El ransomware es un secuestro de datos mediante un “malware” (software malicioso) en el que el atacante pide un rescate a la víctima para restaurar el acceso a los datos.
A los usuarios se les muestran instrucciones sobre cómo pagar para obtener la clave de descifrado. El coste puede oscilar entre unos cientos de dólares hasta millones, que se pagan a los ciberdelincuentes en Bitcoin para así mantener el anonimato.
Hay varios vectores que el ransomware puede utilizar para acceder a un ordenador. Uno de los sistemas de entrega más comunes es el spam de phishing: archivos adjuntos que llegan a la víctima en un correo electrónico, haciéndose pasar por un archivo en el que debería confiar. Una vez descargados y abiertos, pueden apoderarse del ordenador de la víctima, especialmente si llevan incorporadas herramientas de ingeniería social que engañan a los usuarios para que permitan el acceso. Otras formas más agresivas de ransomware aprovechan los agujeros de seguridad para infectar los ordenadores sin necesidad de engañar a los usuarios.
Hay varias cosas que el malware puede hacer una vez que se ha apoderado del ordenador de la víctima, pero la acción más común es cifrar algunos o todos los archivos del usuario. El problema para es que los archivos no pueden ser descifrados sin una clave matemática que sólo conoce el atacante. El usuario recibe un mensaje en el que se le explica que sus archivos son ahora inaccesibles y que sólo serán descifrados si la víctima envía un pago en Bitcoins imposible de rastrear al atacante.
En algunas formas de malware, el atacante puede decir que es un organismo policial que cierra el ordenador de la víctima debido a la presencia de pornografía o software pirata en él, y exige el pago de una “multa”, quizás para que las víctimas sean menos propensas a denunciar el ataque a las autoridades. Pero la mayoría de los ataques no se molestan en esta pretensión. T
Los atacantes eligen de varias maneras las organizaciones a las que dirigen el ransomware. A veces es una cuestión de oportunidad: por ejemplo, los atacantes pueden dirigirse a las universidades porque suelen tener equipos de seguridad más pequeños y una base de usuarios dispares que comparten muchos archivos, lo que facilita la penetración de sus defensas.
Por otro lado, algunas organizaciones son objetivos tentadores porque parecen más propensas a pagar un rescate rápidamente. Por ejemplo, las agencias gubernamentales o los centros médicos suelen necesitar acceso inmediato a sus archivos. Los bufetes de abogados y otras organizaciones con datos confidenciales pueden estar dispuestos a pagar para mantener en secreto la noticia de un compromiso, y estas organizaciones pueden ser especialmente sensibles a los ataques de leakware.
Pero no pienses que estás a salvo si no entras en estas categorías: como hemos señalado, algunos ransomware se propagan de forma automática e indiscriminada por Internet.
Cómo prevenir el ransomware
Hay una serie de medidas defensivas que puedes tomar para prevenir la infección por ransomware. Estos pasos son, por supuesto, buenas prácticas de seguridad en general, por lo que seguirlos mejora tus defensas frente a todo tipo de ataques:
- Manten el sistema operativo de tu ordenador parcheado y actualizado para asegurarte de que tiene menos vulnerabilidades que explotar.
- No instales software ni le des privilegios administrativos a menos que sepas exactamente qué es y qué hace.
- Instala un software antivirus, que detecte los programas maliciosos como el ransomware a medida que llegan, y un software de listas blancas, que evite que se ejecuten aplicaciones no autorizadas.
- Y, por supuesto, haz una copia de seguridad de tus archivos, con frecuencia y de forma automática. Eso no detendrá un ataque de malware, pero puede hacer que el daño causado por uno sea mucho menos significativo.
El ransomware es un gran negocio. Hay mucho dinero en el ransomware, y el mercado se expandió rápidamente desde principios de la década. Algunos mercados son especialmente propensos al ransomware -y a pagar el rescate-. Muchos ataques de ransomware de alto perfil se han producido en hospitales u otras organizaciones médicas, que son objetivos tentadores: los atacantes saben que, con vidas literalmente en el limbo, es más probable que estas empresas simplemente paguen un rescate relativamente bajo para hacer desaparecer un problema. Se calcula que el 45% de los ataques de ransomware se dirigen a organizaciones sanitarias. Otra industria tentadora es la de los servicios financieros, que es donde está el dinero.
El ransomware es constantemente ajustado por sus desarrolladores, por lo que a menudo no son detectadas por los típicos programas antivirus. De hecho, hasta el 75% de las empresas que son víctimas del ransomware utilizaban una protección actualizada de los puntos finales en los equipos infectados.
¿Debes pagar el rescate?
Si tu sistema ha sido infectado con malware, y has perdido datos vitales que no puedes restaurar desde una copia de seguridad, ¿deberías pagar el rescate?
En teoría, la mayoría de las fuerzas del orden le instan a no pagar a los atacantes de ransomware, con la lógica de que hacerlo sólo anima a los hackers a crear más ransomware. Dicho esto, muchas organizaciones que se ven afectadas por el malware dejan rápidamente de pensar en términos de “bien mayor” y empiezan a hacer un análisis de coste-beneficio, sopesando el precio del rescate con el valor de los datos cifrados. Según un estudio de Trend Micro, aunque el 66% de las empresas dicen que nunca pagarían un rescate por principio, en la práctica el 65% paga el rescate cuando son atacadas.
Los atacantes de ransomware mantienen los precios relativamente bajos, normalmente rondando los 1.000$, una cantidad que las empresas pueden pagar a corto plazo. Algunos programas maliciosos especialmente sofisticados detectan el país en el que funciona el ordenador infectado y ajustan el rescate a la economía de esa nación, exigiendo más a las empresas de los países ricos y menos a las de las regiones pobres.
A menudo se ofrecen descuentos por actuar con rapidez, para animar a las víctimas a pagar rápidamente antes de pensarlo demasiado. En general, el precio se fija de forma que sea lo suficientemente alto como para que le merezca la pena al delincuente, pero lo suficientemente bajo como para que a menudo sea más barato que lo que la víctima tendría que pagar para restaurar su ordenador o reconstruir los datos perdidos. Teniendo esto en cuenta, algunas empresas están empezando a incorporar la posible necesidad de pagar un rescate en sus planes de seguridad: por ejemplo, algunas grandes empresas del Reino Unido, que por lo demás no están involucradas con la criptomoneda, están guardando algunos Bitcoin en reserva específicamente para el pago de rescates.
Hay un par de cosas difíciles de recordar aquí, teniendo en cuenta que las personas con las que se está tratando son, por supuesto, criminales. En primer lugar, lo que parece un ransomware puede no haber cifrado realmente tus datos; asegúrate de que no estás tratando con el llamado “scareware” antes de enviar dinero a nadie. Y en segundo lugar, pagar a los atacantes no garantiza que vayas a recuperar tus archivos. A veces, los delincuentes simplemente cogen el dinero y huyen, y puede que ni siquiera hayan incorporado la funcionalidad de descifrado en el malware. Aunque la mayoría de las veces los delincuentes cumplen y tus datos se restauran.