¿Qué es ransomware? Una guía práctica

Ransomware es un tipo de malware, es decir, un código malicioso que se infiltra o daña un sistema. Este tipo de programa infeccioso encripta archivos y elimina los originales, de modo que impide el acceso a los datos hasta que se pague un rescate (Buecker, A. et al., 2011).

El primer tipo primitivo de ransomware data de 1989. Posteriormente, lo que conocemos como ransomware fue identificado así por primera vez en Rusia en 2005. Posteriormente, este tipo de malware registró un incremento de ataques en 2011. Según reportes de Kasperky Labs (Brulez, 2011), en un inicio se le conoció como “el virus de la policía” por su modo de operación.

Uno de sus primeros métodos fue mostrar, en la pantalla de los equipos infectados, un mensaje engañoso. En este, ransomware se identifica como la policía del país donde se encuentra el equipo y acusa al usuario de haber ingresado a páginas de pornografía infantil o algún otro tipo de páginas vergonzosas para la persona. Debido a que el usuario no puede eliminar el mensaje, porque el equipo se encuentra bloqueado, se le muestra una amenaza y sele coacciona a pagar una suma de dinero en 24 horas, de no hacerlo le borran el disco duro.

Las ciberamenazas se incrementan con el tiempo.

Los años posteriores a su aparición, los mecanismos de operación de ransomware se fueron ampliando. En 2012, surgieron nuevas variantes de ransomware conocidas como Locked y SGAE. En 2014, aparecieron los nuevos ransomware CryptoDefense, CryptoLocker y Cryptowall. Este último, según Ferrer (2015), se ha convertido en la mayor amenaza y ha seguido evolucionando, ya que tiene su versión 3.0., la cual ha logrado un rescate de 325 millones de dólares por solo ataque.

Debido a la velocidad en la aparición de nuevas variantes cada vez más alarmantes de ransomware, el año 2016, en opinión de Adam Philpott, director de Ciberseguridad de Cisco para Europa, Oriente Medio, África y Rusia, fue considerado el “Año de ransomware”. Con la llegada del COVID-19, no solo nos enfrentamos a una pandemia en el ámbito de la salud, sino que también ransomware incrementó sus ataques. Esto podemos notarlo en los ataques perpetrados a instituciones gubernamentales, de modo que para algunos gobiernos se han clasificado como ataques de terrorismo. Esto se debe a que han provocado la interrupción de actividades de gobiernos locales y otras instituciones públicas. Por ejemplo, podemos mencionar el ataque al Servicio Público de Empleo Estatal (SEPE) de España en marzo de 2021.

Angry hacker woman because of access denied while trying to attack government firewall. Programmer writing a dangerous malware for cyber attacks using performance laptop during midnight.

¿Cómo ataca ransomware?

Ransomware afecta a cualquier computadora, servidor o celular inteligente. Sus ataques ocurren al ejecutar algún archivo enviado por protocolo IRC (Internet Relay Chat), correo electrónico, redes peer to peer (red entre pares), grupos de noticias, etc; videos de páginas sospechosas; actualizaciones de sistema; y programas aparentemente fiables como Windows o Adobe Flash.

Al instalarse, bloquea el sistema operativo y cifra los datos del usuario para inhabilitar su utilización hasta que se realice el pago correspondiente. Asimismo, en ocasiones, incluye en la amenaza la dirección IP, la compañía proveedora del servicio de Internet y hasta una fotografía de la cámara web. Cabe destacar que, pese a que muchas personas realizan el pago, no recuperan los datos, de modo que se genera el formateo del equipo y los datos almacenados se pierden.

Hacker Spyware Cybercrime Phishing Fraud Concept

Tipos de ransomware

  1. Bloqueadores

Reciben este nombre debido a que su objetivo principal es bloquear el sistema por completo y mostrar el mensaje para pedir el rescate de los datos. Los de este tipo son los primeros en aparecer y que se identificaban como autoridades policiales. Así, la amenaza no solo era para recuperar los datos, sino para evitar la prisión. Los de este tipo incluyen al ransomware que coloca un banner pornográfico en el escritorio y amenaza al usuario de esta forma.

2. Cifradores o filecoders

Este tipo de ransomware realiza un proceso de cifrado de nombres y/o contenido de los datos almacenados en el sistema afectado. Inicialmente, realizaba criptografía simétrica o de clave secreta, y, posteriormente, ha logrado realizar criptografía asimétrica que es un sistema que utiliza una doble clave. Los ejemplos más destacados de este tipo de ransomware son el AIDS que fue el primer ransomware con criptografía simétrica; y el PGPCoder que utiliza criptografía asimétrica. 

3. Híbridos

Los ransomware híbridos utilizan los dos sistemas antes mencionados para secuestrar datos. Así, combina las características del bloqueado y el cifrado de los datos intervenidos. Un ejemplo de este tipo es el ransomware CryptoLocker.

Thief wearing a black hat, obscuring the face, was arrested on a gray background.

Ransomware más conocidos

  1. Locky

Los ataques del ransomware Locky se registraron desde 2016. Este tipo de ransomware está diseñado para cifrar más de 160 tipos de archivos y se propaga a través de archivos adjuntos en correos electrónicos sospechosos. Su ataque se enfoca en los archivos que se utilizan para programación, diseño, ingeniería y control de calidad.

2. WannaCry

Se registra la existencia del ransomware WannaCry desde 2017 y ha registrado víctimas en más 150 países. Su ataque se basa en la vulnerabilidad de Windows divulgada por el grupo de hackers Shadow Brokers. El ransomware WannaCry evidencia las deficiencias en la actualización de los sistemas que tienen algunas organizaciones. Por ello, se calcula que WannaCry ha logrado infectar a más de 230 000 equipos alrededor del mundo.

3. CryptoLocker

El ransomware CryptoLocker ha sido identificado desde 2007. Su mecanismo de propagación es, al igual que Locky, a través de archivos adjuntos en correos electrónicos. Este ransomware, además, se propaga a través de una red de computadoras infectadas. Al ser identificado el sistema que usaban, se crearon mecanismos para que las víctimas pudieran enfrentar los ataques, como la creación de un portal web que brindaba la clave de encriptación para poder recuperar los datos vulnerados.

4. Petya

El ransomware Petya se ha registrado desde 2016 y, posteriormente, en 2017 también ha sido identificado como GoldenEye. La principal característica de este ransomware es que no solo cifra archivos, sino que realiza el mismo procedimiento con el disco duro completo. Su mecanismo de infección era a partir de vínculos infectados de Dropbox.

La vulneración de datos es una de las amenazas de seguridad más recurrentes por ransomware en la actualidad.

Conclusión

A partir de la breve reseña general presentada, podemos comprender el gran alcance este malware y su capacidad de inhabilitar sistemas e, incluso, ocasionar la pérdida de datos esenciales para las organizaciones. Debido a esta amenaza que cada vez presenta nuevas variantes que se adaptan a los nuevos sistemas de seguridad, es indispensable considera la inversión en seguridad como parte del presupuesto general de las empresas. El riesgo latente de ser presa de este tipo de amenazas es la principal razón. Asimismo, debido a la especialización en los tipos de ataques y que se combate con grupos de hackers bastante especializados, muchas empresas optan por contratar servicios de seguridad de datos para tener especialistas a su servicio y evitar los grandes costos que ocasionan los ataques a la seguridad de los datos.