IT wiki, , , , ,

De los ataques que últimamente se están produciendo destacan por su frecuencia los producidos por ransomware, un tipo de malware que tiene como objetivo bloquear el uso de un equipo o parte de la información que contiene, para después pedir un rescate a cambio de su liberación. Esto causa un gran impacto en las víctimas, pudiendo afectar a cualquier usuario, negocio o actividad.

Durante 2021 numerosas empresas y organismos oficiales sufrieron ransomware, como el conocido ataque informático a la web del SEPE que desencadenó más ciberataques tumbando temporalmente las webs del INE, Justicia, Interior y otros ministerios.

Actualmente, el ransomware es una de las amenazas que más preocupa a las empresas. Los ataques de este tipo son cada vez más sofisticados, están creciendo en volumen y poniendo en riesgo un activo fundamental: los datos. 

¿Qué es y cómo funciona el ransomware?

El ransomware es un tipo de malware o código malicioso que «secuestra» equipos y dispositivos conectados a Internet (móviles, tabletas, etc.), impidiendo que los usuarios puedan acceder a su información y amenazando a las víctimas con su destrucción o propagación si no pagan un rescate (ransom, en inglés) para recuperarla. El secuestro generalmente se produce a través del cifrado de la información del dispositivo infectado. Es lo que se conoce como ransomware de cifrado, pero también existe el de bloqueo, que consigue bloquear el sistema operativo por completo.

La infección por este tipo de malware se suele producir utilizando técnicas de ingeniería social, es decir, engañando a la víctima para que acceda un sitio web malicioso o descargue un adjunto que contiene el ransomware. Este tipo de engaños suelen utilizar correos electrónicos o SMS con los archivos adjuntos o enlaces maliciosos. También pueden aprovechar equipos o dispositivos vulnerables, u otro malware.

La imagen tiene un atributo ALT vacío; su nombre de archivo es How-To-Protect-Your-Business-From-The-WannaCry-Ransomware-compressor.jpg

El ransomware se manifiesta cuando el daño ya está hecho, es decir, cuando la información ha sido bloqueada, mostrando un mensaje que advierte de este hecho, y pidiendo un rescate para su liberación. Una vez que el delincuente cifra los datos, pide un rescate (ransom) a la víctima, a través de un mensaje o ventana emergente, realizando lo que llamaríamos un secuestro virtual.

Este mensaje, que suele ser amenazante y apremiante, advierte a la víctima de que la única forma mediante la que puede descifrar sus archivos, recuperar el sistema o evitar un posible filtrado de información, es realizar el pago de un rescate. Es habitual que incluyan un límite de tiempo para pagar, antes de que se produzca la destrucción total de los archivos secuestrados, su publicación o un
incremento del valor del rescate, si no se paga a tiempo.

Cómo recuperarse de un ataque por ransomware

Ante la extorsión con el pago del rescate para recuperar la información, es importante no pagar nunca el rescate, ya que hacerlo no es garantía de recuperar el acceso a la información secuestrada y fomenta este tipo de ataques. Además, los cibercriminales quieren el pago por criptodivisa, moneda virtual que permite el pago casi anónimo entre particulares, lo que dificulta el rastreo de las transacciones. Esto facilita que los cibercriminales puedan extorsionar a sus víctimas sin que la policía pueda seguirles de forma inmediata la pista. Las consecuencias de realizar el pago del rescate son las siguientes:

  • Pagar no te garantiza que volverás a tener acceso a los datos, recuerda que se trata de delincuentes.
  • Si pagas es posible que seas objeto de ataques posteriores, pues ya saben que estás dispuesto a pagar.
  • Puede que soliciten una cifra mayor una vez hayas pagado.
  • Pagar fomenta el negocio de los ciberdelincuentes.

A continuación pueden seguirse una serie de pasos para poder recuperar la información y actividad normal:

  1. Aislar los equipos con ransomware inmediatamente.
  2. Clonar los discos duros de los equipos infectados.
  3. Denunciar el incidente ante las Fuerzas y Cuerpos de Seguridad el Estado.
  4. Cambiar todas las contraseñas de red y de cuentas online que sean posibles.
  5. Desinfectar los equipos y recuperar los archivos cifrados.
  6. Restaurar los equipos para continuar con la actividad.
Recogida de la guía Ransomware: Una guía de aproximación al empresario.
Ransomware: Una guia de aproximación al empresario.

En la web del INCIBE se puede consultar una guía con recomendaciones y prácticas eficaces en la batalla contra el ransomware. Ante un problema grave de ciberseguridad en la empresa se recomienda avisar al departamento de informática y llamar al 017, el servicio gratuito de ayuda del INCIBE disponible desde las 9 de la mañana a 9 de la noche, los 365 días del año.

Fuentes: INCIBE , https://www.adslzone.net , Kaspersky ,S2 Grupo Soluciones de Seguridad S.L.U