¿Qué es el ransomware?
El ransomware es software malicioso que cifra los archivos de su equipo o bloquea su dispositivo y exige un rescate a cambio del descifrado. Los ataques de ransomware se dirigen a particulares, empresas y organismos gubernamentales, y pueden provocar la pérdida de datos confidenciales o información crítica. El ransomware se propaga a través de ataques de phishing, sitios web infectados u otros métodos de hackeo.
Los hackers de ransomware generalmente exigen el rescate en bitcoins u otra criptodivisa, y no hay garantía de que el pago realmente descifre sus archivos.
¿El ransomware es un virus? No, es un tipo diferente de software malicioso. Los virus infectan sus archivos o software y se autorreplican. El ransomware altera sus archivos para hacerlos inaccesibles e inutilizables y luego le exige que pague. Tanto el ransomware como los virus pueden eliminarse con un potente software antivirus, pero, si sus archivos ya han sido cifrados, es poco probable que pueda recuperarlos.
¿Cómo funciona el ransomware?
El ransomware le impide acceder a sus datos. Después de obtener acceso a su equipo, cifra de forma oculta sus archivos y luego exige el pago de un rescate a cambio de devolverle el acceso a los datos cifrados. Llegados a este punto, suele ser demasiado tarde para recuperar sus archivos, debido a que ya están cifrados.
Cómo ocurre un ataque de ransomware
Los ataques de ransomware suceden así: en primer lugar, el malware se infiltra en su equipo a través de archivos adjuntos o vínculos maliciosos en correos electrónicos de phishing, sitios web infectados, anuncios falsos, secuestradores de navegadores, descargas no autorizadas («drive-by») o explotando vulnerabilidades. Una vez incrustado en el sistema, el ransomware comienza a cifrar los datos. Finalmente, revela su presencia con una demanda de rescate.
Después de infectar su PC, algunas cepas de ransomware pueden extenderse a sus contactos e infectarlos, y luego a los contactos de sus contactos, y así sucesivamente.
Así es como ocurren los ataques de ransomware:
Paso 1: infección del dispositivo
El ransomware se extiende con rapidez y golpea duro. Estas son algunas formas que tiene el ransomware de infectar su dispositivo:
-
Ataques de ingeniería social: las técnicas de ingeniería social engañan a las personas para que descarguen software malicioso desde un archivo adjunto falso o un vínculo supuestamente enviado por una empresa o institución de confianza. Cuando descargue estos archivos maliciosos y los abra, se infectará con ransomware.
-
Malvertising: la publicidad maliciosa inyecta ransomware, spyware y virus en anuncios y redes publicitarias. Los hackers compran espacio publicitario en sitios web legítimos populares (incluidas redes sociales o YouTube) para extender el ransomware.
-
Kits de aprovechamiento: los ciberdelincuentes pueden empaquetar código pregenerado en una herramienta de hackeo lista para usar. Estos kits están diseñados para aprovechar vulnerabilidades y agujeros de seguridad en software obsoleto.
-
Descargas drive-by: algunos sitios web maliciosos ni siquiera requieren un clic: descargan el malware silenciosamente en segundo plano mientras navega por un sitio web de aspecto inofensivo.
Por ejemplo, puede recibir un correo electrónico infectado con ransomware que parezca real. Le pedirá que descargue una factura u otro documento importante, como un archivo PDF o Excel.
Sin embargo, una vez que hace clic en él, actúa como un archivo .exe. Estos archivos están reservados para ejecutar instalaciones de software, por lo que tienen permiso para realizar cambios en el equipo. Evite ejecutarlos si no está seguro de la fuente. Los hackers más sofisticados pueden hacer que un archivo parezca un PDF, aunque en realidad sea un ejecutable.
El ransomware puede infectar su dispositivo a través de correos electrónicos de phishing o archivos adjuntos maliciosos.
Paso 2: cifrado de datos
Una vez infectado el equipo, sus datos se cifrarán para que no pueda acceder a ellos nunca más. El malware contacta con el servidor del hacker y genera un par de claves, una pública para cifrar sus archivos y otra privada, que se almacena en el servidor del hacker, para descifrarlos. Esto también se conoce como cifrado asimétrico.
Una vez que el ransomware ataca su disco duro, es demasiado tarde para salvar sus datos. El ransomware se ejecuta, cifra sus archivos y solo se muestra una vez que el daño está hecho.
El ransomware suele utilizar el cifrado asimétrico en sus archivos.
Paso 3: la nota de rescate
Una vez cifrados los archivos, aparece una nota de rescate en la pantalla que indica cuánto debe pagar y cómo transferir el dinero. En cuanto se pone en marcha el reloj, suele tener unos días para pagar el rescate. Si no lo hace en el plazo indicado, el precio sube.
Sin embargo, no hay garantía de que recupere los archivos si paga el rescate, ni tampoco es seguro que los hackers eliminen los datos. Por estas razones, no debe pagar el rescate.
No pague el rescate tras una infección de ransomware, ya que el pago no garantiza que se descifren sus archivos.
No podrá abrir los archivos cifrados y, si intenta hacerlo, recibirá un mensaje de error que indica que el archivo no se puede cargar, que está dañado o que no es válido. Por eso, se recomienda hacer copias de seguridad periódicas de todos sus archivos importantes, por si alguna vez sufre un ataque de ransomware.
Tipos de ransomware
Hay ransomware de todo tipo. Algunas variantes son más dañinas que otras, pero todas tienen una cosa en común: el ransomware requiere por definición una demanda de pago.
Criptomalware
El criptomalware o software encriptador es el tipo de ransomware más común. Se denomina criptoransomware o criptomalware, no porque haya criptodivisa de por medio, sino porque los archivos se cifran y es imposible abrirlos. Este tipo de malware puede hacer mucho daño, tanto financiero como de otro tipo, dado que utiliza métodos de cifrado de datos muy potentes.
La cantidad total de dinero extorsionada solo en el primer semestre de 2023 fue de unos 450 millones de dólares, casi el doble que en el primer semestre de 2022. Los objetivos del criptomalware suelen ser grandes empresas o instituciones, y el pago promedio de rescates supera el millón de dólares en el caso de algunas cepas, como el ransomware Cl0p y BlackCat. A menudo, se dirige a los usuarios a un portal de pago en un navegador Tor, como en el caso del ransomware SamSam.
No obstante, el daño es algo más que monetario. A finales de 2020, el ransomware criptográfico Ryuk puso en peligro miles de vidas cuando llegó a los hospitales y bloqueó el acceso del personal médico a los archivos de los pacientes.
Bloqueadores
Los bloqueadores infectan el sistema operativo para impedirle el acceso a las aplicaciones y a los archivos del ordenador. Y la sofisticación de los protocolos utilizados para cifrar el sistema significa que es prácticamente imposible recuperarlo sin la clave de descifrado adecuada. Muchas víctimas de malware bloqueador considerarán seriamente pagar el rescate, pero no es probable que recuperen sus archivos si lo hacen.
Scareware
El scareware es un software falso (como un antivirus o una herramienta de limpieza falsos) que asegura haber detectado problemas en su ordenador y que exige dinero para resolver el problema. Algunas variantes de scareware bloquean el equipo, mientras que otras inundan la pantalla con molestas alertas y notificaciones. Otras veces, ralentizan el equipo y consumen sus recursos.
Incluso si hay dinero de por medio, ese scareware que exige el pago podría no ser un ransomware. Puede que solo le esté engañando para que realice un pago sin causar realmente ningún daño a su equipo. Pero eso no significa que deba tomárselo menos en serio: el malware rara vez le dice cuánto daño está haciendo a su equipo en segundo plano.
Doxware
El doxware (o leakware) amenaza con publicar en internet (realizar doxxing) la información que le han robado en línea si no paga. Todos almacenamos archivos confidenciales en nuestros ordenadores (desde contratos y documentos personales hasta fotos comprometedoras) por lo que es fácil imaginar el pánico resultante.
Ransomware como servicio
El RaaS (Ransomware as a Service), como MedusaLocker, es malware hospedado de forma anónima por un hacker que se encarga de todo (la distribución del ransomware, el cobro de los pagos, la gestión de los descifradores) a cambio de una parte del rescate. En forma de RaaS, LockBit fue el grupo de ransomware más activo en 2022.
Ransomware dirigido a dispositivos Android
Sus dispositivos móviles Android tampoco son inmunes al ransomware. Lo más probable es que el ransomware dirigido a dispositivos Android sea un bloqueador, que le impide acceder a su dispositivo a través de la interfaz de usuario o una ventana emergente que no desaparece.
Existe incluso una imitación de WannaCry (WannaLocker) que se extiende por foros de juegos y que tiene como objetivo los dispositivos Android en China. Como es fácil restaurar los datos sincronizando dispositivos, los ciberdelincuentes suelen preferir el bloqueo del smartphone al simple cifrado de los archivos.
A medida que el ransomware ha ido creciendo, se ha dirigido cada vez más a Windows, de modo que el ransomware para Android es comparativamente raro. Pero, de todos modos, tenga cuidado con las aplicaciones sospechosas para Android.
Ransomware dirigido a equipos Mac
Aunque los dispositivos Apple son más resistentes al malware que los PC con Windows, el ransomware dirigido a equipos Mac también podría estar en alza. El grupo de ransomware LockBit trabaja activamente para romper las defensas de seguridad de Mac, que afortunadamente todavía se mantienen fuertes. Ahora bien, en ciberseguridad, es más fácil destruir un sistema que defenderlo. Es solo cuestión de tiempo.
Ejemplos de ataques de ransomware
El primer ataque registrado de ransomware se produjo en 1989, cuando el biólogo evolucionista Joseph Popp infectó varios disquetes con el troyano AIDS y los distribuyó entre otros investigadores. El malware esperó a que las víctimas arrancaran sus PC 90 veces antes de cifrar todos los archivos del sistema y pedir a los usuarios que pagaran 189 dólares para deshacer el daño. Por suerte, los expertos pudieron desarrollar herramientas con las que eliminar el malware y descifrar los archivos infectados.
Recientemente, una serie de organismos como hospitales, gobiernos y grandes corporaciones han sufrido ataques de ransomware a gran escala que los han obligado a elegir entre pagar a los ciberdelincuentes miles de dólares en rescate o absorber millones en costes de recuperación.
Rhysida
Rhysida surgió en 2023 y ya se ha dirigido con éxito a 50 organizaciones. Rhysida funciona con rapidez aprovechando eficazmente la CPU de la víctima y cifrando únicamente partes significativas de los datos objetivo, en lugar de la totalidad de los mismos. La nota de rescate de Rhysida se posiciona como el «equipo de ciberseguridad» que recuperará los datos y evitará que se filtren.
Rhysida ha atacado instituciones como la Biblioteca Británica mediante técnicas de phishing que permiten a los atacantes obtener acceso remoto a la información de los trabajadores.
Un ejemplo de la nota de rescate de una versión reciente del ransomware Rhysida. (Fuente: decoded.avast.com)
Clop
Clop (a veces escrito como «CL0P») es un grupo de ransomware que se aprovechó de una vulnerabilidad de día cero en el software de transferencia de archivos MOVEit en mayo de 2023.
Clop se propaga a través de troyanos de acceso remoto (RAT), recopila información del sistema y obtiene acceso a la red objetivo, lo que en última instancia permite el robo encubierto de datos. Clop también se ha propagado mediante phishing, como habrá adivinado. Bastó un clic para que se perdieran hasta 20 millones de dólares. Al parecer, ha conseguido extorsionar pagos de hasta 500 millones de dólares.
BlackCat
El ransomware BlackCat aprovecha técnicas avanzadas de cifrado que funcionan de forma diferente según la extensión del archivo y utilizan patrones de cifrado para inutilizar o hacer inaccesibles los archivos con el mínimo esfuerzo. La actividad alcanzó su punto álgido en 2022, pero sigue siendo una amenaza hoy en día. Evite el ransomware BlackCat teniendo cuidado con los correos electrónicos y textos de phishing, mejorando la seguridad de sus contraseñas y desactivando las macros en Microsoft Office.
Ryuk
Ryuk se asemeja a las actividades de antiguos ataques ransomware como WannaCry, con la característica especialmente nefasta de obtener el máximo acceso posible antes de cifrar nada. Incluso detectará las copias de seguridad de los archivos y priorizará específicamente su cifrado. También propagado principalmente a través del phishing, el ransomware Ryuk se ha utilizado para atacar hospitales y comprometer el acceso a los historiales de los pacientes. Ataques de este tipo se produjeron durante la pandemia del coronavirus e incluso alteraron los regímenes de quimioterapia de pacientes con cáncer.
CryptoLocker
CryptoLocker fue un ataque de ransomware en el que múltiples víctimas informaron haber pagado el rescate y no haber recuperado sus datos. Este ransomware también elevó el rescate después de un determinado plazo, lo que incrementó el incentivo para pagar antes. La empresa holandesa de ciberseguridad Fox-IT consiguió extraer las claves y hacer posible el descifrado, pero desde entonces han aparecido varios clones de CryptoLocker.
Hive
Afortunadamente, la saga del ransomware Hive está llegando a su fin, con el cierre del grupo y el cese de los ciberataques a principios de 2023. El fin de sus operaciones llegó cuando se encontró una vulnerabilidad en su herramienta de cifrado. Pero no antes de que hubieran paralizado a víctimas e instituciones de todo el mundo y acumulado más de 120 millones de dólares en pagos de rescates.
WannaCry
Después de infectar a más de 10 000 organizaciones y 200 000 particulares en más de 150 países, la cepa WannaCry se ganó su reputación como el ataque de ransomware más extendido hasta la fecha. Usaba un exploit conocido como EternalBlue, que aprovecha una vulnerabilidad de Windows SMB (Server Message Block, un protocolo de uso compartido de archivos en red) etiquetada como MS17-010. Cuando se eliminó, WannaCry había atacado a más de 100 millones de usuarios de Windows.
Nota del ransomware WannaCry. (fuente: Wikimedia Commons)
Petya
El ataque con el ransomware Petya (y cepas similares llamadas Petna, NotPetya, EternalPetya o Nyetya) dio a todo el mundo un buen susto, aunque resultó mucho menos dañino que WannaCry. Petna afectó principalmente a víctimas en Ucrania (con más del 90 % de los ataques), pero también se registraron ataques en Estados Unidos, Rusia, Lituania, Bielorrusia, Bélgica y Brasil.
Otras cepas conocidas de ransomware son Bad Rabbit, los clones de Cryptolocker, GoldenEye, Jigsaw y Maze. Algunas, como el ransomware REvil, han sido detenidas, pero no dejan de aparecer más.
¿A quién se dirige el ransomware?
El ransomware tiende a dirigirse a organizaciones e instituciones, porque a estas víctimas se les puede exigir un rescate considerable, a menudo millones o decenas de millones de dólares. Sin embargo, el ransomware puede afectar a cualquiera, desde instituciones (tanto privadas como públicas) hasta usuarios particulares (tanto de alto como de bajo perfil), por ejemplo:
-
Instituciones sanitarias, hospitales y farmacias
-
Universidades, colegios y otros sistemas educativos
-
Empresas de construcción
-
Instituciones gubernamentales, tanto federales como locales
-
Empresas de medios de comunicación
-
Pequeñas y medianas empresas
-
Servicios públicos
-
Servicios legales
-
Servicios financieros
-
Empresas fabricantes
-
Usuarios particulares
Si no se está protegiendo frente al ransomware con un software actualizado y una herramienta de protección contra ransomware de confianza, puede que sea un objetivo. El ransomware a menudo está diseñado para aprovechar los agujeros de seguridad en software antiguo y dispositivos desprotegidos. Cuando el soporte para Windows 10 finalice oficialmente en 2025, le recomendamos encarecidamente que actualice su sistema operativo. Si no lo hace, podría exponerse a un mayor riesgo de infecciones por ransomware.
Instalar actualizaciones de seguridad es rápido y sencillo para la mayoría de los usuarios, pero las grandes empresas pueden ser más vulnerables. A menudo, utilizan software confidencial hecho a medida y deben implementar la solución en una ingente cantidad de dispositivos, lo que hace que el proceso de actualización sea más complicado y lento.
Algunas organizaciones también carecen de los fondos necesarios para adquirir un nuevo software. El presupuesto de un hospital debe utilizarse para salvar vidas, no ordenadores, pero esta distinción puede desaparecer cuando un ataque bloquea los sistemas y el personal del hospital no puede acceder a las historias clínicas de los pacientes.
La ciberdelincuencia es la principal preocupación de las organizaciones que trabajan con datos confidenciales, pero eso no significa que los usuarios particulares estén a salvo. Las fotos de su familia y sus archivos personales también son valiosos para los hackers, y pueden ser utilizados en su contra.
Cómo evitar el ransomware
La mejor manera de evitar el ransomware y otros malware es mantener prácticas inteligentes en el mundo digital. Eso significa evitar sitios web, vínculos, archivos adjuntos y spam sospechosos, así como seguir buenas prácticas de seguridad en el correo electrónico. Estos son algunos consejos adicionales que lo ayudarán a protegerse frente al ransomware:
Realice una copia de seguridad de los archivos importantes
Realice una copia de seguridad de los archivos importantes o clone todo su disco duro para guardarlo todo. Puede utilizar una unidad externa, un servicio en la nube, o ambos. Elija entre Dropbox, Google Drive, Mega u otro servicio en la nube gratuito que almacene de forma segura sus documentos y fotografías importantes. Encuentre un servicio que le permita revertir sus datos a una versión anterior en caso de que algo le suceda a su cuenta.
Si los ciberdelincuentes bloquean sus archivos importantes, pero tiene una copia de seguridad almacenada de forma segura, entonces no producirán impacto alguno. Simplemente elimine el ransomware, restaure sus archivos e ignore cualquier demanda de rescate.
Realizar una copia de seguridad de sus archivos evitará el impacto de los ataques de ransomware.
Utilice un antivirus actualizado
El software antivirus ofrece una protección esencial frente a cualquier intento de dañar su ordenador. Pruebe AVG AntiVirus FREE para obtener protección ininterrumpida contra ransomware y otros tipos de malware. Y AVG Internet Security ofrece una defensa aún mayor frente al ransomware con su potente función de Protección mejorada contra ransomware.
Actualice su sistema operativo
Las actualizaciones de seguridad son un componente vital en la defensa de su equipo contra las amenazas en línea. El software obsoleto le hace más vulnerable a toda clase de malware, como el ransomware. Mantenga siempre actualizados el sistema operativo y las aplicaciones; utilice las actualizaciones automáticas siempre que sea posible e instale las actualizaciones tan pronto como estén disponibles.
Cómo deshacerse del ransomware
Salvo que se le haya denegado el acceso a su ordenador, eliminar el ransomware es bastante fácil. De hecho, es igual que eliminar un virus o cualquier otro tipo común de malware. Pero eliminar el ransomware no descifra los archivos. Tenga en cuenta que algunos de los siguientes métodos pueden servirle para recuperar su dispositivo, pero borrarán de forma irreversible todos los datos almacenados en él, estén cifrados o no.
A continuación, se explica cómo deshacerse del ransomware en las distintas plataformas:
En Windows
Para deshacerse del ransomware en Windows, lo primero que debe hacer es desconectarse de internet y ejecutar un software antiransomware. Si consigue ponerlo en cuarentena y eliminarlo, puede obtener mayor seguridad utilizando Restaurar sistema. Windows crea puntos de restauración periódicamente, lo cual le da opciones para volver a un punto anterior al ataque del malware.
Las cosas se complican un poco si el ordenador está infectado con un bloqueador que le impida entrar en Windows o ejecutar cualquier programa.
Hay tres modos de solucionar una infección de un bloqueador en un PC con Windows:
-
Realice una restauración del sistema para devolver Windows a un punto en el que el PC estuviera a salvo: encienda el PC y mantenga pulsada la tecla Mayús para entrar en las pantallas de recuperación. Seleccione Solución de problemas > Opciones avanzadas > Restaurar sistema.
-
Ejecute el programa antivirus desde un disco de arranque o una unidad externa.
-
Reinstale su sistema operativo.
En Mac
Deshacerse del ransomware en Mac implica aislar el dispositivo iniciando en modo seguro y ejecutando un software antivirus. Si esto no consigue deshacerse del ransomware, su mejor opción es borrar el disco duro y restaurarlo desde una copia de seguridad realizada antes de infectarse. La cantidad de datos que perderá dependerá del tiempo transcurrido desde la última copia de seguridad utilizable.
En Android
Para eliminar el ransomware de un dispositivo Android, primero póngalo en cuarentena activando el modo avión. A continuación, desinstale cualquier aplicación que no reconozca desde los Ajustes del dispositivo, donde debe abrir la lista Aplicaciones. Después de eliminar cualquier aplicación desconocida o sospechosa, ejecute una herramienta contra software malicioso para asegurarse de que la infección se ha eliminado por completo. A continuación, puede comenzar el proceso de recuperación de todos los datos que pueda salvar.
En iPhone
El primer paso para eliminar el ransomware de un iPhone es desconectarlo de todos los demás dispositivos; desenchúfelo y póngalo en modo avión. Elimine los archivos temporales de navegación y ejecute el software antivirus. Considere la posibilidad de reiniciar el teléfono y restaurarlo desde una copia de seguridad para asegurarse de que el ransomware se ha purgado por completo.
El proceso de eliminar ransomware de cualquier dispositivo es similar al de eliminación de otro software malicioso: descargar un software antivirus de confianza, realizar un análisis para identificar el ransomware y luego poner en cuarentena o eliminar el malware. Aunque es más complicado, también puede eliminar el malware manualmente.
Una herramienta antivirus de confianza como AVG AntiVirus FREE no solo eliminará el ransomware y otro malware tan pronto como se detecte en su sistema, sino que también evitará que estas infecciones ocurran.
Cómo se recuperan los archivos cifrados
Algunas herramientas gratuitas de descifrado de ransomware pueden recuperar archivos infectados con las cepas de ransomware Babuk, Fonix, HermeticRansom o TargetCompany, entre otras. Si realiza una copia de seguridad de sus datos con regularidad, no tendrá que preocuparse por la recuperación del ransomware. Simplemente elimine el ransomware y luego restaure sus archivos desde la copia de seguridad.
Si no ha realizado ninguna copia de seguridad, es probable que no tenga suerte. A veces es posible romper el cifrado de 32 y 64 bits, por lo que puede que esté de suerte si es lo que utilizaron los ciberdelincuentes. Además, los investigadores de ciberseguridad han podido descifrar algunas cepas de ransomware y replicar sus claves de descifrado.
No hay mejor protección frente al ransomware que la prevención, usando un antivirus y realizando una copia de seguridad de sus datos con regularidad.
Sin embargo, hoy en día, muchos tipos de ransomware utilizan cifrado de 128 bits o de 256 bits. Y, en ocasiones, una combinación de ambos. Este complejo nivel de cifrado es el que utilizan también servidores, navegadores y VPN para proteger sus datos, ya que es muy seguro.
Si sus archivos están infectados con una variante de ransomware que use uno de estos métodos de cifrado de alta seguridad, la recuperación es casi imposible. Por ese motivo, no hay mejor protección frente al ransomware que la prevención, usando un antivirus y realizando una copia de seguridad de sus datos con regularidad.
Quienes ya hayan sido víctimas del ransomware deben averiguar con qué cepa de ransomware han sido infectados y solicitar ayuda a las autoridades. No pague el rescate, ya que no hay garantías de que vaya a recuperar sus datos, y el valor monetario del rescate es probablemente mucho mayor que el de los datos que ha perdido.
¿Debe pagar el ransomware?
No. Le aconsejamos que no pague el rescate. Recuerde que está tratando con ciberdelincuentes y que no hay garantía de que cumplan su promesa. Pagar las demandas de rescate les transmite a los hackers que el ransomware es un negocio rentable, lo que los alienta a seguir usando ransomware y financia otro tipo de ciberdelincuencia.
En algunos casos, los archivos retenidos como rehenes por el ransomware no pueden descifrarse realmente. Así ocurrió, por ejemplo, con Petya, un ransomware cuyo algoritmo de cifrado fue indescifrable. Si bien los profesionales de la ciberseguridad suelen recomendar no pagar el rescate, no todos hacen caso. Y cuando las empresas se enfrentan a costes de recuperación aún mayores si no pagan, a veces ceden.
Prevenga el ransomware con un software de ciberseguridad
En lugar de preocuparse por qué hacer cuando ataca el ransomware, consiga un buen antivirus con protección integrada contra el ransomware para que nunca tenga que pensar en pagar un rescate. AVG AntiVirus FREE protege contra ransomware, virus, phishing y otro tipo de amenazas. Comience hoy mismo a protegerse contra el ransomware con AVG AntiVirus FREE.
