¡Conoce las opiniones de nuestros +8500 alumnos!

Banner LISA Comunidad


Qué es el Ransomware y cómo prevenir este ciberataque (Guía práctica)

Entre las acciones maliciosas que pueden afectarte destaca en especial el Ransomware. Los ciberataques de Ransomware han crecido un +97% en los últimos dos años. En 2018, se detectaron 851 millones de ataques ransomware en el mundo. En 2019, cada 14 segundos se produce una infección. Cyber Security Ventures calcula que en 2021 las infecciones serán cada 11 segundos.

Los principales objetivos del Ransomware son usuarios, empresas e incluso instituciones, como ha sido el caso del Ayuntamiento de Atlanta o Baltimore que han sido cibersecuestradas en los últimos meses.

Por ello, hemos preparado esta Guía sobre el Ransomware, para explicarte qué es un Ransomware, quién está detrás de estos ciberataques, cómo consiguen infectarte, cómo reconocer el Ransomware, cómo te puedes proteger y qué debes hacer si te afecta este creciente ciberataque.

 

Qué es el Ransomware y cómo prevenir este ciberataque - LISA Institute

1. ¿QUÉ ES EL RANSOMWARE?

El ransomware es un tipo de malware, cuyo objetivo es conseguir el control del equipo para cifrar el acceso al mismo y/o sus archivos o discos duros a cambio de una condición que suele el pago de un rescate por parte del propietario. Según Business Insider, el Ransomware genera más de 25 millones de dólares cada año a los cibercriminales. 

El método más común de propagación es a través del envío de correos electrónicos maliciosos a los afectados. Estos son engañados para que abran un archivo infectado o cliquen en un enlace que les dirige a la página web del atacante y, es ahí, cuando y donde se infectan.

"Existen las organizaciones que han sido hackeadas y las que aún no lo saben". Según Datto, el Ransomware provoca a las empresas más de 75.000 millones de dólares en perdidas anuales. Si quieres mejorar tus perspecticas profesionales, aprende a detectar vulnerabilidades, prevenir ciberataques y a realizar análisis sobre cualquier ciberincidente. Te recomendamos estos cursos

¿QUIÉN ESTÁ DETRÁS DEL CIBERATAQUE DEL RANSOMWARE?

Lo que hay que tener claro es que el ransomware es un negocio, aunque sea ilegal. Y como todo negocio, son muchas las personas y organizaciones criminales que están detrás del ciberataque. Además, con el tiempo, proliferan más los ciberdelincuentes que se especializan y organizan para aumentar su eficacia y rentabilidad.

En este negocio ilícito participan:

  1. El emprenedor: El creador del código que compone el ransomware.
  2. Los inversores: Las personas que facilitan el lugar físico para que se distribuya.
  3. Los comerciales: Los que se encargan de la distribución a nivel técnico o su venta/alquiler a nivel comercial para que otros lo utilicen.
  4. La atención al cliente: Los que se encargan de hablar con los infectados para presionarles y cobrar el rescate.
  5. Los contables: Los que blanquean el dinero para que sea de curso legal.

Según Trend Micro, un blog de seguridad e inteligencia, algunos grupos de ransomware funcionan como un servicio. Es decir, el cibercriminal se pone en contacto con varios representantes para distribuir el programa (almacenándolo en lugares lícitos a partir de emails), al igual que con las personas que se van a encargar de recaudar el rescate: basta con tener conocimientos de Internet y tiempo. Si consiguen que alguna persona pague el rescate, podrán obtener una parte de este.

La dificultad para las fuerzas de la seguridad de identificar y poner a disposición judicial a estos cibercriminales radica en que, además de trabajar desde la Dark Web y estar físicamente en países "paraísos fiscales de la cibercriminalidad", para más inri, piden el rescate en bitcoins.

El motivo radica en que al ser monedas virtuales cuyo pago es anónimo y sin trazabilidad, la búsqueda del rastro de las transacciones es muy difícil de llevar a cabo. De esta manera, pueden extorsionar a las víctimas sin que la policía se de cuenta de hacia dónde va el dinero, pudiendo blanquearlo de forma más sencilla.

Fórmate con el Máster Profesional de Analista Criminal y Criminología Aplicada para profesionalizarte en la prevención, análisis y lucha contra la criminalidad, desde la empresa, las instituciones públicas y los organismos internacionales.

Cursos de Ciberseguridad LISA Institue
Esta modalidad de timo consiste en la suplantación de la identidad de altos directivos para conseguir transferencias por parte de los empleados encargados de las cuestiones bancarias de la empresa, según ha informado la Guardia Civil en una nota.

Ver más en: https://www.20minutos.es/noticia/3063079/0/timo-ceo-guardia-civil/#xtor=AD-15&xts=467263

¿CÓMO CONSIGUEN INFECTARTE?

Los cibercriminales pueden utilizar varios métodos para realizar el ciberataque de ransomware:

  1. Aprovecharse de algún tipo de vulnerabilidad existente en los equipos informáticos de la víctima.
  2. Tener acceso a los equipos a partir de engaños como el “phishing” consiguiendo la contraseña del usuario o a través de vulnerabilidades del software.
  3. Engañarles mediante un correo electrónico falso con un enlace a una supuesta actualización. Al permitir esta actualización, lo que en realidad está instalando es el programa malicioso.
  4. A través del spam, el cual contiene enlaces de páginas webs maliciosas.
  5. Otro método muy usual consiste en dirigir a los usuarios a sitios web ya infectados, y, al utilizar las vulnerabilidades del navegador, se descargan el malware sin darse cuenta.

2. ¿CÓMO ME PUEDO PROTEGER ANTE UN ATAQUE RANSOMWARE?

Lo fundamental para protegerse de cualquier ciberataque es intentar evitar que nos infecten a través de engaños, conociendo todas las vías de la ingeniería social.

Los ciberdelincuentes engañan a los usuarios para que accedan a instalar el malware o para conseguir sus contraseñas y así poder acceder e instalarlo. También es relevante el mantenimiento y actualización de nuestros sistemas y programas para evitar que tengan agujeros en la seguridad.

Si quieres saber hasta qué punto puede afectar un ransomware incluso a nivel institucional, en este artículo te ofrecemos un análisis pormenorizado del ciberataque a la ciudad de Baltimore que lleva más de 5 semanas cibersecuestrada

¿CÓMO SE LLEVA A CABO UN ATAQUE DE INGENIERÍA SOCIAL?

Los ataques de ingeniería social son parecidos a los timos porque se siguen los mismos pasos, aunque estos ataques no sean presenciales ni físicos. Para ello, el cibercriminal lleva a cabo las siguientes tareas:

  1. Recopila información útil sobre la institución, gobierno o persona a la que quiere atacar o a alguien de su entorno inmediato.
  2. Elige la institución, gobierno o persona para establecer un algún tipo de relación y ganarse su confianza a partir de la información recabada previamente, para evitar la sospecha y rechazo.
  3. Manipula al perjudicado para obtener información que necesita o para que lleve a cabo alguna acción u omisión en su lugar como instalar un programa, desactivar el antivirus momentáneamente, introducir un pen drive en un equipo, hacer algún pago/ingreso, etc.

 

Qué es el Ransomware y cómo prevenir este ciberataque (Guía práctica)

Lista de 5 consejos para prevenir un ataque de ingeniería social

Lo primordial para evitar un ataque ransomware o cualquier otro que utilice la ingeniería social es que desconfíes de cualquier email, mensaje de texto, llamada o incluso Whatsapp en el que se te intente coaccionar o premiar a hacer algo ante una supuesta sanción o premio.

Según Incibe, los cinco consejos que debes seguir para evitar ser víctima de cualquier tipo de fraude son los siguientes:

  1. No abrir ningún correo electrónico que desconozcas y eliminarlos ipso facto.
  2. Desconfiar de cualquier documento, aunque provenga de conocidos.
  3. Comprobar que los enlaces proceden de contactos conocidos y que, además, son correctos.
  4. Actualizar tanto el antivirus como el sistema operativo de los equipos informáticos.
  5. Utilizar contraseñas complejas, nada de claves simples y fáciles de recordar.

A parte de estos consejos, también hay medidas técnicas que se deben seguir, ya que, al no tener ninguna vulnerabilidad en el software, al estar actualizado y correctamente configurado, la prevención de los ciberataques será más factible:

  1. Copias de seguridad: es muy importante tener al menos dos copias de seguridad. Por ejemplo, si somos víctimas de un ransomware tenemos tres opciones a escoger: (1) Pagar el rescate. (2) Recuperar los archivos a partir de las copias (3) Asumir que hemos perdido la información y restablecerla de memoria. Sin duda, la mejor elección es recuperar los datos de las copias de seguridad. Para mayor seguridad y como los discos duros se estropean con el tiempo, golpes o cambios de temperatura, es recomendable tener al menos dos copias ubicadas en lugares diferentes.
  2. Navegación segura: utilizar cualquier conexión de red privada para que el tráfico de datos viaje cifrado y, así, que el ciberdelincuente no pueda fisgar ni de forma explícita ni implícita (metadatos). Además, es de vital importancia evitar todas aquellas páginas web que creamos que contienen información dudosa o que no son https.
  3. Actualización: debes asegurarte de que todos tus sistemas operativos se actualizan, aunque sea de forma automática porque, de esta manera, no tendrás ningún agujero de seguridad y el ciberdelincuente no podrá acceder a tu software o sistema.
  4. Mínimos privilegios: es de gran relevancia saber gestionar las cuentas de los usuarios, así como los permisos para poder acceder a los datos. Es decir, en una empresa los usuarios generales deberían utilizar cuentas que tengan privilegios limitados para que, en caso de ser hackeados, los ciberdelincuentes no puedan acceder a información privilegiada.
  5. Mínima exposición: intenta evitar el riesgo de exhibirse al exterior de la red interna de la institución. Para hacer posible el acceso a aquellos servidores que queramos desde Internet, debe abrirse una puerta a nuestra red, evitando que el resto quede sin protección: es necesario el uso de un cortafuegos.
  6. Configuración del correo electrónico: debemos contar con filtros de spam para evitar los emails maliciosos, escanear todos los correos que recibimos para detectar si hay alguna amenaza y proceder a la desactivación del HTML en aquellos correos críticos, entre otros.
  7. Estrategia de respuesta ante cualquier incidente: debemos contar siempre con un plan de actuación en caso de que nuestros equipos informáticos queden infectados. Los pasos que se deben seguir son: preparación ante una amenaza, detección y análisis, contención y recuperación, y, por último, registro de toda la información necesaria para, así, poder realizar mejoras en la forma de actuar ante un posterior ciberataque similar.
  8. Escanear los equipos con un antivirus: recomendable que se realice periódicamente.

En este otro artículo, te facilitamos una radiografía actual de las ciberamenazas, cuáles son los vectores de ataque más habituales y los 15 principales consejos de Ciberseguridad para tener una vida cibersegura. 

3. ¿QUÉ DEBO HACER SI ME AFECTA EL RANSOMWARE?

Si alguna vez tienes un incidente de ciberseguridad a través del cual te extorsionan para pagar un rescate debes saber cómo actuar:

  1. Nunca pagar el rescate por varios motivos:
    1. No te garantiza volver a tener acceso a los datos y archivos.
    2. Porque puedes volverte objeto de ataques posteriores ya que saben que estás dispuesto a pagar.
    3. Porque pueden subir la cifra del pago.
    4. Porque pagar implica fomentar el negocio de los cibercriminales.
  2. Aplicar el plan de respuesta a incidentes para poder evitar otras infecciones en equipos de tu entorno personal y profesional. 
  3. Uso de la última copia de seguridad para recuperar la información extraviada y la continuidad del negocio o actividad.
  4. Implantar nuevas medidas que eviten que vuelvas a infectarte: formación en ciberseguridad, instalación de antivirus, actualización más rigurosa, copias de seguridad más recientes, etc.

¿CÓMO RECUPERO LA ACTIVIDAD CORPORATIVA Y LA INFORMACIÓN TRAS UN RANSOMWARE?

Para poder recuperar la actividad y la información perdida debes seguir los siguientes pasos:

  1. Contactar con el Centro de Respuesta a Incidentes (CERTSI) de INCIBE (en ocasiones, si el Ransomware es una versión ya conocida, se dispone de la contraseña para descifrar los equipos)
  2. Aislar los equipos informáticos del ransomware desconectándolos de la red.
  3. Duplicar los discos duros de los equipos infectados, acción que debe realizar un especialista.
  4. Denuncia el ciberataque a la Policía de referencia.
  5. Cambiar todas las claves y contraseñas.
  6. Desinfectar los equipos y recuperar los datos.
  7. Restaurarlos para poder continuar con la actividad corporativa.

En este otro artículo, te detallamos los pasos que has de seguir si quieres evitar un ciberataque. En este caso, un ataque botnet

 

Cursos de Ciberseguridad LISA Institute

Quiero saber más, ¿qué hago?

Si quieres ampliar información sobre cualquier ámbito de la Ciberseguridad, consulta estos artículos de nuestro blog:

    Si quieres empezar ya a formarte en Ciberseguridad, te recomendamos estos cursos online:

    Si quieres saber aún más

    Suscríbete para ser el primero en recibir artículos, análisis y noticias, además de descuentos exclusivos para suscriptores en formación sobre Seguridad, Inteligencia, Ciberseguridad y Geopolítica.