El malware de rescate, o ransomware, es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos. Las primeras variantes de ransomware se crearon al final de la década de los 80, y el pago debía efectuarse por correo postal. Hoy en día los creadores de ransomware piden que el pago se efectúe mediante criptomonedas o tarjetas de crédito.
A continuación, te contamos todo lo que necesitas saber sobre esta amenaza informática que en el último tiempo ha tenido un crecimiento importante y que luego de lo que fue el brote de WannaCry allá por 2017, está generando un impacto significativo en la ciberseguridad afectando a pequeñas, medianas y grandes empresas de varias industrias, así como organismos gubernamentales, instituciones educativas y de salud en todo el mundo.
¿Cómo funciona el ransomware?
Existen diferentes tipos de ransomware según las acciones que realizan en el equipo una vez que logran comprometerlo y de acuerdo al método de extorsión del que se valgan:
- Ransomware de cifrado o criptoransomware: utiliza la criptografía para cifrar los archivos del equipo comprometido impidiendo que el usuario pueda acceder a ellos. Este tipo de ransomware es el más común, el más moderno, y el más efectivo y, aunque pueda removerse del equipo con facilidad, la información que se ha visto comprometida es difícil o -mayormente- imposible de recuperar. Usualmente busca atacar extensiones de archivo que sean de interés para los usuarios, como archivos de ofimática, multimedia, bases de datos, etcétera. También es capaz de cifrar unidades extraíbles y unidades de red mapeadas dentro del computador. El principal síntoma de un equipo comprometido por un criptoransomware es el cambio de extensión en los archivos y la imposibilidad para abrirlos.
- Ransomware de bloqueo de pantalla o lockscreen: no muy frecuente en la actualidad, aunque siguen siendo populares en arquitecturas como teléfonos y tabletas con Android, el objetivo de este tipo de ransomware es impedir la utilización y el acceso al equipo hasta que se realice el pago del rescate. Los primeros ransomware de propagación masiva formaban parte de esta categoría y utilizaban técnicas sencillas para tomar control de la pantalla del equipo. Esta forma primitiva de ransomware es más fácil de remover y suele tener consecuencias menores para los usuarios.
¿Cómo llega el ransomware a infectar un equipo?
A grandes rasgos, en el mundo del cibercrimen encontramos tanto campañas de malware que buscan distribuir un malware de manera masiva y aleatoria, y también ataques dirigidos que emplean códigos maliciosos para afectar a empresas y organizaciones de todo tipo de industrias.
La forma de distribución más común del ransomware es a través de correos de phishing con archivos adjuntos o enlaces que intentan engañar a los usuarios mediante ingeniería social para convencerlos de descargar la amenaza. Otras formas de distribución son mediante ataques a conexiones remotas, como el Protocolo de Escritorio Remoto (RDP), aprovechando el uso de contraseñas débiles. También a través de la explotación vulnerabilidades —por ejemplo, mediante sitios web comprometidos utilizados para redirigir a sus visitantes a diferentes tipos de exploits—, así como también dispositivos USB, descarga de software pirata, entre otros.
Como podemos deducir de lo anterior, gran parte de los ataques comienza con el engaño de las personas que hacen uso del sistema, utilizando alguna de las numerosas técnicas que conforman a la Ingeniería Social, y también mediante ataques a conexiones remotas como el RDP. No obstante, los atacantes también pueden procurar hacerse del control remoto del sistema aprovechando vulnerabilidades en equipos desactualizados, mal configurados y/o sin ninguna solución de seguridad instalada.
¿Qué medidas tomar contra está amenaza como empresa?
En particular, algunos consejos básicos para protegerse del ransomware son los siguientes:
- Tener una copia de respaldo actualizada
La herramienta más importante que tenemos para derrotar al ransomware es contar con un backup actualizado en forma periódica. De este modo, si es posible restaurar el sistema a una instantánea anterior o desinfectar el equipo y restaurar desde la copia de respaldo los documentos que estaban infectados, estamos previniendo llegar al punto de pagar para solucionar el inconveniente. Además, se debe tener en cuenta que el backup puede verse comprometido si se encuentra conectado al equipo donde comenzó la infección, por lo cual se debe diseñar una buena política de respaldo para evitar esta situación.
- Instalar una solución de seguridad
Siempre es una buena idea tener un software antimalware y un firewall para identificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes de códigos conocidos para evadir la detección, por lo que es importante contar con ambas capas de protección.
- Utilizar herramientas para el cifrado de archivos
El ransomware mayormente cifra solo archivos con determinadas extensiones, como ser imágenes, videos, bases de datos o documentos de ofimática. Al utilizar una solución de cifrado podríamos lograr que un archivo sobreviva intacto a una infección por ransomware.
- Capacitar al personal sobre los riesgos
A nivel empresarial, es necesario acompañar la inclusión de tecnologías de defensa con la creación de planes de capacitación para alertar al personal sobre los riesgos que existen en línea y cómo evitarlos.
- Mostrar las extensiones ocultas por defecto
Con frecuencia, una de las maneras en que se presenta el ransomware es en un archivo con doble extensión (por ejemplo, “.PDF.EXE”), aprovechando la configuración predeterminada de Windows de ocultar las extensiones para tipos de archivos conocidos. Modificando las opciones del sistema para ver las extensiones completas de archivo, será más fácil detectar archivos sospechosos.
- Analizar los adjuntos de correos electrónicos
Gran parte de las infecciones por ransomware se inician con un adjunto en un correo electrónico. Por ello es importante establecer reglas en el servidor de correos para el análisis de archivos adjuntos y el bloqueo de mensajes que contengan archivos .EXE, .SCR, doble extensión, o cualquier otra extensión referente a un ejecutable.
- Deshabilitar los archivos que se ejecutan desde las carpetas AppData y LocalAppData
Es posible deshabilitar este tipo de comportamientos a través de las políticas locales o de red del sistema, o mediante el software de prevención de intrusiones. De este modo evitarás infecciones por muchas variantes de ransomware, y también infecciones de malware en general.
- Deshabilitar RDP cuando no sea necesario
El ransomware puede acceder a las máquinas mediante el Protocolo de Escritorio Remoto, que les permite a terceros obtener acceso a tu equipo en forma remota. Si no se requiere, puede deshabilitarse para proteger tu máquina del acceso indebido.
- Actualizar el software de dispositivos de escritorio, móviles y de red
Los cibercriminales con frecuencia se basan en software desactualizado con vulnerabilidades conocidas para usar un exploit e ingresar al sistema. Al gestionar la instalación frecuente de updates de seguridad es posible incrementar las barreras de protección contra cualquier tipo de malware.
- Crear políticas de seguridad y comunicarlas a los empleados
La gestión a través de la creación de políticas de seguridad y la generación de los canales de comunicación para cerciorarse de que los empleados las conozcan y respeten ahorrará muchos dolores de cabeza evitando infecciones que puedan propagarse con base en el uso de la Ingeniería Social.
Conclusión
El ransomware, en todas sus formas y presentaciones, es una seria amenaza tanto para usuarios hogareños como para empresas. Es fundamental estar alerta a los riesgos que supone y tomar todas las medidas de prevención posibles. Hay tres conceptos vitales: educarse sobre el malware, ejercer la cautela al usar un dispositivo y contar siempre con el mejor software de seguridad posible.
Escrito por:
Ing. Roberto Sarmiento Lavayen
28 de Oct. 2021