Ransomware: Qué es y cómo funciona

El preocupante auge del ransomware ha sido notable en los últimos años, convirtiéndose en una forma particularmente lucrativa para los ciberdelincuentes. 

Explicado de forma simple, el ransomware se basa en que los hackers exigen un rescate a las cibervíctimas a cambio de desbloquear sus sistemas o datos, que han sido atacados. Para ello, se aprovechan de vulnerabilidades de seguridad en los sistemas o redes, además de la falta de concienciación de los empleados en contacto con dispositivos.

No obstante, la perversidad de este tipo de ataques va más allá de esta simple definición. Con una amplia distribución en el mercado negro cibernético, se han puesto en marcha iniciativas altamente peligrosas y sofisticadas como el Ransomware as a Service (RaaS), que permite que incluso personas con conocimientos técnicos limitados ejecuten este tipo de ataques.

De este modo, el ransomware se ha convertido en uno de los ataques informáticos más comunes para las organizaciones, en un panorama digital de por sí saturado por los riesgos informáticos. En este sentido, se calcula que el 77% de las organizaciones ha sufrido una brecha de ciberseguridad en los últimos dos años, y muchas de ellas han sufrido hasta 6 en este periodo de tiempo.

Por ello, hemos elaborado esta breve guía sobre el ransomware: qué es, cómo funciona y principales vías de acceso.

¿Qué es ransomware? 

El ransomware es un tipo de malware que se ocupa de cifrar los archivos del usuario o bloquear el acceso a los dispositivos, exigiendo un rescate a cambio de restaurar el acceso. Sin embargo, al tratarse de cibercriminales, es importante destacar aquí que pagar el rescate no siempre garantiza que los atacantes devuelvan el acceso a los archivos o al dispositivo.  Por ello, se recomienda no pagar el rescate y, en cambio, restaurar los datos desde copias de seguridad si están disponibles.

Se trata de una de las amenazas más significativas en el panorama de la ciberseguridad actual, por su capacidad de infección y la alta incidencia de casos.

¿Cómo se propaga el ransomware? 

1. Correos electrónicos y mensajes de phishing

Una de las rutas más comunes para el ransomware es el envío de correos electrónicos y otros mensajes digitales que parecen legítimos, pero que contienen archivos adjuntos infectados (como documentos de Word, Excel, PDFs o archivos comprimidos) o enlaces maliciosos. De este modo, al abrir el archivo adjunto o hacer clic en el enlace, se ejecuta el ransomware.

A su vez, es conocido que los cibercriminales ponen en marcha técnicas de ingeniería social para engañar a los usuarios y hacer que descarguen o ejecuten ransomware. Para ello, se valen de realizar llamadas telefónicas, o provocar interacciones en redes sociales que, con apariencia legítima, provocan que los usuarios descarguen el software infectado.

2. Descargas maliciosas

Los cibercriminales también se ocupan de crear sitios web maliciosos capaces de desencadenar la descarga automática de ransomware. Además, las descargas desde fuentes no oficiales pueden incluir ransomware oculto dentro del paquete de instalación.

3. Explotación de vulnerabilidades

Algunos atacantes se especializan en la búsqueda de vulnerabilidades en sistemas operativos, aplicaciones o dispositivos de red con el objetivo de introducir ransomware a través de ellas. Esta es la razón de que sea tan importante mantener equipos y aplicaciones siempre actualizados, ya que las nuevas versiones incorporan los últimos parches de seguridad a vulnerabilidades conocidas.

4. Dispositivos de almacenamiento

Dispositivos USB u otros dispositivos externos infectados pueden activar automáticamente el ransomware.

5. Redes compartidas

A menudo, y de no contarse con las debidas medidas de ciberseguridad, el ransomware se propaga a través de las redes locales a partir de un primer equipo infectado. 

Tipos de ransomware 

Scareware 

Ataque diseñado para asustar a los usuarios con falsos avisos de infección o problemas en sus dispositivos, para después incitarles a tomar acciones que beneficien a los atacantes. Así, aunque el scareware no cifra archivos ni bloquea el acceso real, asusta a los usuarios para que paguen por soluciones que no necesitan.

Bloqueadores de pantalla 

En este caso, el ransomware funciona bloqueando la pantalla e impidiendo a los usuarios acceder a sus dispositivos. A su vez, se muestra un mensaje que explica que el dispositivo está bloqueado, y exige un pago para su desbloqueo. 

Ransomware de cifrado

El tipo de ransomware más peligroso y común, es capaz de cifrar archivos importantes en el sistema de la víctima, de modo que son inaccesibles si no se cuenta con una clave de descifrado. 

Los atacantes exigen así un pago a cambio de la clave de descifrado, que restauraría el acceso a los archivos. Si el rescate no se paga, los archivos pueden quedar cifrados de forma permanente. No obstante, incluso si se paga no existen garantías de que los atacantes proporcionen verdaderamente la clave.

Ante ciberataques sofisticados y altamente peligrosos como el ransomware, resulta imprescindible contar con una estrategia de ciberseguridad robusta, capaz de proteger a las organizaciones de forma integral. 

Desde BeeDIGITAL AI, nuestra solución 360 Ciberseguridad trabaja para acercar la ciberseguridad más avanzada a pymes y autónomos. ¡Descúbrela!