Ya te hemos hablado acerca del revuelo que está provocando el ransomware, y predecimos que cada vez escucharás más de este problema en las noticias. Incluso puede que ya hayas tenido la mala suerte de haberlo experimentado. Cualquiera que sea el caso, en Lobostech te contamos qué es el ransomware, sus tipos, cómo puedes infectarte, qué debes hacer en caso de una infección y todo lo que debes saber sobre este malware.
¿Qué es el ransomware?
El malware de rescate, o ransomware, es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales, secuestrándolos, y que exige el pago de un rescate para poder acceder de nuevo a ellos. Las primeras variantes de ransomware se crearon al final de la década de los 80, y el pago debía efectuarse por correo postal. Hoy en día los creadores de ransomware piden que el pago se efectúe mediante criptomonedas o tarjetas de crédito.
¿Cómo puedes infectarte?
El ransomware puede infectar tu ordenador de varias formas. Uno de los métodos más habituales actualmente es a través de spam malicioso, o malspam, que son mensajes no solicitados que se utilizan para enviar malware por correo electrónico. El mensaje de correo electrónico puede incluir archivos adjuntos trampa, como PDF o documentos de Word. También puede contener enlaces a sitios web maliciosos.
El malspam usa ingeniería social para engañar a la gente con el fin de que abra archivos adjuntos o haga clic en vínculos que parecen legítimos, aparentando que proceden de una institución de confianza o de un amigo. Los ciberdelincuentes emplean la ingeniería social en otros tipos de ataques de ransomware, por ejemplo presentarse como el FBI para asustar a los usuarios y obligarles a pagar una suma de dinero por desbloquear los archivos.
Otro método de infección habitual, que alcanzó su pico en 2016, es la publicidad maliciosa. La publicidad maliciosa consiste en el uso de publicidad en línea para distribuir malware con poca interacción por parte del usuario o incluso ninguna. Mientras navegan por la web, incluso por sitios legítimos, los usuarios pueden ser conducidos a servidores delictivos sin necesidad de hacer clic en un anuncio. Estos servidores clasifican los detalles de los ordenadores de las víctimas y sus ubicaciones y, a continuación, seleccionan el malware más adecuado para enviarlo. Frecuentemente, ese malware es ransomware.
La publicidad maliciosa a menudo usa un iframe infectado, o elemento invisible de una página web, para hacer su trabajo. El iframe redirige a una página de aterrizaje de un exploit y el código malicioso ataca el sistema desde esta mediante un kit de exploits. Todo esto sucede sin el conocimiento del usuario, por lo que a menudo se conoce como ataque drive-by-download (por descarga oculta).
Tipos de ransomware
Hay tres tipos principales de ransomware, cuya gravedad va desde "algo molesto" a peligro del nivel de "crisis de los misiles de Cuba". Son los siguientes:
Scareware
El scareware no resulta tan temible, la mayoría de las veces. Incluye programas de seguridad falsos y ofertas falsas de soporte técnico. Podrías recibir un mensaje emergente que te informa de que se ha detectado malware y que la única forma de librarse de él es pagar. Si no lo haces, seguramente continuarás siendo bombardeado con mensajes emergentes, pero tus archivos están básicamente a salvo.
Un programa de software legítimo de seguridad informática no se dirigiría a los clientes en esos términos. Además, si no tienes instalado un programa de esa compañía en el ordenador, esta no tiene por qué estar supervisándote para detectar una infección por ransomware. Y en caso de que tuvieras ese software de seguridad, no tendrías que pagar por la eliminación de la infección, puesto que ya pagaste el precio del software para que este haga precisamente ese trabajo. Para mayor información sobre el scareware visita la infografía que publicamos en Instagram y síguenos para conocer más sobre tips de cyberseguridad: https://www.instagram.com/p/CemZPEDr0sX/
Bloqueadores de pantalla
Con estos la alerta pasa a naranja. Si un ransomware que bloquea la pantalla llega a tu ordenador, te impedirá el uso de su PC por completo. Al encender el ordenador aparece una ventana que ocupa toda la pantalla, a menudo acompañada de un emblema de aspecto oficial del FBI, del Departamento de Justicia de los Estados Unidos, o del cuerpo policial del país donde te encuentres indicando que se han detectado actividades ilegales en tu ordenador y que debes pagar una multa. Sin embargo, ningun cuerpo poilicial actuaría nunca así ni te exigiría ningún pago por la realización de una actividad ilegal. En caso de que sospecharan que cometes piratería, o que has cometido cualquier otro delito informático, el cuerpo policial seguiría los canales legales adecuados y muy posiblemente se presentarían con una orden de arresto.
Ransomware de cifrado
Este es ciertamente el peor de todos (y el más temido también). Este ransomware secuestra los archivos y los cifra, exigiendo un pago para volver a descifrarlos y devolverlos. La razón por la que este tipo de ransomware es tan peligroso es porque una vez que los ciberdelincuentes se apoderan de los archivos, casi ningún software es capaz de recuperarlos. A menos que pague el rescate, puedes despedirte de tus archivos. E incluso cuando pagas, no hay ninguna garantía de que los delincuentes te devuelvan los archivos.
Dijimos que casi ningún software es capaz es porque afortunadamente tenemos SpyWarrior, el antivirus más potente diseñado especialmente para prevenir y combatir el ransomware y ha sido probado efectivamente contra ransomwares famosos como Tesla Scrypt, Thanos y WannaCry.
¿A quién atacan los creadores del ransomware?
Cuando se introdujo el ransomware, sus primeras víctimas fueron sistemas particulares (es decir, personas normales y corrientes). Sin embargo, los delincuentes empezaron a ser conscientes de todo su potencial cuando desplegaron el ransomware para las empresas. El ransomware tuvo tanto éxito contra las empresas, llegando incluso a detener la producción y provocar pérdidas de datos y de beneficios, que sus creadores dirigieron la mayoría de sus ataques contra ellas. Hoy en día es posible ver noticias de ciudades e incluso países enteros afectados por el ransomware, con las amenazas apuntando a la infraestructura y las cifras de rescate rondando en los millones de dólares.
Tan sólo en 2021 hubo ataques con consecusencias devastadoras como el ataque a Colonial Pipeline, la compañía de oleoducto más importante de Estados Unidos, que sufrió un ataque del ransomware DarkSide en mayo que provocó el corte de suministro de combustible en gran parte de los Estados Unidos.
Otro ataque importante fue el de Kaseya, un software de gestión de TI (utilizado comúnmente por proveedores de servicios administrados) y mediante un ataque de cadena de suministro utilizando un instalador de una actualización automática del software, comprometieron a más de 1500 compañías en varios países. Luego, demandaron la millonaria cifra de 70 millones de dólares por un descifrador para todas las víctimas.
¿Qué hacer si hay infección?
La regla número uno si tes das cuenta de que has sido infectado con ransomware es no pagar nunca el rescate. Todo lo que conseguirías sería animar a los ciberdelincuentes a lanzar ataques adicionales contra usted o contra otras personas.
Lo primero que hay que hacer es actuar con calma y no precipitarse en realizar acciones de las que luego nos podamos arrepentir más tarde. En ese momento seguramente ya no puedes acceder a muchos archivos importantes en tu ordenador, pero quizás puedas salvar alguno que todavía no se haya cifrado.
El segundo paso que debemos hacer es tomar una foto del mensaje del ataque de ransomware utilizando nuestro móvil. También si es posible deberíamos intentar hacer una captura de pantalla del equipo infectado. Esto nos puede ayudar tanto a la hora de presentar una denuncia más adelante como también podrá acelerar el proceso de recuperación.
En un ataque de ransomware es vital aislar los sistemas afectados lo antes posible. El ransomware puede escanear la red de destino y puede propagarse lateralmente a otros sistemas. En este caso lo mejor es separar los equipos de nuestra red afectados para contener, mitigar y detener la propagación del ransomware.
Llegado este momento es muy importante proteger nuestras copias de seguridad separándolas del resto de la red. También debemos bloquear el acceso a los sistemas de respaldo hasta que se elimine la infección. Por ejemplo, una buena idea es eliminar todas las sincronizaciones automáticas de nuestras copias de seguridad ya que podríamos sustituir las buenas por otras cifradas. La mayoría de las variedades modernas de un ataque de ransomware después de cifrar los archivos van inmediatamente después por las copias de seguridad para impedir que podamos recuperar nuestros archivos.
También debemos deshabilitar las tareas de mantenimiento automatizadas, como la eliminación de archivos temporales y la rotación de registros de los equipos afectados. Gracias a esto podremos contar con archivos que puedan ser útiles en una investigación posterior.
En el momento en que seamos víctima de un ataque de ransomware te tienes que poner en contacto con la policía y denunciar el delito. Esto puede ayudar a que en futuras investigaciones detengan al ciberdelincuente y quizás puedan prestarle ayuda de algún tipo.
¿Cómo protegerse del ransomware?
Los expertos en seguridad están de acuerdo en que el mejor modo de protegerse frente al ransomware es evitándolo.
El primer paso en la prevención del ransomware es invertir en un excelente programa de seguridad informática, algún programa con protección en tiempo real diseñado para frustrar los ataques con malware avanzado, como pueda ser el ransomware. (Pssst... Sí, aquí es donde debes estar pensando en SpyWarrior y los beneficios que te trae. Si no sabes cuáles son, conócelo.)
A continuación, debes crear copias de seguridad de los datos regularmente. Nuestra recomendación es emplear un almacenamiento en la nube que incluya cifrado de alto nivel.
(¿Sabías que tenemos el software con la mejor encriptación y seguridad para tus mensajes y archivos sensibles, con almacenamiento en la nube protegido y con privacidad total? Conoce la aplicación que está revolucionando la seguridad de las empresas en Europa.)
Sin embargo, también puedes comprar unidades USB o discos duros externos en los que puede guardar archivos nuevos o actualizados, pero no olvide desconectar físicamente estos dispositivos del ordenador después de realizar la copia de seguridad ya que, en caso contrario, se podrían infectar también con el ransomware.
Finalmente, mantente siempre informado. Una de las formas más habituales en la que se infectan los ordenadores con ransomware es a través de ingeniería social. Edúcate sobre cómo detectar malspam, sitios web sospechosos y otras estafas. Y, sobre todo, usa el sentido común. Si algo parece sospechoso, probablemente lo sea.
Mantente al día de las últimas novedades sobre cyberseguridad en Lobostech, y síguenos en nuestras redes sociales para conocer tips y consejos de cómo mejorar tu seguridad informática.