El ransomware es una forma de malware que cifra los archivos de una víctima. Después, el atacante exige un rescate de la víctima para restaurar el acceso a los datos al momento del pago.
A los usuarios se les muestran instrucciones sobre cómo pagar una tarifa para obtener la clave de descifrado. Los costos pueden variar desde unos pocos cientos de dólares hasta miles, pagaderos a los ciberdelincuentes en Bitcoin.
Cómo funciona el ransomware
Hay una serie de vectores que el ransomware puede utilizar para acceder a una computadora. Uno de los sistemas de entrega más comunes es el spam de phishing: archivos adjuntos que llegan a la víctima en un correo electrónico, haciéndose pasar por un archivo en el que deben confiar.
Una vez que se descargan y abren, pueden hacerse cargo de la computadora de la víctima, especialmente si tienen herramientas de ingeniería social integradas que engañan a los usuarios para que permitan el acceso administrativo.
Algunas otras formas de ransomware más agresivas, como NotPetya, aprovechan los agujeros de seguridad para infectar computadoras sin necesidad de engañar a los usuarios.
Hay varias cosas que el malware puede hacer una vez que se ha apoderado de la computadora de la víctima, pero la acción más común es cifrar algunos o todos los archivos del usuario. Pero lo más importante que debes saber es que al final del proceso, los archivos no se pueden descifrar sin una clave matemática conocida solo por el atacante.
Al usuario se le presenta un mensaje que explica que sus archivos ahora son inaccesibles y solo se descifrarán si la víctima envía un pago de Bitcoin imposible de rastrear al atacante.
En algunas formas de malware, el atacante puede afirmar que es una agencia de aplicación de la ley que apaga la computadora de la víctima debido a la presencia de pornografía o software pirateado en ella, y exige el pago de una «multa», tal vez para hacer que las víctimas sean menos propensas a denunciar el ataque a las autoridades.
Pero la mayoría de los ataques no se molestan con esta pretensión. También existe una variación, llamada software de filtración o doxware, en la que el atacante amenaza con publicar datos confidenciales del disco duro de la víctima a menos que se pague un rescate. Pero debido a que encontrar y extraer dicha información es una propuesta muy complicada para los atacantes, el ransomware de cifrado es, con mucho, el tipo más común.
¿Cuál es el objetivo?
Hay varias formas en que los atacantes eligen las organizaciones a las que se dirigen con ransomware. A veces es una cuestión de oportunidad: por ejemplo, los atacantes pueden apuntar a universidades porque tienden a tener equipos de seguridad más pequeños y una base de usuarios dispar que comparte muchos archivos, lo que facilita la penetración de sus defensas.
Por otro lado, algunas organizaciones son objetivos tentadores porque parece más probable que paguen un rescate rápidamente. Por ejemplo, las agencias gubernamentales o las instalaciones médicas a menudo necesitan acceso inmediato a sus archivos.
Los bufetes de abogados y otras organizaciones con datos confidenciales pueden estar dispuestos a pagar para mantener en secreto las noticias de un compromiso, y estas organizaciones pueden ser especialmente sensibles a los ataques de fugas.
Pero no te sienta seguro si no encaja en estas categorías: como señalamos, algunos ransomware se propagan de forma automática e indiscriminada a través de Internet.
¿Cómo prevenir el ransomware?
Hay una serie de medidas defensivas que puedes tomar para prevenir la infección por ransomware. Estos pasos son, por supuesto, buenas prácticas de seguridad en general, por lo que seguirlos mejora sus defensas contra todo tipo de ataques:
- Mantén tu sistema operativo parcheado y actualizado para evitar vulnerabilidades.
- No instales software ni le otorgues privilegios administrativos, a menos que sepas exactamente qué es y para qué sirve.
- Instala un antivirus que detecte programas maliciosos como ransomware a medida que llegan, y cualquier otro software de listas blancas, que eviten que las aplicaciones no autorizadas se ejecuten en primer lugar.
- haz una copia de seguridad de tus archivos de forma frecuente y automática. Esto no detendrá un ataque de malware, pero puede hacer que el daño causado por uno sea mucho menos significativo.
Eliminación de ransomware
Si tu computadora ha sido infectada con ransomware, deberás recuperar el control de su máquina. Los pasos importantes son:
- Reinicia Windows 10 en modo seguro
- Instala un software antimalware
- Escanea el sistema para encontrar el programa ransomware
- Restaura la computadora a un estado anterior
Pero esto es lo importante que debe tener en cuenta: si bien seguir estos pasos puede eliminar el malware de tu computadora y restaurarlo, no descifrará tus archivos. La transformación en ilegibilidad ya ha ocurrido, y si el malware es algo sofisticado, será matemáticamente imposible para cualquiera descifrarlo sin acceso a la clave que tiene el atacante.
De hecho, al eliminar el malware, has eliminado la posibilidad de restaurar tus archivos pagando a los atacantes el rescate que pidieron.
¿Deberías pagar el rescate?
Si tu sistema ha sido infectado con malware y has perdido datos vitales que no puede restaurar desde la copia de seguridad, ¿deberías pagar el rescate?
Cuando se habla teóricamente, la mayoría de las agencias de aplicación de la ley le instan a no pagar a los atacantes de ransomware, con la lógica de que hacerlo solo anima a los piratas informáticos a crear más ransomware.
Dicho esto, muchas organizaciones que se ven afectadas por el malware rápidamente dejan de pensar en términos del «bien mayor» y comienzan a hacer un análisis de costo-beneficio, sopesando el precio del rescate con el valor de los datos cifrados.
Según una investigación de Trend Micro, mientras que el 66% de las empresas dicen que nunca pagarían un rescate como cuestión de principio, en la práctica el 65% realmente paga el rescate cuando son atacadas.
Los atacantes de ransomware mantienen los precios relativamente bajos, por lo general entre $ 700 y $ 1300, una cantidad que las empresas pueden permitirse pagar con poca antelación. Algún malware particularmente sofisticado detectará el país donde se está ejecutando la computadora infectada y ajustará el rescate para que coincida con la economía de esa nación, exigiendo más de las empresas de los países ricos y menos de las de las regiones pobres.
A menudo se ofrecen descuentos por actuar con rapidez, a fin de alentar a las víctimas a pagar rápidamente antes de pensar demasiado en ello.
En general, el precio se establece de manera que sea lo suficientemente alto como para que valga la pena para el delincuente, pero lo suficientemente bajo como para que a menudo sea más barato de lo que la víctima tendría que pagar para restaurar su computadora o reconstruir los datos perdidos.
Con esto en mente, algunas empresas están comenzando a incorporar la posible necesidad de pagar un rescate en sus planes de seguridad: por ejemplo, algunas grandes empresas del Reino Unido que de otra manera no están involucradas con las criptomonedas mantienen algo de Bitcoin en reserva específicamente para pagos de rescate.
Hay un par de cosas difíciles de recordar aquí, teniendo en cuenta que las personas con las que está tratando son, por supuesto, criminales.
En primer lugar, es posible que lo que parece un ransomware no haya cifrado sus datos en absoluto; asegúrese de no estar lidiando con el llamado «scareware» antes de enviar dinero a alguien.
En segundo lugar, pagar a los atacantes no garantiza que recuperarás tus archivos. A veces, los delincuentes simplemente toman el dinero y corren, y es posible que ni siquiera hayan incorporado la funcionalidad de descifrado en el malware.