AnuncioLos ransomware son programas maliciosos que un intruso puede utilizar para impedir que el propietario de la computadora acceda a los datos, los utilice o todo el sistema informático. Esto implica cifrar datos en la computadora extranjera o impedir el acceso a ellos para exigir un rescate por descifrarlos o liberarlos. En los últimos años, el ransomware se ha convertido en una de las amenazas cibernéticas más generalizadas y dañinas a las que se enfrentan personas, empresas y organizaciones en todo el mundo. Los ataques de ransomware han provocado importantes pérdidas financieras e interrupciones operativas en varios sectores. Incidencias conocidas de ataques de ransomware La idea se remonta a septiembre de 1989, cuando el caballo de Troya SIDA se envió por correo en disquetes a numerosas instituciones de investigación. Después de un tiempo, el programa cifró los datos del disco duro. Según el mensaje en pantalla, la licencia había caducado. Se mencionó el nombre de una empresa y un apartado postal en Panamá al que se enviaría un cheque para comprar una clave de licencia y liberar los datos. Por lo tanto, la acción no fue inmediatamente reconocible como chantaje. El primer malware capaz de cifrar archivos fue el virus del sector de arranque Disk Killer. Sin embargo, el programa malicioso no fue diseñado para chantajear, sino para provocar la pérdida de datos en los sistemas del servidor. También fue publicado en 1989, según la firma, fue escrito antes del troyano SIDA. No todos los ransomware cifran datos; los programas más sencillos de este tipo bloquean el ordenador mediante diferentes métodos. Uno de los primeros intentos conocidos de difundir ransomware a través de Internet fue el TROJ_PGPCODER por parte de los ciberdelincuentes en 2005 con el troyano. R. Para descifrar los datos, los afectados deberían pagar varios cientos de dólares estadounidenses. Desde que se establecieron las criptomonedas, transferir dinero se ha vuelto mucho más fácil y menos riesgoso para los perpetradores. Como resultado, aproximadamente a partir de 2010, hubo un aumento masivo de los delitos de ransomware en casi todo el mundo. Desde aproximadamente 2012, ha habido incidentes frecuentes con diferentes variantes del troyano BKA. Afirmó haber bloqueado la computadora en nombre de una agencia policial por actividades ilegales. Se debe pagar una multa por desbloquear. Estos troyanos normalmente no cifraban ningún dato, sino que sólo bloqueaban el sistema. En la mayoría de los casos, el daño se reparó fácilmente. Las víctimas que pagaron la suma exigida tampoco recibieron respuesta ni instrucciones sobre cómo desbloquear el sistema. Mientras tanto, en foros clandestinos han aparecido sistemas modulares gratuitos y de pago, los llamados kits de crimeware, con los que se puede crear ransomware. . En octubre de 2013 se conoció el ransomware CryptoLocker, que exigía por primera vez el pago en Bitcoin. En mayo de 2017, el gusano informático WannaCry infectó en muy poco tiempo, entre otras cosas, a varias grandes empresas mundiales; Más de 230.000 ordenadores en 150 países han sido infectados. Debido a esta magnitud, la Oficina Europea de Policía calificó el brote como un hecho sin precedentes. Además de su distribución principal como archivo adjunto de correo electrónico, WannaCry también tiene las características de un gusano de red e intenta infectar otros ordenadores a través de vulnerabilidades de seguridad en los sistemas operativos de forma activa y sin intervención del usuario. Los sistemas que estaban actualizados (abril de 2017 en Microsoft) no se vieron afectados. Ciertos servicios de archivos e impresoras deben ser aprobados, lo que permitió que WannaCry se propagara principalmente en las redes de datos internas de la empresa, algunas de las cuales eran propensas a errores durante mucho tiempo. Pagar la reclamación tampoco tenía sentido en este caso, ya que el ransomware estaba programado incorrectamente. Por lo tanto, no fue posible descifrar los datos sin problemas. Desde 2019, los teléfonos móviles se han convertido en víctimas cada vez más frecuentes de ataques de ransomware. Según un estudio del instituto de investigación, el número de ciberataques a teléfonos inteligentes y tabletas aumentó un cincuenta por ciento en el primer semestre de 2019 en comparación con el año anterior. Vectores de ataque comunes Los ataques de ransomware pueden ocurrir a través de varios vectores, y los ciberdelincuentes emplean tácticas cada vez más sofisticadas para infiltrarse en sistemas y redes. El phishing sigue siendo un método frecuente para entregar cargas útiles de ransomware, en el que los atacantes se hacen pasar por entidades legítimas para engañar a los usuarios para que hagan clic en enlaces maliciosos o descarguen archivos adjuntos infectados. Los ciberdelincuentes explotan vulnerabilidades en el software y los sistemas operativos para entregar cargas útiles de ransomware a través de kits de explotación, que automatizan el proceso de infección. sistemas vulnerables. Los atacantes pueden aprovechar las credenciales débiles o predeterminadas para obtener acceso no autorizado a los sistemas a través del Protocolo de escritorio remoto, lo que les permite implementar cargas útiles de ransomware y cifrar datos valiosos. Visitar sitios web comprometidos o descargar software pirateado puede exponer a los usuarios a infecciones de ransomware, ya que los atacantes aprovechan las descargas no autorizadas y los anuncios maliciosos para distribuir malware. Qué hace el ransomware El ransomware puede ingresar a una computadora de la misma manera que un virus informático. Estas formas incluyen archivos adjuntos de correo electrónico manipulados, la explotación de vulnerabilidades de seguridad en los navegadores web o a través de servicios de datos como Dropbox. Por ejemplo, los correos electrónicos se envían simulando que un archivo ZIP adjunto contiene una factura o un albarán de entrega de los productos pedidos. A veces también se afirma que la Oficina de Policía o Microsoft detectaron actividades ilegales en la computadora y posteriormente la bloquearon. Infiltración de sistemas y exfiltración de datos Antes, durante y después de que el ransomware cifre los datos, pueden tener lugar varios procesos peligrosos. En el caso del ransomware operado manualmente, los atacantes conectados al sistema atacado intentan moverse por el sistema infectado y las redes conectadas (infiltración). Para tener una idea ideal de cómo operan los atacantes, es útil pensar en el software de mantenimiento remoto, incluso si los ataques pueden ser mucho más sofisticados desde un punto de vista técnico. La locomoción en el sistema invadido se denomina movimiento lateral en la terminología inglesa. Incluso después de cifrar los datos de cada ordenador, existe el riesgo de que se produzcan más cifrados en los sistemas conectados sin que se tomen medidas correctivas. Si los intrusos encuentran datos que parecen interesantes y valiosos, los espían. A través de canales parcialmente encubiertos y anonimizados, transmiten los datos desde una red privada o la red de una organización a Internet, a sistemas de almacenamiento de datos controlados por ellos (exfiltración). Después de revisar y evaluar el valor de los datos robados, deciden si utilizarlos para extorsión o venderlos a terceros. Bloqueo del sistema Una computadora infectada se puede bloquear de varias maneras. Los intentos de chantaje más simples e inofensivos sólo se manifiestan en una ventana de notificación que aparece cada vez que se inicia el sistema y no se puede cerrar. El Administrador de tareas también quedará bloqueado. Los usuarios de PC sin experiencia no saben cómo acabar con este bloqueo. Parece haber sólo una salida para pagar el rescate. El importe se acredita al chantajista introduciendo datos en el ordenador infectado, que los comunica electrónicamente al autor. Otro método de pago anónimo utilizado es la criptomoneda Bitcoin. Cifrado de documentos Las variantes especialmente maliciosas del ransomware tienen un mayor potencial de daño: cifran los archivos del ordenador; preferiblemente archivos que se pueda suponer que son muy importantes para el propietario de la computadora y que pueden ser irrecuperables. En los sistemas Windows, el ransomware suele comenzar en la carpeta Mis documentos y prefiere los documentos creados con aplicaciones de Office, así como correos electrónicos, bases de datos, archivos y fotografías, entre otros. Sin una contraseña de descifrado, el usuario ya no tendrá acceso a sus contenidos. Por lo tanto, a diferencia del software espía, no mueve grandes cantidades de datos. Para poder descifrar los datos cifrados por el ransomware, el intruso pide al usuario perjudicado que pague un rescate para recibir el software de descifrado o la contraseña requerida. En algunos casos, primero se pide al usuario que se ponga en contacto con el productor del ransomware por separado, por ejemplo, por correo electrónico a una dirección de correo electrónico específica, llamando a un sitio web específico o mediante una máscara de formulario. Los delincuentes a menudo amenazan con que si contactan a la policía, todos los datos serán destruidos. El malware puede manipular y monitorear aún más la computadora infectada; por lo tanto, no se puede utilizar para trabajos posteriores, en particular para actividades que requieran una contraseña. Transferir el dinero del rescate desde el ordenador afectado a través de la banca online debe considerarse una negligencia grave. En algunos casos, el atacante ni siquiera ofrece la posibilidad de descifrar los archivos cifrados, por lo que estos archivos se pierden irremediablemente a menos que exista una copia de seguridad. de los archivos cifrados. Impacto en las víctimas El impacto de los ataques de ransomware puede ser devastador y provocar pérdidas financieras, daños a la reputación e interrupciones operativas de las víctimas. Cuando el ransomware cifra datos críticos, las organizaciones pueden enfrentar tiempos de inactividad prolongados, pérdida de productividad y posibles consecuencias legales y regulatorias. Además, pagar el rescate no garantiza la recuperación de archivos cifrados y puede alentar a los atacantes a atacar a las víctimas repetidamente.