Ransomware - Cómo se propaga y cómo detenerlo
Lectura de 2 min aprox.
El ransomware es un tipo de malware que cifra los archivos de un equipo infectado para dejarlos inutilizables y exige un rescate (ransom) a cambio de su recuperación. Ataca a una amplia gama de víctimas, desde particulares hasta grandes empresas, instituciones médicas y organismos gubernamentales, y causa daños del orden de miles de millones de dólares al año en todo el mundo. Según un informe de Chainalysis de 2024, aunque el importe total de los pagos de rescates muestra una tendencia a la baja interanual, el número de ataques en sí está aumentando, y los ataques de doble extorsión (que, además de cifrar los datos, amenazan con publicar los datos robados) se han convertido en la norma.
Antecedentes históricos
Se considera que el primer ransomware fue el "AIDS Trojan" de 1989, que se distribuía en disquetes. Sin embargo, no se convirtió en una amenaza seria hasta CryptoLocker en 2013. La difusión de criptomonedas como Bitcoin facilitó recibir rescates de forma anónima, lo que impulsó un fuerte aumento de los ataques. El ataque WannaCry de 2017 causó daños en más de 150 países de todo el mundo y dio a conocer ampliamente la amenaza del ransomware al público general. En la actualidad se ha consolidado un modelo de negocio llamado RaaS (Ransomware as a Service), que crea una situación en la que incluso delincuentes sin conocimientos técnicos pueden llevar a cabo ataques de ransomware.
Vías de infección
La vía de infección más común son los archivos adjuntos o los enlaces de los correos de phishing. Se utilizan documentos de Office con macros y archivos ejecutables que se hacen pasar por software legítimo. También son frecuentes las intrusiones que explotan vulnerabilidades del Protocolo de Escritorio Remoto (RDP). Se han notificado asimismo infecciones a través de kits de exploits que abusan de vulnerabilidades de software y mediante ataques a la cadena de suministro.
Las amenazas y contramedidas del ransomware se explican en detalle en libros sobre defensa contra ransomware (Amazon).
Casos de uso reales
«A las 2 de la madrugada se activó una alerta de ransomware y convocamos al equipo de respuesta a emergencias. Aislamos de inmediato el dispositivo infectado de la red e iniciamos la recuperación a partir de copias de seguridad sin conexión.»
Flujo de infección
Prevención y contramedidas prácticas
Los aspectos básicos de la prevención son mantener siempre actualizados el sistema operativo y el software, no abrir archivos adjuntos sospechosos del correo y hacer copias de seguridad periódicas. Es importante guardar las copias de seguridad en un almacenamiento sin conexión, desconectado de la red. Un error común es esperar que «si pagas el rescate, recuperarás tus datos», pero se han notificado muchos casos en los que los datos no se recuperaron ni siquiera tras el pago, o en los que la víctima fue atacada de nuevo. Al proteger las cuentas de RDP y de los servicios en la nube con contraseñas aleatorias robustas y habilitar la autenticación de dos factores, se puede reducir considerablemente el riesgo de intrusión inicial.guías de copias de seguridad y recuperación (Amazon) también son referencias útiles para minimizar los daños.
¿Te resultó útil este artículo?