Ransomware: el virus del rescate

ransomware-il-virus-del-riscatto

El ransomware, un virus (o mejor dicho, un malware) que bloquea los ordenadores para realizar una extorsión, es hoy en día una de las mayores amenazas informáticas a las que se enfrentan las empresas de todo el mundo.

Desde el inicio de la pandemia, el número de ataques a escala global ha aumentado vertiginosamente. Según las estadísticas de la Polizia Postale, los ataques en Italia contra infraestructuras críticas (daños, interrupción del servicio, robo de datos con fines extorsivos) aumentaron en un 246 % durante 2020.

En todo el mundo, el 25 % de los ataques de ransomware afectaron principalmente a empresas manufactureras, seguidas por las de servicios profesionales, con un 17 %, y las organizaciones gubernamentales, con un 13 %. Aprovechando los temores y la sensación de aislamiento provocados por el Covid y la rápida transición hacia un uso cada vez mayor de las tecnologías digitales, los colegios y las universidades también se han visto gravemente afectados.

De hecho, los efectos de la pandemia han creado el ambiente perfecto para el florecimiento de este tipo de ataques. Los ciberdelincuentes se han apresurado a explotar cualquier brecha de seguridad que han podido localizar para realizar una increíble cantidad de ataques de phishing relacionados con la COVID-19.

Muchas empresas se han encontrado de pronto con un ataque de ransomware y la consiguiente demanda de rescate.

La forma en que se produce un ataque no siempre es la misma. En muchos casos, el ataque comienza con la compra en la dark web de información sensible previamente robada, como contraseñas o perfiles de usuarios. Se trata de una información fundamental, útil para que grandes y pequeñas organizaciones criminales puedan desencadenar un ataque en una empresa específica y solicitar un rescate. Según la empresa especializada Coveware, este tipo de rescates han aumentado en promedio entre el primer y el segundo semestre de 2020 en un 47 %.

¿Qué es un ramsoware?

El ransomware es un tipo de malware que, al cifrar los archivos, impide que los usuarios accedan a los sistemas informáticos. Para poder desbloquear los sistemas es necesario pagar un rescate. El pago del rescate generalmente se solicita en Bitcoin u otras criptomonedas difíciles de rastrear. Los ciberdelincuentes suelen poner una fecha límite para el pago del rescate. Después de esa fecha, el pago del rescate se duplicará o, como alternativa, los archivos se bloquearán permanentemente.

En 2020, Sodinokibi (también conocido como Revil) fue el tipo de ransomware más activo. La particularidad de este ransomware es su modelo de negocio: Ransomware-as-a-Service (RaaS).

En la práctica, el Grupo Revil pone a disposición de terceros delincuentes las infraestructuras, las herramientas, el ransomware y el código relacionado, recibiendo a cambio un porcentaje (entre el 20/30 %) de los rescates extorsionados a las víctimas.

¿Cómo puede un ransomware infectar un ordenador?

Hay varias maneras en que un ransomware puede infectar un ordenador.

La forma más común es a través de correos electrónicos de phishing que contienen enlaces o archivos adjuntos maliciosos. Una vez que hacemos clic en el enlace o abrimos el archivo adjunto, el malware se instala en el sistema y comienza a cifrar los archivos.

Un ransomware también se puede distribuir a través de sitios web maliciosos, dispositivos multimedia extraíbles infectados, APLICACIONES de mensajería o redes sociales, incluso aprovechando las vulnerabilidades de los dispositivos con sistemas y software desactualizados.

¿Es posible protegerse de un ataque de ransomware?

Para protegerse, sin duda es útil seguir algunas buenas costumbres:

  • Realizar copias de seguridad con regularidad: deben realizarse con regularidad copias de seguridad (conocidas como backup) para minimizar la pérdida de datos en caso de un ataque de ransomware. La mejor práctica conocida sobre copias de seguridad recomienda la regla 3-2-1: 3 copias de los datos en 2 formatos de almacenamiento diferentes, y al menos 1 copia en otra ubicación. En caso de ataque, será posible recuperar rápidamente los datos sin necesidad de pagar ningún rescate.
  • Reconocer un ataque de phishing: Los ataques de ransomware dependen en gran medida de si el usuario abre o no un mensaje de phising. Por lo tanto, para protegerse de estas amenazas, es fundamental que las empresas impliquen a toda la plantilla en cursos efectivos de formación para concienciarse acerca de la seguridad cibernética. Para aumentar la conciencia y formar al personal para reconocer y evitar el phishing, el recorrido formativo debe incluir un curso de simulación antiphishing automatizado y adaptativo.
  • No expongas tus datos confidenciales: Los ciberdelincuentes a menudo usan credenciales robadas a los empleados para obtener acceso a los sistemas y distribuir ransomware. Muchas veces, estas credenciales son el resultado de ataques de phishing anteriores o violaciones de datos. Es importante recordar que proporcionar tus datos confidenciales online puede ser muy arriesgado, especialmente si no estás absolutamente seguro de la legitimidad de la solicitud. Habilitar la autenticación de múltiples factores puede impedir que un hacker acceda a un sistema, incluso si tiene las credenciales de un usuario. Cambiar las contraseñas cada cierto tiempo, y evitar repetir la misma contraseña en varias cuentas, son otras dos buenas prácticas, que ponen «palos en las ruedas» de las organizaciones criminales.
  • Mantener el software y los sistemas operativos actualizados: Los hackers aprovechan con frecuencia las vulnerabilidades de los sistemas operativos y las aplicaciones para distribuir los programas ransomware. Por lo tanto, es fundamental aplicar las actualizaciones tan pronto como se lancen. Esto permite mantener los sistemas y las APLICACIONES actualizados, estables y a salvo de malware y otras amenazas.