Protección contra ransomware: guía de prevención y recuperación

Lectura de 9 min aprox.

El ransomware cifra los archivos de tu computadora y exige un rescate a cambio de la clave de descifrado. Según las estadísticas de la Agencia Nacional de Policía de Japón, en el primer semestre de 2024 se reportaron 114 casos de ransomware, manteniéndose en niveles altos tras los 197 casos de 2023. Una investigación de Chainalysis reveló que los pagos en criptomonedas relacionados con ransomware superaron los 1.100 millones de dólares en 2023, un récord histórico. En 2024 la tendencia continúa, afectando tanto a empresas como a particulares. Este artículo explica de forma integral las vías de infección, las medidas preventivas y qué hacer en caso de infección.

¿Qué hacer primero para protegerse?

Las tres medidas más importantes contra el ransomware son: copias de seguridad offline, seguridad robusta de cuentas y actualizaciones de software. Los principiantes deben empezar haciendo copias de seguridad semanales en un disco duro externo y reforzar todas las contraseñas con Passtsuku.com. Los usuarios intermedios deben aplicar la regla de backup 3-2-1 y establecer contraseñas de 20 caracteres o más para RDP y acceso remoto. Los usuarios avanzados deben considerar la segmentación de red y herramientas de detección y respuesta de endpoints (EDR).

Cómo funciona el ransomware

Una vez que el ransomware se infiltra en un sistema, comienza a cifrar archivos en segundo plano utilizando algoritmos de cifrado fuertes como AES-256 y RSA-2048, lo que hace prácticamente imposible descifrar los archivos sin la clave del atacante. Al completar el cifrado, muestra un mensaje exigiendo el pago del rescate, generalmente en criptomonedas difíciles de rastrear como Bitcoin.

El ransomware moderno emplea cada vez más la "doble extorsión": además de cifrar archivos, roba datos y amenaza con publicarlos si no se paga el rescate. Según Sophos, el pago promedio de rescate en 2024 alcanzó aproximadamente 2 millones de dólares, un aumento de cinco veces respecto al año anterior. Esta táctica hace que la recuperación solo mediante copias de seguridad ya no sea suficiente para evitar completamente los daños.

Principales vías de infección

Correos de phishing

La vía de infección más común del ransomware son los correos de phishing con archivos adjuntos o enlaces maliciosos. Según Proofpoint, aproximadamente el 75% de las infecciones de ransomware se producen a través de correos de phishing. Adquirir el hábito de verificar la dirección del remitente y las irregularidades en el texto es el primer paso para prevenir la infección. Consulta también cómo identificar y prevenir el phishing.

Explotación de vulnerabilidades

La explotación de vulnerabilidades de software es otra vía principal de infección. WannaCry en 2017 explotó una vulnerabilidad del protocolo SMB de Windows, infectando más de 200.000 computadoras en más de 150 países. Aplicar rápidamente los parches de seguridad del sistema operativo y las aplicaciones es la medida más eficaz contra esta vía de infección.

Para protegerse contra ataques basados en vulnerabilidades, implementar software de seguridad de endpoints (Amazon) es una medida eficaz.

Ataques RDP (Escritorio Remoto)

Los atacantes escanean puertos RDP expuestos a internet y utilizan ataques de fuerza bruta o credenciales robadas para obtener acceso. Una vez dentro, se mueven lateralmente por la red y despliegan ransomware manualmente. Al usar RDP, es imprescindible permitir el acceso solo a través de VPN y establecer contraseñas fuertes generadas con Passtsuku.com. Cambiar solo el puerto predeterminado 3389 de RDP no es una medida de seguridad suficiente, ya que las herramientas de escaneo de puertos analizan todos los puertos.

Estrategias de prevención

Copias de seguridad periódicas

La preparación más eficaz contra el ransomware son las copias de seguridad periódicas. Sigue la regla 3-2-1: 3 copias de los datos, en 2 tipos diferentes de medios, con 1 copia almacenada fuera del sitio. Es crucial mantener las copias de seguridad desconectadas de la red, ya que las copias conectadas corren el riesgo de ser cifradas simultáneamente por el ransomware. Un error común es pensar que "sincronizar con almacenamiento en la nube es suficiente", pero el almacenamiento en la nube sincronizado también sincroniza los archivos cifrados.

Para una introducción amigable sobre cómo empezar con las copias de seguridad, consulta nuestra guía de conceptos básicos de backup para principiantes.

Seguridad robusta de cuentas

Muchas vías de intrusión del ransomware comienzan por descifrar contraseñas débiles o reutilizadas. Genera contraseñas únicas y fuertes para cada cuenta con Passtsuku.com y activa la autenticación en dos pasos. Para cuentas de acceso remoto (RDP, VPN, servicios en la nube), se recomienda establecer contraseñas aleatorias de 20 caracteres o más. Una contraseña que muestre más de 100 bits de entropía en el medidor de Passtsuku.com ofrece una resistencia extremadamente alta contra ataques de fuerza bruta.

Actualizaciones de software

Mantén actualizados todos los programas, incluyendo el sistema operativo, navegadores y plugins. Activa las actualizaciones automáticas para minimizar el período entre la publicación de una vulnerabilidad y la aplicación del parche. Prioriza especialmente la actualización del software conectado directamente a internet (navegadores, clientes de correo, clientes VPN).

Desde la perspectiva de la protección de datos, contar con soluciones de almacenamiento de backup offline (Amazon) brinda tranquilidad.

Qué hacer en caso de infección

Si sospechas una infección de ransomware, desconecta inmediatamente el dispositivo afectado de la red. Desenchufa el cable LAN y desactiva el Wi-Fi para evitar la propagación del malware. No se recomienda pagar el rescate. Según las estadísticas del FBI, solo alrededor del 65% de las organizaciones que pagaron lograron recuperar completamente sus datos, y se han reportado casos de ataques repetidos tras el pago. Pagar también financia las actividades de los atacantes.

Para una visión completa de las consecuencias de una brecha de seguridad, consulta qué sucede cuando te hackean.

• Desconectar el dispositivo de la red inmediatamente
• Reportar el incidente a las autoridades competentes
• Consultar el proyecto No More Ransom para herramientas de descifrado disponibles
• Restaurar archivos desde copias de seguridad limpias después de eliminar el malware
• Cambiar todas las contraseñas con Passtsuku.com después de la recuperación

Acciones que puedes tomar ahora

1. Haz copias de seguridad de archivos importantes en un disco duro externo o almacenamiento offline, y desconéctalo de la red después. Consulta las estrategias de backup y recuperación para orientación detallada
2. Genera contraseñas de más de 20 caracteres con Passtsuku.com y refuerza las contraseñas de cuentas de acceso remoto (RDP, VPN)
3. Activa las actualizaciones automáticas del sistema operativo, navegador y cliente de correo, y aplica los parches de seguridad rápidamente
4. Adquiere el hábito de no hacer clic descuidadamente en adjuntos o enlaces de correo, y consulta cómo identificar el phishing
5. Configura la autenticación en dos pasos en cuentas importantes para que las credenciales filtradas por sí solas no permitan el acceso

Preguntas frecuentes

¿Debo pagar el rescate si me infecta un ransomware?

No se recomienda pagar. No hay garantía de recuperación de datos y financia organizaciones criminales. Desconecte de la red primero e intente recuperar desde copias de seguridad.

¿Cuál es el vector de infección de ransomware más común?

Los archivos adjuntos y enlaces de correos de phishing son el vector más común. Nunca abra adjuntos sospechosos ni haga clic en enlaces desconocidos.

¿Cuál es la medida de prevención de ransomware más importante?

Copias de seguridad regulares. Siga la regla 3-2-1 (3 copias, 2 tipos de medios, 1 fuera del sitio) y mantenga siempre copias offline. Con copias de seguridad, puede recuperar datos sin pagar rescate.