El primer ataque registrado de ransomware se produjo en 1989, cuando el biólogo evolucionista Joseph Popp infectó varios disquetes con el troyano AIDS y los distribuyó entre otros investigadores. El malware no se ejecutaba de inmediato, sino que esperaba a que las víctimas iniciaran sus ordenadores 90 veces. Entonces, procedía a cifrar todos los archivos del sistema y solicitaba a los usuarios el pago de 189 $ para restaurar el acceso a ellos. Por suerte, los expertos pudieron desarrollar herramientas con las que eliminar el malware y descifrar los archivos infectados.
En los últimos años, el ransomware ha aumentado desmesuradamente. Hospitales, gobiernos y grandes corporaciones han sufrido ataques de ransomware a gran escala que los han obligado a elegir entre pagar a los ciberdelincuentes miles de dólares en rescate o absorber millones en costes de recuperación.
Pero... ¿el ransomware es un virus? No, es un tipo de diferente de software malicioso. Los virus infectan sus archivos o su software, y pueden replicarse. El ransomware altera los archivos de modo que no se puedan utilizar y, a continuación, exige un pago. Los ransomware y los virus pueden eliminarse con un antivirus, pero existe la posibilidad de que nunca pueda recuperar los archivos cifrados.
Tipos de ransomware
Hay ransomware de todo tipo. Algunas variantes son más dañinas que otras, pero todas tienen una cosa en común: el ransomware requiere por definición una demanda de pago.
Criptomalware o software encriptador
El criptomalware,o software encriptador, es el tipo más común de ransomware y puede causar mucho daño al usar métodos de cifrado de datos muy potentes. Además de extorsionar más de 50 000 $ a sus víctimas y de causar cientos de millones en daños adicionales, WannaCry llegó a poner miles de vidas en peligro cuando afectó a hospitales de todo el mundo e impidió al personal médico acceder a los archivos de los pacientes.
Bloqueadores
Los bloqueadores infectan el sistema operativo para impedirle el acceso a las aplicaciones y a los archivos del ordenador.
Scareware
El scareware es un software falso (como un antivirus o una herramienta de limpieza falsos) que asegura haber detectado problemas en su ordenador y que exige dinero para resolver el problema. Algunas variantes de scareware bloquean el ordenador, mientras que otras inundan la pantalla con molestas alertas y ventanas emergentes.
Doxware
El doxware (o leakware) amenaza con publicar en la red la información que le han robado si no paga. Todos almacenamos archivos confidenciales en nuestros ordenadores (desde contratos y documentos personales hasta fotos comprometedoras) por lo que es fácil imaginar el pánico resultante.
Ransomware como servicio
El RaaS (Ransomware as a Service) es malware hospedado de forma anónima por un hacker que se encarga de todo (la distribución del ransomware, el cobro de los pagos, la gestión de los descifradores) a cambio de una parte del rescate.
Ransomware dirigido a dispositivos Android
Los dispositivos móviles Android tampoco están a salvo del ransomware. Lo más probable es que el ransomware dirigido a dispositivos Android sea un bloqueador, que le impide acceder a su dispositivo a través de la interfaz de usuario o una ventana emergente que no desaparece. El ransomware para Android comenzó a ser noticia en 2016, se triplicó en 2017, y ha seguido creciendo desde entonces.
Existe incluso una imitación de WannaCry (WannaLocker) que se extiende por foros de juegos y que tiene como objetivo los dispositivos Android en China. Como es fácil restaurar los datos sincronizando dispositivos, los ciberdelincuentes suelen preferir el bloqueo del smartphone al simple cifrado de los archivos.
Ransomware dirigido a equipos Mac
Aunque los dispositivos Apple son más resistentes al malware que los equipos con Windows, el ransomware dirigido a equipos Mac también está en alza.
Los primeros ejemplos de ransomware para Mac no estaban codificados exactamente como ransomware. Hubo una estafa de rescate falsa del FBI que en realidad era un secuestrador de navegador disfrazado de ransomware. Después, se produjo el ataque de Oleg Pliss, donde el hacker usó contraseñas filtradas de iCloud para bloquear de forma remota los dispositivos iOS de las personas a través de Buscar mi iPhone y exigir un rescate para desbloquearlos. Estos ataques de rescate prepararon el escenario para el ransomware real dirigido a equipos Mac.
El malware más reciente que afecta a los Mac parece creado por ingenieros de software especializados en macOS. Mientras que algunos ciberdelincuentes todavía atacan las cuentas de iCloud, otro ransomware para Mac, como KeRanger, ha evolucionado de manera similar al ransomware para Windows.
Cepas y ataques de ransomware más conocidos
Con las decenas de herramientas de creación de malware que hay disponibles en el mercado negro de Internet, los hackers tienen una buena base de trabajo. Los ataques más recientes demuestran que los ciberdelincuentes dedican un gran esfuerzo a mejorar su código, añadir funciones que dificulten la detección y ajustar los correos electrónicos maliciosos para que parezcan legítimos.
Si bien casi cualquiera puede lanzar su propia cepa pequeña de ransomware, algunos atacantes de ransomware desarrollaron cepas masivas que sacudieron el panorama de la ciberseguridad y se hicieron conocidas en todo el mundo. Vamos a examinar algunas de las cepas y ataques de ransomware más conocidos.
WannaCry
Después de infectar a más de 10 000 organizaciones y 200 000 particulares en más de 150 países, la cepa WannaCry se ganó su reputación como el ataque de ransomware más extendido hasta la fecha. Usaba una vulnerabilidad de seguridad conocida como EternalBlue, que aprovecha una vulnerabilidad de Windows SMB (Server Message Block, un protocolo de uso compartido de archivos en red) etiquetada como MS17-010. Cuando se eliminó, WannaCry había atacado a más de 100 millones de usuarios de Windows.
Nota del ransomware WannaCry. (fuente: Wikimedia Commons)
Petya
El ataque con el ransomware Petya (y cepas similares llamadas Petna, NotPetya, EternalPetya o Nyetya) dio a todo el mundo un buen susto, aunque resultó mucho menos dañino que WannaCry. Petna afectó principalmente a víctimas en Ucrania (con más del 90 % de los ataques), pero también se registraron ataques en Estados Unidos, Rusia, Lituania, Bielorrusia, Bélgica y Brasil.
Locky
Este malware, visto por primera vez en febrero de 2016, se envió a millones de usuarios de todo el mundo mediante un correo electrónico fraudulento que decía ser una factura o un albarán. Los mensajes contenían un documento de Word ilegible, que pedía al usuario que habilitara las macros para ver el contenido antes de descargar el malware. Los autores de Locky mejoraban el código con cada ataque para dificultar su detección en el ordenador.
Ransomware Cerber
Este malware se presenta como una herramienta de creación y cualquiera puede descargarlo, configurarlo y extenderlo. Se distribuye mediante un archivo adjunto de correo electrónico o el enlace Anular suscripción de un mensaje de spam, que redirige a las víctimas al mismo archivo adjunto. Funciona incluso sin conexión y puede cifrar más de 400 tipos de archivos, incluidas bases de datos.
Estafas y ransomware relacionados con la COVID-19
La situación de emergencia extendida por la pandemia de COVID-19 en 2020 registró un aumento de ciberdelincuentes sin escrúpulos que se aprovecharon de esa atmósfera de terror. Hubo muchas estafas relacionadas con las mascarillas y las vacunas, e innumerables hospitales sufrieron ataques de ransomware, además de la presión a la que ya se enfrentaban por la pandemia.
Entre otras cepas de ransomware conocidas, se encuentran Bad Rabbit, Cryptolocker, GoldenEye, Jigsaw, Maze y Ryuk. Como los hackers no dejan de mejorar su código, cualquiera de estas variantes podría reaparecer en cualquier momento.
Cómo evitar el ransomware
La mejor manera de evitar el ransomware y otros malware es mantener prácticas inteligentes en el mundo digital. Esto significa evitar sitios web, enlaces, archivos adjuntos o spam sospechosos, y adoptar hábitos seguros en el correo electrónico. Estos son algunos consejos adicionales que lo ayudarán a protegerse frente al ransomware:
Realice una copia de seguridad de los archivos importantes
Realice una copia de seguridad de los archivos importantes o clone todo su disco duro para guardarlo todo. Puede utilizar una unidad externa, un servicio en la nube, o ambos. Elija entre Dropbox, Google Drive, Mega u otro servicio en la nube gratuito que almacene de forma segura sus documentos y fotografías importantes. Encuentre un servicio que le permita revertir sus datos a una versión anterior en caso de que algo le suceda a su cuenta.
Si los ciberdelincuentes bloquean sus archivos importantes, pero tiene una copia de seguridad almacenada de forma segura, entonces no producirán impacto alguno. Simplemente elimine el ransomware, restaure sus archivos e ignore cualquier demanda de rescate.
Realizar una copia de seguridad de sus archivos evitará el impacto de los ataques de ransomware.
Utilice un antivirus actualizado
El software antivirus ofrece una protección esencial frente a cualquier intento de dañar su ordenador. Pruebe AVG AntiVirus Free para obtener protección ininterrumpida frente al ransomware y otro tipo de malware. Y AVG Internet Security ofrece una defensa aún mayor frente al ransomware con su potente función de Protección mejorada contra ransomware.
Consulte nuestra guía de prevención del ransomware para configurar su protección en AVG AntiVirus Free.
Actualice su sistema operativo
Las actualizaciones de seguridad son esenciales para la protección de su ordenador. El software obsoleto le hace más vulnerable a toda clase de malware, como el ransomware WannaCry. Mantenga siempre actualizados el sistema operativo y las aplicaciones; utilice las actualizaciones automáticas siempre que sea posible y, en caso contrario, instale las actualizaciones tan pronto como estén disponibles.
¿Es usted un objetivo del ransomware?
Si no se está protegiendo frente al ransomware con un software actualizado y una herramienta de protección contra ransomware de confianza, entonces sí, puede que sea un objetivo. El ransomware a menudo está diseñado para aprovechar los agujeros de seguridad en software antiguo y dispositivos desprotegidos.
Por ejemplo, WannaCry aprovechó una vulnerabilidad de Windows para infectar a más de 200 000 usuarios, además de 10 000 empresas, instituciones públicas y organizaciones de todo el mundo. Cualquiera que no hubiera instalado el parche de seguridad que Microsoft publicó a principios de ese año era vulnerable.
Los usuarios de Windows XP se llevaron la peor parte: Microsoft había dado por terminado el soporte para esta versión de Windows hacía tres años y no se decidió a publicar un parche para este sistema operativo hasta que se comprobó la gravedad del ataque. Si aún utiliza Windows XP, le recomendamos encarecidamente que actualice su sistema operativo.
Mientras que instalar actualizaciones de seguridad es rápido y sencillo para la mayoría de los usuarios, las grandes organizaciones son mucho más vulnerables. A menudo utilizan software confidencial hecho a medida y deben implementar la solución en una ingente cantidad de dispositivos, lo que hace que el proceso de actualización sea mucho más complicado y lento.
Algunas organizaciones también carecen de los fondos necesarios para adquirir un nuevo software. El presupuesto de un hospital debe utilizarse para salvar vidas, no ordenadores, pero esta distinción puede desaparecer cuando un ataque bloquea los sistemas y el personal del hospital no puede acceder a las historias clínicas de los pacientes.
La ciberdelincuencia es la principal preocupación de las organizaciones que trabajan con información confidencial, pero eso no significa que los usuarios particulares estén a salvo: sus fotos familiares y sus archivos personales también son muy valiosos para los hackers.
Cómo infecta el ransomware un ordenador
El ransomware puede acceder a su ordenador a través de archivos adjuntos de correo electrónico, anuncios o enlaces maliciosos, descargas Drive-by y aprovechamientos de las vulnerabilidades de seguridad. Después de infectar su PC, algunas cepas de ransomware pueden extenderse a sus contactos e infectarlos, y luego a los contactos de sus contactos, y así sucesivamente.
El ransomware se extiende con rapidez y golpea duro. Así es como llega a su ordenador:
-
Ingeniería social: ingeniería social es un nombre elegante para referirse a la actividad de engañar a la gente para que descargue malware desde un archivo adjunto o un enlace falsos. Los archivos maliciosos suelen hacerse pasar por documentos ordinarios (confirmaciones de pedido, albaranes, facturas, avisos, etc.) y parecen enviados desde una empresa o institución reputadas. Cuando descargue uno de estos en su ordenador y lo abra, se infectará con ransomware.
-
Malvertising: la publicidad maliciosa incorpora ransomware, spyware, virus y otras cosas desagradables en anuncios y redes publicitarias. Los hackers compran espacio publicitario en sitios web populares (incluidas redes sociales o YouTube) para extender el ransomware.
-
Kits de aprovechamiento: los ciberdelincuentes pueden empaquetar código pregenerado en una herramienta de ataque lista para usar. Estos kits están diseñados para aprovechar vulnerabilidades y agujeros de seguridad en software obsoleto.
-
Descargas drive-by: algunos sitios web maliciosos aprovechan aplicaciones o navegadores obsoletos para descargar de forma subrepticia malware en segundo plano, todo ello mientras visita un sitio de aspecto inocente o ve un vídeo.
Cómo funciona el ransomware
El ransomware le impide acceder a sus datos. Después de obtener acceso a su ordenador, cifra de forma oculta sus archivos y luego exige el pago de un rescate a cambio de devolverle el acceso a los datos cifrados. En este punto, es demasiado tarde para recuperar sus archivos, debido a que ya están cifrados.
Cómo ocurre un ataque de ransomware
Los ataques de ransomware siguen distintos patrones de ataque. Primero, el malware debe introducirse en el ordenador. Después, comienza a cifrar sus datos. Finalmente, revela su presencia con una demanda de rescate.
Así es como ocurren los ataques de ransomware:
Paso 1: infectar su dispositivo
Un ataque de ransomware puede comenzar con un correo electrónico de aspecto inocente, supuestamente enviado por una fuente legítima, que le pide que descargue una factura o algún otro documento importante. Los hackers suelen enmascarar la extensión real del archivo para engañar a las víctimas y que piensen que es un archivo PDF o doc o una hoja de cálculo de Excel. En realidad, es un archivo ejecutable que empieza a ejecutarse en segundo plano cuando hace clic en él.
Paso 2: cifrar sus datos
Durante un tiempo no sucede nada extraño. Puede acceder a sus archivos y todo funciona bien, al menos por lo que parece. Pero el malware está contactando discretamente con el servidor del hacker y está generando un par de claves, una pública para cifrar sus archivos y otra privada, que se almacena en el servidor del hacker, para descifrarlos.
Una vez que el ransomware llega a su disco duro, no tiene mucho tiempo para salvar los datos. Llegados a este punto, ya no hace falta su participación. El ransomware simplemente se ejecuta, cifra sus archivos y solo se muestra una vez que el daño está hecho.
Paso 3: la nota de rescate
Aparece una nota de rescate en la pantalla que indica cuánto debe pagar y cómo transferir el dinero. Una vez que el reloj se pone en marcha, suele tener unos días para pagar el rescate. Si no lo hace en el plazo indicado, el precio sube.
Ejemplo de una nota de rescate dejada por el ransomware CryptoLocker.
No podrá abrir los archivos cifrados y, si intenta hacerlo, recibirá un error que indica que el archivo no se puede cargar, que está dañado o que no es válido.
Cómo se elimina el ransomware
Salvo que se le haya denegado el acceso a su ordenador, eliminar el ransomware es bastante fácil. De hecho, es igual que eliminar un virus o cualquier otro tipo común de malware. Pero eliminar el ransomware no descifra los archivos.
La eliminación del ransomware es similar a la eliminación de otro software malicioso: descargue un software antivirus de confianza, realice un análisis para identificar el ransomware y luego ponga en cuarentena o elimine el malware. (Aunque es más complicado, también puede eliminar manualmente todo tipo de malware).
Las cosas se complican un poco si el ordenador está infectado con un bloqueador que le impida entrar en Windows o ejecutar cualquier programa. Hay tres modos de arreglar una infección de un bloqueador:
-
Realice una restauración del sistema para devolver Windows a un punto en el que el ordenador estuviera a salvo.
-
Ejecute el programa antivirus desde un disco de arranque o una unidad externa.
-
Reinstale su sistema operativo.
Una herramienta antivirus de confianza como AVG AntiVirus Free no solo eliminará el ransomware y otro malware tan pronto como se detecte en su sistema, sino que también evitará que estas infecciones ocurran en primer lugar.
Restaurar sistema en Windows 10, 8.1 u 8:
-
Encienda el ordenador y mantenga pulsada la tecla Mayús para entrar en las pantallas de recuperación (si no funciona, reinicie).
-
Seleccione Solucionar problemas.
-
Vaya a Opciones avanzadas.
-
Haga clic en Restaurar sistema.
Restaurar sistema en Windows 7:
-
Encienda el ordenador y pulse F8 para entrar en el menú Opciones de arranque avanzadas.
-
Seleccione Reparar el equipo y pulse Intro.
-
Inicie sesión con el nombre y la contraseña de su cuenta de Windows (o deje ese campo en blanco si no dispone de una).
-
Haga clic en Restaurar sistema.
Cómo se recuperan los archivos
Si realiza una copia de seguridad de sus datos con regularidad, no tendrá que preocuparse por la recuperación del ransomware. Simplemente elimine el ransomware y luego restaure sus archivos desde la copia de seguridad.
Si no ha realizado ninguna copia de seguridad, es probable que no tenga suerte. A veces es posible romper el cifrado de 32 y 64 bits, por lo que puede que esté de suerte si es lo que utilizaron los ciberdelincuentes. Además, los investigadores de ciberseguridad han podido descifrar algunas cepas de ransomware y replicar sus claves de descifrado.
No hay mejor protección frente al ransomware que la prevención, usando un antivirus y realizando una copia de seguridad de sus datos con regularidad.
Nuestras herramientas gratuitas de descifrado de ransomware le ayudarán a recuperar archivos infectados con las cepas de ransomware, como Apocalypse, BadBlock, Bart, Crypt888, Legion, SZFLocker, TeslaCrypt y otras.
Sin embargo, hoy en día muchos tipos de ransomware (incluidos los célebres WannaCry, Locky o Cerber) utilizan cifrado de 128 bits o de 256 bits. Y, en ocasiones, una combinación de ambos. Este complejo nivel de cifrado es el que utilizan también servidores, navegadores y VPN para proteger sus datos, ya que es muy seguro.
Si sus archivos están infectados con una variante de ransomware que use uno de estos métodos de cifrado de alta seguridad, la recuperación es casi imposible. Por ese motivo, no hay mejor protección frente al ransomware que la prevención, usando un antivirus y realizando una copia de seguridad de sus datos con regularidad.
¿Debo pagar el rescate?
Nuestro consejo es que no lo pague. Recuerde que está tratando con ciberdelincuentes y que no hay garantía de que cumplan su promesa. Pagar las demandas de rescate les transmite a los hackers que el ransomware es un negocio rentable, lo que los alienta a seguir usando ransomware y financia otro tipo de ciberdelincuencia.
En algunos casos, el ransomware no se puede descifrar. Así ocurrió, por ejemplo, con Petya, un ransomware cuyo algoritmo de cifrado fue indescifrable. Si bien los profesionales de la ciberseguridad suelen recomendar no pagar el rescate, no todos escuchan. Y cuando las empresas se enfrentan a costes de recuperación aún mayores si no pagan, a veces ceden.
En junio de 2017, la empresa de hospedaje web surcoreana Nayana pagó 397,6 bitcoines (aproximadamente un millón de dólares estadounidenses) tras un ataque con el ransomware Erebus. En ese momento, fue el rescate más alto jamás pagado.
Solo cuatro años después, en junio de 2021, el proveedor de carne JBS pagó el equivalente a 11 millones de dólares estadounidenses en una demanda de rescate. El FBI culpó al grupo de hackers de habla rusa REvil, algunos de los hackers más peligrosos que existen.
También en 2021, el notorio grupo de hackers DarkSide lanzó un ataque de ransomware contra Colonial Pipeline Co., que administra un gasoducto que transporta casi la mitad del combustible utilizado en la costa este de los EE. UU. En lugar de lidiar con el dolor de cabeza que provocaría la reconstrucción de sus sistemas, Colonial optó por pagar un rescate de casi 5 millones de dólares estadounidenses.
El fuerte aumento en las demandas de rescate demuestra que los hackers no se detendrán a corto plazo, y que el ransomware continúa volviéndose más peligroso.
Prevenga el ransomware con un software de ciberseguridad
¿Debe pagar el rescate? Nuestra respuesta es no. Es mucho mejor hacerse con un buen antivirus con protección gratuita frente a ransomware para que nunca tenga que preocuparse por pagar un rescate. AVG AntiVirus Free protege frente a ransomware, virus, phishing y otro tipo de amenazas digitales.