Qué es el ransomware y cómo evitarlo
El «ransomware» es una modalidad del ciberdelito que infecta los sistemas informáticos de las personas y las organizaciones, encripta datos sensibles para impedir su uso por parte de la víctima y suele exigir el pago de un rescate para recuperar el acceso.
«El robo de información y ransomware son las principales amenazas a las que está expuesta la información en la nube. Los proveedores de nube se limitan a proporcionar la infraestructura y herramientas para que las compañías puedan operar; con lo cual, el resguardo y las medidas de seguridad de los sistemas son responsabilidad del cliente», advirtió Oswaldo Palacios, gerente de cuentas senior de Akamai, una plataforma de computación distribuida para la entrega de contenidos global de Internet y el reparto de aplicaciones, en un análisis compartido con iProfesional.
Desde la empresa argentina BTR Consulting, Gabriel Zurdo, director general ejecutivo de la firma, recordó en un informe enviado a iProfesional que el ransomware se encuentra en el segundo lugar del top 10 de las tendencias de ciberdelincuencia y medios para ataques y estafas virtuales, sólo superado por el «phishing».
Al analizar lo sucedido en 2022, Zurdo observó que dado el éxito del RaaS (Ransomware como servicio, sigla en inglés), «un creciente número de vectores adicionales de ataque estará accesible como servicio en la ‘dark web’. Crear y vender paquetes de ataque como servicio es una modalidad rápida, sencilla y replicable para los ciberestafadores más experimentados».
Para Zurdo, el ransomware «no dará tregua: fue la principal amenaza para las empresas en 2022, y el ecosistema del ransomware seguirá evolucionando y creciendo con grupos criminales más concentrados, reducidos y ágiles».
De acuerdo con el reporte de tendencias de protección de datos para 2023 que elaboró la empresa Veeam, y que compartió con iProfesional, «a pesar de la concientización y la creciente preparación, el ransomware está ganando».
Estos ataques causaron interrupciones impactantes en organizaciones en los últimos años.
Una práctica ciberdelictiva en expansión
Estos ataques cibernéticos causaron las interrupciones más impactantes para las organizaciones entre 2020 y 2022, según este reporte. El 85% de las empresas fueron atacadas al menos una vez en los últimos 12 meses, un aumento del 76% respecto al reporte del año 2021.
La recuperación es una de las principales preocupaciones, ya que las organizaciones informaron que sólo el 55% de sus datos cifrados o destruidos se pudieron recuperar de los ataques.
Desde Veeam advirtieron que «el ransomware es el mayor obstáculo para la transformación digital: debido a su carga sobre los presupuestos y la mano de obra, el ransomware y el actual panorama volátil de seguridad cibernética tienen prioridad para los equipos de TI».
«Ello está provocando que los recursos y presupuestos de TI, originalmente asignados a iniciativas de transformación digital, giren hacia la prevención cibernética«, alertaron.
«El ransomware es la causa más común e impactante de interrupciones, junto con los desastres naturales (incendios, inundaciones, etc.) y los errores de usuario (sobreescrituras, eliminación, etc.)», afirma el reporte de esta compañía.
Investigadores de los servicios de seguridad de la empresa Kaspersky compartieron con iProfesional sus predicciones sobre las ciberamenazas que podrán enfrentar las grandes empresas e instituciones gubernamentales este 2023.
Entre ellas figuran los actores de ransomware, quienes publican cada vez más en sus blogs propios sobre nuevos incidentes de hacking exitosos realizados contra empresas.
El ransomware fue la principal amenaza para las empresas en 2022.
Extorsionadores que multiplican el daño
Los extorsionadores también estuvieron activos a fines del año pasado: entre septiembre y noviembre, el Digital Footprint Intelligence de Kaspersky rastreó aproximadamente 400 y 500 publicaciones, respectivamente.
Hasta hace poco, los ciberdelincuentes solían comunicarse en forma directa con la víctima para exigir un rescate de manera privada. Sin embargo, ahora publican sobre la brecha de seguridad en sus propios blogs, los cuales pueden ser vistos y utilizados por los medios de comunicación para informar sobre el incidente, configurando una cuenta regresiva para la publicación de los datos robados.
Según Kaspersky, esta tendencia continuará en 2023 porque «es una táctica que beneficia a los ciberdelincuentes, ya sea que la víctima pague o no. Los datos a menudo se subastan, y la oferta de cierre a veces supera el rescate exigido».
Los expertos de Kaspersky también estimaron que los ataques de ransomware crezcan a la par debido al aumento de las herramientas de programa maligno como servicio (MaaS, sigla en inglés). La complejidad de los ataques aumentará, lo que significa que los sistemas automatizados no serán suficientes para garantizar una seguridad completa.
Leandro Sebastián Nocito, fundador y director general ejecutivo de Helipagos.com, una plataforma de pagos y cobros digitales de Misiones, advirtió ante iProfesional que los delincuentes tienen como objetivo «la base de datos» de las empresas: «Es lo que tiene valor».
«En general atacan a compañías con gran volumen de datos. Y los rescates pueden costar miles o millones de dólares según la empresa. Eso también va en relación con la importancia de la base de datos», explicó Nocito.
El ransomware es el mayor obstáculo para la transformación digital.
Modus operandi del ransomware
El modus operandi del ransomware es el de un código malicioso, que impide a los usuarios acceder a su sistema o a sus archivos personales si no pagan un monto de dinero específico para volver a tener acceso a ellos.
La existencia de ransomware está verificada desde la década del 80, y en esos años el pago debía realizarse por correo postal. Hoy las transacciones pueden hacerse mediante criptomonedas o tarjetas de crédito.
El titular de Helipagos.com explicó que «las organizaciones afectadas se enteran cuando la máquina está infectada. Hay una secuencia que va avisando cómo opera este software maligno».
Los delincuentes toman el sistema centralizado. «Lo que empiezan a poner en riesgo es el servidor principal de la empresa y después toman el control de otras máquinas cifrando los datos. Entonces no se puede acceder de ninguna forma. Lo único que se ve es una nota virtual de rescate», dijo Nocito.
Destacó que el pago del rescate «no garantiza que recuperes el acceso a los datos» y además «se hace difícil hacer la trazabilidad ya que suele ser en criptomonedas o tarjetas de crédito».
El ransomware puede entrar a una computadora o red informática de muchas maneras. Una de las formas más comunes es mediante un spam, los correos no deseados que en este caso contienen un programa maligno, casi siempre presente en archivos adjuntos y que por esta razón es muy importante cuidar cuando se descargan.
El ransomware es la causa más común e impactante de interrupciones.
También puede infectar mediante sitios web maliciosos y la publicidad maliciosa, la cual utiliza publicidad en línea para distribuir el programa maligno, incluso si el usuario no interactúa con ella.
Por ejemplo, mientras una persona navega en un sitio web infectado, incluso si es legítimo, puede entrar en contacto con el programa maligno, sin hacer clic en un anuncio. Al hacerlo, permite que el ransomware sea enviado una vez que los sitios identificaron la ubicación y la información de la víctima.
Medidas de protección ante el ransomware
Nocito enumeró entre las acciones preventivas ante el ransomware la realización diaria de copias de seguridad, la formación del usuario y el filtrado de contenido. Además, recomendó que el firmware, las aplicaciones contra el programa maligno, los sistemas operativos y el software de terceros tengan instalada la revisión más reciente.
Desde Avast, empresa de seguridad digital y privacidad, compartieron con iProfesional las siguientes medidas para prevenir el ransomware:
Mantené tu software actualizado
Al igual que lo recomendado desde Helipagos, si asegurás de que tu sistema operativo y tus aplicaciones reciben nuevas actualizaciones en cuanto salen al mercado, taparás agujeros de seguridad y evitarás que los delincuentes utilicen exploits para desplegar ransomware.
Hacé copias de seguridad de tu sistema con regularidad
El ransomware suele obtener su poder bloqueando el acceso a archivos importantes. Si tenés una copia de seguridad de los archivos en otro lugar seguro, una práctica que también recomendó Nocito, se reducen las posibilidades de perderlos a causa del ransomware.
Existen diferentes alternativas para prevenir el ransomware.
Realiza copias de seguridad periódicas de tu sistema y archivos
Tanto los servicios en la nube como el almacenamiento físico son opciones viables, y deberías utilizar ambas si podés. Si tu dispositivo te permite programar copias de seguridad automáticas, hacélo también.
Utilizá un bloqueador de anuncios
Cargá tu navegador con un bloqueador de anuncios para protegerte de la publicidad maliciosa y las descargas no autorizadas, dos formas en las que el ransomware puede introducirse en tu sistema.
Sé escéptico
Desconfiá de los enlaces extraños enviados por correo electrónico u otras plataformas de mensajería. Aunque el enlace proceda de alguien conocido, podrías haber sido pirateado. Conocé las señales de los sitios web inseguros y evitá visitarlos. Como señaló Nocito, se trata de formar al usuario.