La ciberseguridad es una gran preocupación en el mundo de hoy, tanto a nivel corporativo como personal. Nuestros PCs, nuestros dispositivos portátiles y nuestros productos de hogar inteligente e IoT son vulnerables a una variedad de ataques. Solo en 2017, Avast bloqueó 35 mil millones de ataques de seguridad contra PC y 208 millones contra dispositivos móviles Android. ¿Cuál fue una de las mayores amenazas a la seguridad? Ransomware.

¿Qué es ransomware?

Ransomware es un tipo de software malicioso (también conocido como malware) que está diseñado para tomar como rehén los archivos de su equipo y, en ocasiones, incluso todo su equipo.

El malware encripta sus archivos para que no se puedan abrir, o bloquea completamente de su equipo para evitar el acceso a todas esas fotos importantes, videos, archivos de contabilidad, documentos de trabajo, etc. Los atacantes maliciosos responsables de enviarle el malware luego se ponen en contacto con usted para exigir un rescate, prometiendo descifrar los archivos después de pagar (a menudo en Bitcoin).

Ransomware no es nuevo. El primer ataque conocido ocurrió en 1989 y se propagó entre equipos a través de disquetes. En el mundo de hoy totalmente conectado a la red, el acceso fácil al software ransomware de código abierto y el gran potencial de ganancia financiera han llevado a un aumento en la popularidad del ransomware.

¿El ransomware es un virus?

La mayoría de nosotros conoce el término virus y lo usamos para referirnos a todas las formas de malware. La verdad es que un virus es solo un tipo específico de malware. Otros tipos comunes incluyen gusanos, caballos de Troya, spyware y ransomware. El objetivo de cada tipo de malware es diferente. Los gusanos se replican y empantanan el rendimiento de tu equipo. Los virus están diseñados para infectar su equipo, dañar sus archivos y luego propagarse a nuevos hosts. Los caballos de Troya quieren obtener una puerta trasera secreta en su equipo para acceder y explotar su información personal. Existen numerosos motivos por los cuales los ciberdelincuentes crearían y distribuirían este tipo de malware.

Con ransomware, la razón suele ser bastante sencilla: el perpetrador quiere dinero. En general, el objetivo no es dañar o destruir permanentemente sus archivos o incluso robar su identidad, sino convencerlo de que pague la clave de descifrado.

Ransomware en PCs

Cualquiera puede ser un objetivo de ransomware. Los ataques de ransomware de más alto perfil en 2017 afectaron tanto a individuos como a empresas, incluidas las principales corporaciones, hospitales, aeropuertos y agencias gubernamentales.

El PC sigue siendo el objetivo más popular para los ataques de ransomware, ya que los hackers explotan vulnerabilidades conocidas, particularmente en el sistema operativo Windows.

En mayo de 2017 WannaCry se extendió rápidamente por todo el mundo.

En mayo de 2017, el ransomware WannaCry se extendió rápidamente por todo el mundo y finalmente atacó a más de 100 millones de usuarios.

WannaCry explotó una debilidad conocida de Windows llamada EternalBlue, que es un error que permite a los piratas informáticos ejecutar código de forma remota a través de una solicitud de "Compartir archivos e impresoras" de Windows. Microsoft había emitido un parche para EternalBlue dos meses antes del éxito de WannaCry; desafortunadamente, muchas personas y empresas no realizaron la actualización a tiempo para evitar el ataque. EternalBlue se remonta a Windows XP, un sistema operativo descatalogado y que Microsoft ya no mantiene ni soporta, y es por eso que los usuarios de Windows XP fueron los más afectados por WannaCry.

Ransomware en dispositivos móviles

Los ataques de Ransomware en dispositivos móviles están creciendo en frecuencia. Los ataques a dispositivos Android crecieron un 50 por ciento entre 2016 y 2017. A menudo, el ransomware se abrirá paso en el dispositivo Android a través de una aplicación de un sitio de terceros; sin embargo, también hemos visto casos en los que el ransomware se escondió con éxito en aplicaciones aparentemente legítimas en Google Play Store.

Ransomware en productos de Apple

MacBook infectado con ransomware.

Los fanáticos de Apple tampoco están a salvo. En el pasado, los usuarios de Mac generalmente eran menos susceptibles a los ataques de malware; sin embargo, a medida que los productos Apple ganan una mayor participación en el mercado, también reciben más atención de los desarrolladores de malware. En 2017, dos empresas de seguridad descubrieron programas de ransomware y spyware específicamente dirigidos a usuarios de Apple, que se cree fueron desarrollados por ingenieros de software especializados en OS X. Las personas que crearon el malware incluso lo pusieron a disposición de forma gratuita en la web oscura.

Los atacantes malintencionados también han accedido a las cuentas iCloud de los usuarios de Mac y han utilizado el servicio "Encontrar mi iPhone" para bloquear a las personas fuera de sus dispositivos.

Tipos de ransomware

Ransomware viene en una variedad de formas, con la solicitud de rescate es lo principal que los une. (En 2017 se detectaron algunos casos en los que las instituciones sufrieron un ataque parecido al ransomware, pero el objetivo no parecía ser monetario. El ransomware pudo haber sido encubridor de espionaje o algún otro tipo de ataque cibernético).

  • Crypto-malware - el tipo más común de ransomware se conoce como Crypto o encryptor ransomware; como su nombre lo sugiere, este es el tipo que encripta sus archivos. Aún puede iniciar sesión en su equipo, pero no puede abrir sus archivos. WannaCry es un excelente ejemplo de este tipo de ransomware.
  • Locker - Locker ransomware lo bloquea completamente de su equipo para que no pueda iniciar sesión. El Petya ransomware, que apareció por primera vez en 2016 y regresó en una forma más avanzada en 2017, utiliza el enfoque de locker al encriptar la tabla maestra de archivos del disco duro archivo de tabla para bloquear su equipo.
  • Doxware - Doxware descarga una copia de sus archivos confidenciales al equipo del atacante, y él o ella amenazan con publicar los archivos en línea si no paga el rescate. Imagine a alguien amenazando con publicar sus fotos o videos más personales en un sitio web público para que el mundo los vea. El ransomware Ransoc usó doxing.
  • Scareware - Scareware es un programa de software falso que afirma haber encontrado problemas en su computadora y exige dinero para solucionarlos. Scareware puede inundar su pantalla con ventanas emergentes y mensajes de alerta, o puede bloquear su equipo hasta que pague.

Una de las razones por las cuales el ransomware se ha convertido en un tipo de malware tan popular es que está disponible en línea para que lo utilicen los agentes de amenazas. Avast descubrió que aproximadamente un tercio de todas las cepas de ransomware "nuevas" en realidad se originan a partir de una cepa de código abierto existente. Además, los hackers están continuamente actualizando su código para refinar su ransomware y mejorar su encriptación, por lo que una cierta variedad de ransomware podría volver a surgir varias veces, como lo ha hecho Petna.

Dado que el objetivo final del atacante es difundir el ransomware a tantas máquinas como sea posible para ganar la mayor cantidad de dinero, ha surgido una táctica alternativa de rescate.

Ransomware Petya en pantalla.

En el ransomware Popcorn Time, el perpetrador le pide a la víctima que infecte a otros dos usuarios. Si ambos usuarios pagan el rescate, la víctima original recibirá sus archivos de nuevo, sin costo alguno.

¿Cómo se infecta mi dispositivo?

Lo aterrador del ransomware es que, a diferencia de un virus, puede atacar su dispositivo sin ninguna acción de su parte. Un virus requiere que el usuario descargue un archivo infectado o haga clic en un enlace infectado, pero el ransomware puede infectar un equipo vulnerable por sí mismo.

  • Exploit Kits: los atacantes malintencionados desarrollan kits de exploits que contienen código preescrito, diseñado para explotar problemas como EternalBlue que describimos anteriormente. Este tipo de ransomware puede infectar cualquier equipo conectada a la red que tenga un software desactualizado. Un día, enciendes tu PC y ¡bam! Todos sus archivos están bloqueados.
  • Ingeniería social - otras formas de ransomware aprovechan los métodos probados para infectar su equipo. La ingeniería social (o phishing) describe el acto de engañar a las personas para que descarguen malware de un archivo adjunto o un enlace web. Por lo general, estos archivos provienen de un correo electrónico que parece ser de una fuente respetable, y el archivo adjunto o enlace se ve como un formulario de pedido, recibo, factura o aviso importante. Su extensión de archivo hace que parezca un archivo PDF o Excel / Doc, pero en realidad es un archivo ejecutable disfrazado. El usuario descarga el archivo, hace clic en él y comienza la maldad. (Es posible que tampoco comience de inmediato. Algunos ransomware están diseñados para ocultarse en su equipo durante un período determinado de tiempo para dificultar la localización exacta de su origen).
  • Malvertising - Malvertising es otro método de infección, en el cual el atacante usa una red publicitaria para distribuir su malware. La publicidad falsa podría distribuirse incluso a sitios web confiables. Si el usuario hace clic en el enlace del anuncio, el ransomware se descarga a su equipo.

Las descargas drive-by son archivos maliciosos que se descargan a su equipo sin que usted realice ninguna acción directa. Algunos sitios web poco fiables aprovechan los navegadores y las aplicaciones desactualizados para descargar malware en secreto a su equipo mientras navega inocentemente por la web.

Dispositivo Android infecctado con ransomware.

Independientemente de cómo el ransomware llegue a su equipo, una vez que el programa ha sido ejecutado, típicamente funciona así: el ransomware comienza a cambiar archivos (o estructuras de archivos) de tal forma que solo pueden leerse o usarse de nuevo al restaurarlos a su estado original. Para asegurar la comunicación entre el malware y la equipo de comando (el equipo que el criminal usa para dirigir el PC de la víctima), se utiliza el cifrado. Es la encriptación la que contiene la clave que descifrará datos o recuperará la clave de descifrado necesaria para recuperar los archivos o el sistema de archivos a su forma original.

Cuando todos los archivos estén bloqueados de forma segura, aparecerá una nota de rescate en su pantalla, que le indicará cuánto dinero deberá pagar para descifrar los archivos, dónde / cómo transferir los fondos y durante cuánto tiempo debe hacerlo. Si no cumples el plazo, el precio sube. Si intenta abrir alguno de los archivos cifrados, recibirá un mensaje de error indicándole que el archivo está dañado, no es válido o no se puede ubicar.

¿Cómo puedo eliminar el ransomware?

El acto de eliminar el ransomware en sí no es tan difícil. Si el atacante utilizó el ransomware de encriptación y aún puede acceder a su equipo, puede poner el equipo en "Modo a prueba de fallos" y ejecutar un escáner de antivirus para buscar y eliminar el malware.

Si el ransomware fue de la variedad "Locker" que lo excluye por completo de su equipo, entonces tiene tres opciones sobre cómo proceder: puede reinstalar su sistema operativo; puede ejecutar un programa antivirus desde una unidad externa o disco de arranque; o puede hacer una restauración del sistema y llevar a Windows a un tiempo anterior al que se cargó el ransomware.

¿Cómo puedo recuperar mis archivos?

Desafortunadamente, quitar el ransomware no te da acceso de repente a todos tus archivos encriptados. Cuán fácil o difícil es recuperar sus datos depende del nivel de encriptación. Si se trata de un ransomware básico que utiliza encriptación básica, una de las herramientas de descifrado de ransomware gratuitas de Avast puede hacer el trabajo. Si su equipo ha sido infectado por un ransomware más sofisticado como WannaCry que usa cifrado, puede ser imposible recuperar sus archivos bloqueados.

Ahora, alguien puede pensar que la mejor manera de recuperar los archivos es simplemente pagar el rescate. Muchas personas optan por pagar, razón por la cual el ransomware se ha convertido en una forma tan popular de malware. Si los cibercriminales siguen haciendo dinero, seguirán haciendo ransomware.

Sin embargo, ten esto en cuenta: no hay garantía de que el atacante realmente mantenga su palabra y descifre los archivos después de pagar. Podrían simplemente coger el dinero y correr. O bien, si ven que está dispuesto a pagar, pueden aumentar instantáneamente la cantidad del rescate. Además, la disposición a pagar te convierte en objetivo de otro ataque en el futuro.

También se debe tener en cuenta que algunos ransomware están tan mal codificados que, una vez que los archivos están encriptados, no se pueden descifrar y se pierden para siempre. Petna es uno de esos ejemplos. Entonces, si paga, puede que aún no recupere sus archivos.

Protección Ransomware: cómo prevenir un ataque de ransomware

La mejor forma de lidiar con un ataque de ransomware es evitar que suceda en primer lugar. Para hacer esto, debes:

  1. Actualiza tu sistema operativo y tus aplicaciones. Sí, sabemos que todos los avisos de actualización del sistema de Windows pueden ser molestos, pero no los ignore. (No ignore las actualizaciones en sus dispositivos móviles o productos IoT, tampoco). Muchas actualizaciones del sistema incluyen parches de seguridad, y esas son cruciales para mantener seguros sus dispositivos. Si todavía está utilizando un sistema operativo anterior, como Windows XP, que Microsoft ya no admite, entonces es especialmente vulnerable al ataque y realmente debería considerar la actualización a un sistema operativo más nuevo.
    También es importante actualizar el software de su equipo, especialmente sus navegadores web y complementos.
  2. Haga una copia de seguridad de sus archivos. Es importante realizar copias de seguridad del sistema con regularidad en un dispositivo externo, ya sea un disco duro USB, una unidad NAS o almacenamiento en la nube. Como mínimo, debe hacer una copia de seguridad de sus archivos más importantes y atesorados para que estén a salvo de malware y fallos en el disco duro. Hoy en día, el almacenamiento es barato y las opciones son abundantes en las categorías USB y NAS. También hay muchos sistemas de almacenamiento gratuitos en la nube, incluidos Dropbox, Google Drive, MEGA y OneDrive.
  3. Use el software antivirus y manténgalo actualizado. Avast ofrece varios niveles de protección antivirus para protegerte del ransomware y otro malware. Para los clientes de empresa, nuestro nuevo software de protección de endpoints Avast Business ofrece protección sólida de datos, dispositivos e identidad de nivel empresarial para una variedad de presupuestos. Para el canal de TI, también hemos integrado este derecho en nuestros productos Managed Workplace y CloudCare. Así como los ciberdelincuentes siempre refinan su malware, Avast siempre refina su software antivirus, por lo que es importante mantener el software actualizado.
  4. Esté atento a las técnicas manipuladoras de ingeniería social. Esto puede ser evidente, pero nunca abra o haga clic en enlaces o archivos de fuentes desconocidas. Si recibe un correo electrónico con un archivo adjunto dudoso, simplemente elimínelo sin abrirlo nunca. Si conoce a la persona que envió el correo electrónico, es posible que desee verificar con ellos que el archivo adjunto es legítimo. También esté atento a los mensajes que intentan engañarlo para que haga clic en enlaces a sitios web maliciosos; podría ser de un correo electrónico, texto o incluso redes sociales. Especialmente si introduce información personal, compruebe tres veces si el sitio tiene HTTPS habilitado. Busque el símbolo de candado verde en su navegador, una señal visual que le asegura que el sitio es seguro.