Ransomware: qué es el secuestro de datos, cómo funciona y qué puedo hacer para evitarlo
El ransomware es uno de los ataques informáticos a empresas que más han proliferado en los últimos años. Por eso conviene saber bien en qué consiste, cómo prevenirlo y cómo actuar si finalmente infecta el equipo del usuario.
Índice
- ¿Qué es el ransomware o secuestro de datos?
- ¿Cómo opera el ransomware?
- ¿Cómo prevenir?
- Tipos de ransomware
- Otras cuestiones técnicas
¿Qué es el ransomware o secuestro de datos?
Lo primero es ir al origen etimológico del término. Ransom es una palabra inglesa que significa “rescate”. Es decir, el ransomware provoca un secuestro virtual de información. Por lo general, el objetivo son los datos contenidos en el disco duro del ordenador del usuario. Este software malicioso tiene como propósito que la víctima, que puede ser una empresa o un organismo, aunque también un usuario común, acabe pagando un rescate por la recuperación de esos datos secuestrados. Este secuestro es virtual, y su funcionamiento se basa en dejar inaccesible la información que la víctima guarda en su disco duro, por medio del cifrado.
¿Cómo opera el ransomware?
Los delincuentes que recurren al ransomware para conseguir dinero suelen aprovecharse del desconocimiento, el descuido o la ingenuidad de las personas. Atacar sistemas es complicado y costoso. Pero atacar personas, sin embargo, es barato y efectivo. Por eso, para introducir el ransomware que va cifrar la información de los ordenadores, los atacantes suelen recurrir al phishing o engaño online.
Una de las formas más habituales es, de hecho, enviar a los empleados un correo falso con un enlace o un adjunto con una factura, nómina o recibo, por ejemplo. Un adjunto que resulte cotidiano y que al ser ejecutado hace que empiece a funcionar el ransomware en el equipo.
Los atacantes pueden recurrir a diversos tipos de engaño: haciéndose pasar por una compañía de mensajería que pide un consentimiento para enviar un paquete, o por el departamento de recursos humanos de una empresa, encargado de enviar las nóminas a los empleados. Suelen ser correos de tono urgente o alarmante, para forzar una respuesta rápida y poco meditada de la víctima.
Una vez que el ransomware ha cifrado la información, a la víctima le aparecerá un mensaje en la pantalla que le avisa de que la única forma que tiene de recuperar sus datos es pagando. Y que, si no lo hace, perderá esos datos o se expondrá a su difusión pública. Suele ser una comunicación intimidante, donde además se puede incluir un límite de tiempo para hacer el pago. Además, para que el pago sea anónimo, los atacantes suelen pedir el rescate en monedas virtuales como Bitcoins, aunque también pueden usar intermediarios (llamados muleros).
A cambio de recibir el dinero, se promete a la víctima que recuperará la información. Sin embargo, es importante tener en cuenta que realmente no hay garantías de que vaya a ser así. Hay que tener en cuenta de que se trata de delincuentes y que pueden seguir extorsionándonos aumentando la cantidad. Por eso, lo recomendable es nunca pagar el rescate. Además, el enlace que se suele enviar al cliente para proceder al desbloqueo podría contener a su vez más código malicioso.
¿Cómo prevenir?
Lo ideal para prevenir el ransomware es adelantarse al ataque, no esperar a que llegue. Y, ¿cómo puede una empresa o un usuario estar preparado de antemano? Lo más adecuado es tener un plan de prevención. Para ello, una empresa debe reforzar la ciberseguridad utilizando soluciones de seguridad (antivirus) y haciendo copias de respaldo de los datos más valiosos. Son los llamados backups, que, además, deberán estar fuera de la red de empleados, que es por donde suele circular el ransomware. De este modo, ante un ataque de ransomware, la información cifrada podrá recuperarse fácilmente y podrán formatearse los equipos sin miedo a perder datos valiosos.
Por otra parte, en este plan de prevención, es aconsejable que se fomente el almacenamiento de los datos en la nube o en carpetas de red, y no en carpetas ubicadas en los equipos locales. De este modo, la información estará a salvo ante un cifrado del disco duro del equipo atacado.
Por último, pero no menos importante, es necesario formar a la primera línea de denfensa: los empleados. Deben saber que deben desconfiar de cualquier correo, llamada, SMS o movimiento inusual. Si se recibe un mail inesperado o de un desconocido, lo mejor es borrarlo directamente. No se deben abrir adjuntos ni seguir enlaces. Si el correo proviene de una persona o entidad conocida, pero provoca extrañeza, lo mejor es confirmar por otra vía la veracidad de dicha comunicación.
Además, tanto los empleados como las empresas deben saber que un software desactualizado es una puerta abierta para el ransomware. Los atacantes conocen las vulnerabilidades de sistemas operativos y aplicaciones, tanto de los ordenadores como de los móviles, y realizan su software malicioso de forma que se aproveche de las mismas. Por eso, la mejor manera de no dejar pasar al ransomware es tener tanto los programas como el sistema operativo y el antivirus al día y con sus parches de seguridad actualizados.
También ayudará mantenerse relativamente informado sobre la actualidad el sector cibernético, así como realizar pequeños test de espacios de confianza que permitan comprobar el nivel de seguridad de la red en la que trabajas.
Tipos de ransomware
Existen dos clases de ransomware. El ransomware de bloqueo, que afecta a las funciones básicas del equipo infectado; y el ransomware de cifrado, que cifra archivos individuales.
Si hablamos de los grupos de ransomware más activos, en el último año han sido protagonistas de muchos ataques Ruyk, Maze, Dopplepaymer, Netwalker, Conti y REvil. Ruyk, por ejemplo, está detrás del ataque que en marzo de 2021 dejó bloqueados durante semanas muchos de los sistemas del Servicio Público de Empleo Estatal (SEPE), lo que paralizó la actividad de las 710 oficinas de este organismo, así como de otras 52 telemáticas. No está claro su origen de Ruyk, pero se vincula con organizaciones rusas de cibercriminales.
Netwalker, por su parte, ha sido responsable de muchos ataques a empresas de logística, industria y energía. Se calcula que en la primera parte de 2020, generó para los malhechores hasta 25 millones de dólares en pagos. Sus creadores ofrecieron la posibilidad de alquilar Netwalker a estafadores solitarios a cambio de un porcentaje de la estafa. Sin embargo, en enero de 2021 una operación policial neutralizó al ciudadano canadiense sospechoso de extorsionar gracias a Netwalker.
Otras cuestiones técnicas
Además del engaño por correo electrónico, hay métodos más sofisticados para introducir el ransomware en una empresa. Por ejemplo, hay variedades de ransomware que utilizan servidores web desactualizados, o incluso sistemas industriales (SCADA) que están conectados a internet sin las mínimas medidas de seguridad. Es sonoro el caso de una petroquímica europea que vio en 2017 como su red de ordenadores se venía abajo debido a un ransomware diseminado por una máquina de café conectada al wifi interno.
También es conocido el llamado método drive-by download, que consiste en dirigir a las víctimas a un sitio web infectado. O el del malvertizing, que implica incrustar anuncios maliciosos en páginas web legales. El anuncio contiene el código que infecta el equipo cuando el usuario hace clic en esa publicidad.