo internacional de aplicación de la ley la cerrara en 2014. El éxito de CryptoLocker generó numerosos imitadores y allanó el camino para variantes como WannaCry, Ryuk y Petya (descritas a continuación).
 

WannaCry


El primer criptogusano de alto perfil, el ransomware que puede propagarse a otros dispositivos en una red, WannaCry, atacó más de 200 000 computadoras (en 150 países) que los administradores administradores no habían parcheado para la vulnerabilidad EternalBlue de Microsoft Windows. Además de cifrar datos confidenciales, el ransomware WannaCry amenazó con borrar archivos si no se recibía el pago en un plazo de siete días. Sigue siendo uno de los mayores ataques de ransomware hasta la fecha, con costos estimados de hasta cuatro mil millones de dólares.
 

Petya y NotPetya


A diferencia de otros ransomware criptográficos, Petya cifra la tabla del sistema de archivos en lugar de los archivos individuales, lo que implica que el equipo infectado no puede iniciar Windows. NotPetya, una versión muy modificada, se utilizó para llevar a cabo un ciberataque a gran escala, principalmente contra Ucrania, en 2017. NotPetya era un wiper incapaz de desbloquear los sistemas incluso después de que se pagó el rescate.
 

Ryuk


Visto por primera vez en 2018, Ryuk popularizó los ataques de "ransomware de caza mayor" contra objetivos específicos de alto valor, con demandas de rescate que promedian más de un millón de dólares. Ryuk puede localizar y desactivar archivos de respaldo y características de restauración del sistema; en 2021 se descubrió una nueva cepa con capacidades de criptogusano.
 

DarkSide


Dirigido por un grupo sospechoso de operar desde Rusia, DarkSide es la variante de ransomware que atacó a la empresa Colonial Pipeline de los Estados Unidos el 7 de mayo de 2021, en lo que se considera el peor ataque cibernético contra la infraestructura crítica de los Estados Unidos hasta la fecha. Como consecuencia, se cerró temporalmente el oleoducto que suministra el 45 % del combustible de la costa este de Estados Unidos. Además de lanzar ataques directos, el grupo DarkSide también licencia su ransomware a afiliados a través de acuerdos RaaS.
 

Locky


Locky es un ransomware criptográfico con un método distinto de infección: utiliza macros ocultas en archivos adjuntos de correo electrónico (archivos de Microsoft Word) disfrazados de facturas legítimas. Cuando un usuario descarga y abre el documento de Microsoft Word, las macros maliciosas descargan secretamente la carga útil del ransomware en el dispositivo del usuario.
 

REvil/Sodinokibi


REvil, también conocido como Sodin o Sodinokibi, ayudó a popularizar el enfoque RaaS para la distribución de ransomware. Conocido por su uso en la caza mayor y los ataques de doble extorsión, REvil estuvo detrás de los ataques de 2021 contra JBS USA y Kaseya Limited. JBS pagó un rescate de 11 000 000 USD después de que se interrumpió toda su operación de procesamiento de carne de res en EE. UU., y más de 1000 de los clientes de software de Kaseya se vieron afectados por un tiempo de inactividad significativo. El Servicio Federal de Seguridad de Rusia informó que había desmantelado REvil y acusado a varios de sus miembros a principios de 2022.

Pagos de rescate

Hasta 2022, la mayoría de las víctimas de ransomware cumplieron con las demandas de rescate de sus atacantes. Por ejemplo, en el Estudio de organizaciones con resiliencia cibernética 2021 de IBM, el 61 % de las empresas participantes que experimentaron un ataque de ransomware en el lapso de dos años antes del estudio señalaron que habían pagado un rescate.

Sin embargo, informes recientes señalan que hubo un cambio en 2022. Coveware, empresa de respuesta ante incidentes de extorsión cibernética, divulgó resultados en los que solo el 41 por ciento de las víctimas de ransomware en 2022 pagaron un rescate, en comparación con el 51 por ciento en 2021 y el 70 por ciento en 2020. Chainanalysis, un proveedor de plataformas de datos de blockchain, informó que los atacantes de ransomware obtuvieron casi un 40 % menos dinero de las víctimas en 2022 que en 2021 (enlace externo a ibm.com). Los expertos apuntan a una mejor preparación para los delitos cibernéticos (incluidos los respaldos de datos) y a una mayor inversión en tecnología de prevención y detección de amenazas como factores potenciales detrás de este cambio.
 

Orientación para las autoridades


Las fuerzas de seguridad federales de Estados Unidos desaconsejan unánimemente a las víctimas de ransomware que paguen las peticiones de rescate. Según la National Cyber Investigative Joint Task Force (NCIJTF), una coalición de 20 organismos federales estadounidenses encargados de investigar las ciberamenazas:

"El FBI no alienta el pago de un rescate a los criminales. Pagar un rescate puede animar a los adversarios a atacar más organizaciones así como alentar a otros delincuentes a participar en la distribución del ransomware o financiar actividades ilícitas. Pagar el rescate tampoco garantiza que se recuperarán los archivos de una víctima".

Las agencias encargadas de hacer cumplir la ley recomiendan que las víctimas de ransomware informen los ataques a las autoridades correspondientes, como el Centro de Denuncias de Delitos en Internet (IC3) del FBI, antes de pagar un rescate. Algunas víctimas de ataques de ransomware pueden estar legalmente obligadas a informar infecciones de ransomware sin importar si se paga un rescate. Por ejemplo, el cumplimiento de HIPAA generalmente requiere que las entidades de atención médica informen cualquier violación de datos, incluidos los ataques de ransomware, al Departamento de Salud y Servicios Humanos.

En ciertas condiciones, pagar un rescate puede ser ilegal. Según un aviso de 2020 de la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de Estados Unidos, pagar un rescate a atacantes de países sometidos a sanciones económicas estadounidenses, como Rusia, Corea del Norte o Irán, constituiría una violación de la normativa de la OFAC y podría derivar en sanciones civiles, multas o cargos penales.

Protección y respuesta ante ransomware

Para defenderse contra las amenazas de ransomware, las agencias federales como CISA, NCIJFT y el Servicio Secreto de los Estados Unidos recomiendan que las organizaciones tomen ciertas medidas de precaución, tales como:

  • Mantener respaldos de imágenes confidenciales de datos y del sistema, idealmente en discos duros u otros dispositivos que puedan desconectarse de la red.

  • Aplicación periódica de parches para ayudar a prevenir los ataques de ransomware que aprovechan el software y la vulnerabilidad del sistema operativo.

  • Actualizar las herramientas de ciberseguridad , incluidos el software antimalware y antivirus, los cortafuegos, las herramientas de supervisión de redes y las gateways web de seguridad, así como las soluciones de ciberseguridad empresarial, como la orquestación, automatización y respuesta de seguridad (SOAR), la detección y respuesta de endpoints (EDR), la gestión de información y eventos de seguridad (SIEM) y la detección y respuesta ampliadas (XDR), que ayudan a los equipos de seguridad a detectar y responder al ransomware en tiempo real.

  • Capacitación en ciberseguridad para empleados a fin de ayudar a los usuarios a reconocer y evitar el phishing, la ingeniería social y otras tácticas que pueden conducir a infecciones de ransomware.

  • Implementar políticas de control de acceso que incluyen autenticación multifactor, arquitectura de confianza cero, segmentación de red y medidas similares que puedan evitar que el ransomware llegue a datos particularmente confidenciales y que los criptogusanos se propaguen a otros dispositivos de la red.

Si bien las herramientas de descifrado para algunas variantes de ransomware están disponibles públicamente a través de proyectos como No More Ransom, corregir una infección activa de ransomware a menudo requiere un enfoque multifacético.Consulte en la Guía definitiva de ransomware de IBM Security un ejemplo de un plan de respuesta a incidentes de ransomware modelado según el ciclo de vida de respuesta a incidentes del National Institute of Standards and Technology (NIST).

Breve cronograma del ransomware

1989: el primer ataque de ransomware documentado, conocido como el troyano AIDS o "PC Cyborg", se distribuyó en disquetes.Ocultaba directorios de archivos en el ordenador de la víctima y exigía 189 dólares para desocultarlos. Sin embargo, debido a que cifraba los nombres de los archivos en lugar de los propios archivos, era fácil para los usuarios revertir el daño sin pagar un rescate.

1996: al analizar las fallas del virus troyano AIDS los científicos informáticos Adam L. Young y Moti Yung advirtieron sobre futuras formas de malware que podrían usar criptografía de clave pública más sofisticada para mantener como rehenes los datos confidenciales. 

2005: después de relativamente pocos ataques de ransomware a principios de la década de 2000, comienza un repunte de infecciones, centrado en Rusia y Europa del Este. Aparecen las primeras variantes para usar el cifrado asimétrico. A medida que el nuevo ransomware ofrecía formas más efectivas de extorsión, más delincuentes cibernéticos comenzaron a propagar ransomware en todo el mundo.

2009: la introducción de la criptomoneda, particularmente el bitcoin, brinda a los delincuentes cibernéticos una forma de recibir pagos de rescate irrastreables, impulsando el próximo aumento en la actividad de ransomware.

2013: la era moderna del ransomware comienza con CryptoLocker, que inaugura la ola actual de ataques de ransomware altamente sofisticados basados en cifrado y que solicitan pago en criptomonedas.

2015: la variante de ransomware Tox presenta el modelo de ransomware como servicio (RaaS).

2017: aparece WannaCry, los primeros criptogusanos autorreplicantes ampliamente utilizados.

2018: Ryuk popularizó la caza mayor en el ransomware.

2019: los ataques de ransomware de doble y triple extorsión comienzan a aumentar. Casi todos los incidentes de ransomware a los que el equipo de respuesta a incidentes de IBM® Security X-Force ha respondido desde 2019 han involucrado una doble extorsión.

2022: el secuestro de hilos, en el que los delincuentes cibernéticos se insertan en las conversaciones en línea de los objetivos, surge como un vector de ransomware destacado.

Soluciones relacionadas
IBM Security® QRadar® Suite

Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de endpoint, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.

Conozca QRadar Suite
Soluciones de protección contra el ransomware

Evite que el ransomware interrumpa la continuidad del negocio y recupérese rápidamente cuando se produzcan ataques, con un enfoque de confianza cero que le ayuda a detectar y responder al ransomware con mayor rapidez y minimizar el impacto de estos ataques.

Explore las soluciones de protección contra ransomware
Respuesta ante incidentes de IBM Security® X-Force®

Utilice nuestros servicios de seguridad defensiva, que incluyen preparación ante incidentes, detección y respuesta ante emergencias, para ayudarle a detectar, responder y contener un incidente antes de que se pueda producir un daño significativo.

Explore la respuesta ante incidentes de X-Force
IBM Security® X-Force® Red

Emplee nuestros servicios de seguridad ofensiva, que incluyen pruebas de penetración, gestión de vulnerabilidades y simulación de adversarios, para ayudar a identificar, priorizar y remediar fallas de seguridad que cubren todo su ecosistema digital y físico.

Explore X-Force Red
Servicios de Ciberseguridad

Transforme su negocio y gestione el riesgo con un líder global del sector en servicios de consultoría de ciberseguridad, en la nube y de seguridad gestionada.

Explore los servicios de ciberseguridad
Recursos X-Force® Threat Intelligence Index

Encuentre insights procesables que le ayuden a comprender cómo los actores de amenazas están librando ataques y cómo proteger proactivamente a su organización.

La guía definitiva del ransomware

Conozca los pasos críticos para proteger su negocio antes de que un ataque de ransomware pueda penetrar sus defensas y para lograr una recuperación óptima si los adversarios violan el perímetro.

Costo de una filtración de datos

En su 17.ª edición, este informe comparte los datos más recientes sobre el creciente panorama de las amenazas, y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.

¿Qué es SIEM?

La gestión de eventos e información de seguridad (SIEM) ofrece monitoreo y análisis en tiempo real de eventos, así como seguimiento y registro de datos de seguridad para fines de cumplimiento o auditoría.

Ciudadanos más seguros, comunidades más fuertes

Los Ángeles se asocia con IBM Security para crear el primer grupo de intercambio de ciberamenazas para protegerse de los delincuentes cibernéticos.

Taller IBM Security Framing and Discovery

Trabaje con arquitectos y consultores de seguridad senior de IBM para priorizar sus iniciativas de ciberseguridad en una sesión de pensamiento de diseño de 3 horas sin costo, virtual o en persona.

Dé el siguiente paso

Las amenazas de ciberseguridad son cada vez más avanzadas y persistentes, y exigen un mayor esfuerzo por parte de los analistas de seguridad para examinar innumerables alertas e incidentes. IBM® Security QRadar SIEM ayuda a solucionar amenazas con mayor rapidez y, al mismo tiempo, mantiene sus resultados. QRadar SIEM prioriza las alertas de alta fidelidad para ayudarle a detectar amenazas que otros pasan por alto.

Explore QRadar SIEM Reserve una demostración en vivo