CyberArk Glossary >

Ransomware

El ransomware es un tipo de malware diseñado para extorsionar a las víctimas para obtener un beneficio financiero. Una vez activado, el ransomware impide que los usuarios interactúen con sus archivos, aplicaciones o sistemas hasta que se pague un rescate, normalmente en forma de moneda indetectable como el bitcoin. En algunos casos, se ordena a la víctima que pague al delincuente en un plazo determinado o corre el riesgo de perder el acceso para siempre. En otros casos, el autor del ataque va incrementando las peticiones de rescate de forma intermitente hasta que la víctima paga.

Las infecciones de ransomware son comunes y costosas. Según la empresa de investigación sobre seguridad CyberSecurity Ventures, para el año 2021, una empresa será víctima de un ataque de ransomware cada 11 segundos y el coste anual global de los daños producidos por el ransomware alcanzará los 20 000 millones de dólares. Si bien el ransomware afecta a empresas e instituciones de todos los tamaños y tipos, los atacantes suelen dirigirse a grandes empresas y gobiernos, ya que tienen los bolsillos más llenos.

Como los ataques de ransomware los llevan a cabo ciberdelincuentes, la mayoría de organismos encargados de hacer cumplir la ley y expertos en seguridad desalientan el pago de rescates. Según el FBI, pagar un rescate no garantiza que uno recupere el acceso a sus datos cifrados. Algunas víctimas que pagan un rescate nunca reciben las claves de descifrado. A algunos se les extorsiona a cambio de más dinero después de haber pagado el rescate inicial. O peor aún, algunas víctimas que pagan el rescate son atacadas de nuevo en el futuro por el mismo criminal.

El ransomware está en constante evolución

El ransomware ha evolucionado significativamente a lo largo de los años. Los primeros ataques de «bloqueadores» bloqueaban un equipo deshabilitando la funcionalidad del teclado o el ratón. En la mayoría de los casos, se podía simplemente ignorar las demandas de rescate y restaurar el ordenador a su estado de funcionamiento anterior utilizando las herramientas de eliminación de malware disponibles en el mercado.

El ransomware de hoy en día es sofisticado e invasivo. Puede extenderse rápidamente por toda una organización, incapacitando a los usuarios e interrumpiendo las operaciones comerciales. Algunos programas de ransomware van un paso más allá e inician ataques de denegación de servicio distribuido. Todas las plataformas se ven afectadas por este problema, incluidos los endpoints y servidores de Windows e incluso los Mac. Otros roban datos confidenciales o información comprometedora y amenazan con hacerla pública.

He aquí algunos ejemplos de ataques de ransomware significativos en los últimos años:

  • El ataque del NotPetya en 2017 cifró irreversiblemente los registros de arranque maestro de ordenadores con el sistema operativo Windows. Se dice que ha causado más de 10 000 millones de dólares en daños en todo el mundo. El ataque perjudicó a empresas globales como Merck, Maersk y FedEx, que atribuyeron unas pérdidas de 300 millones USD al incidente.
  • El brote del criptogusano WannaCry en 2017 infectó a más de 200 000 ordenadores en más de 150 países y causó estragos en organizaciones como el Servicio Nacional de Sanidad (NHS) de Gran Bretaña, que se vio obligado a cerrar instalaciones de atención médica crítica, cancelar operaciones y negar atención a pacientes durante días. Según una estimación, el impacto económico total del ataque del WannaCry fue de 4000 millones de dólares.
  • El ataque de RobinHood en 2019 paralizó los servicios informáticos de la ciudad de Baltimore durante casi un mes. Desactivó el correo electrónico, el correo de voz, una base de datos de multas de aparcamiento y un sistema utilizado para pagar las facturas de agua, los impuestos sobre la propiedad y las citaciones de vehículos.
RobbinHood Ransom Note

Nota de rescate de RobinHood

Evitar y mitigar los ataques de ransomware

Los expertos en seguridad recomiendan las siguientes prácticas para protegerse y recuperarse de los ataques de ransomware:

  • Hacer copias de seguridad de todos los servidores y equipos de la empresa de forma sistemática. Si bien las copias de seguridad de datos no pueden prevenir el ransomware, puede utilizarlas para recuperarse de ciertos tipos de ataques de ransomware. Muchos expertos recomiendan hacer una copia de seguridad de los datos en la nube para protegerse de sofisticados ataques de ransomware que identifican y destruyen o cifran los archivos de copia de seguridad locales.
  • Utilizar antivirus y herramientas de detección y respuesta para endpoints a fin de bloquear (lista negra) las variantes de ransomware conocidas en el punto de entrada.
  • Eliminar los derechos de administrador local de las cuentas de usuario estándar para reducir las superficies de ataque y evitar la propagación del ransomware por toda la organización, ya que algunos ataques de este tipo tratan de obtener derechos de administrador local para infligir daños.
  • Usar las listas grises de aplicaciones para protegerse de forma proactiva contra las variantes de ransomware desconocidas. Con un enfoque de este tipo, puede limitar los permisos de lectura, escritura y modificación de aplicaciones desconocidas para evitar que el ransomware cifre datos. También puede utilizar las listas grises para bloquear el acceso a las unidades de red a fin de evitar que los ataques de ransomware se propaguen por toda la empresa.

Más información sobre el ransomware

 

OTRAS ENTRADAS AL GLOSARIO