English site
English site
Login
Ciberseguridad
Ciberataques

¿Qué es el ransomware? Tipos, características y tips

norman@preyhq.com
Norman G.
Jan 6, 2025
0 minutos de lectura
¿Qué es el ransomware? Tipos, características y tips
Tabla de Contenidos
Heading H2
CTA_TRACKING-ED
Que no te tomen por sorpresa. Domina el rastreo de dispositivos ahora.
Conocer métodos de rastreo
Compartir
About the Author
norman@preyhq.com
Norman G.

Norman Gutiérrez fue nuestro investigador de seguridad en Prey. Además, Norm se desempeñó como especialista en contenido y comunicación de Prey y como embajador de Infosec. Norm ha trabajado para varios medios de comunicación tecnológicos como FayerWayer y Publimetro, entre otros. En su tiempo libre, Norman disfruta de los videojuegos, los artilugios geniales, la música y los divertidos juegos de mesa.

Todo director o responsable  de TI está parcialmente  preparado para el desastre. Entre tanto software malicioso, malware y amenazas informáticas, tratamos de estar preparados para lo peor. Sin embargo, hay un mayor nivel de ansiedad, el cual ha ido creciendo con el paso de los años, y es ser afectado  por una ciberamenaza de mayor magnitud: un ataque de ransomware.

El miedo a uno de estos ataques no es infundado. Según un informe reciente, los ataques de ransomware crecieron un 62% a nivel mundial en 2023, con un costo promedio de rescate que superó los $1.85 millones por incidente. Latinoamérica ha sido una región especialmente afectada, con países como México, Brasil y Chile reportando un aumento alarmante en los ataques dirigidos a empresas medianas y grandes. 

Este crecimiento ha llevado a muchos a preguntarse: ¿Mis sistemas están protegidos contra un ataque de esta magnitud? ¿He implementado las últimas actualizaciones de seguridad? ¿Qué tan seguras están mis copias de respaldo?

La realidad es contundente: nadie está completamente a salvo. Un reciente estudio posiciona al ransomware como una de las tres principales amenazas cibernéticas globales, lo que subraya su capacidad para paralizar empresas y gobiernos enteros. En Latinoamérica, esta tendencia no muestra signos de desaceleración, y es fundamental comprender no solo qué es el ransomware, sino también cómo protegernos de esta amenaza en constante evolución.

¿Qué es el Ransomware?

El ransomware es un grave tipo de malware que puede afectar a diversos equipos informáticos. En síntesis, un ataque de ransomware encripta los archivos de tu equipo de manera maliciosa, con el objetivo de solicitar un rescate por ellos. Usualmente, esa extorsión se paga con criptomonedas.

Como bien sabemos, la encriptación es un proceso en el cual los archivos son protegidos con una clave de cifrado para evitar su acceso a través de ciberataques. Es decir, usada de buena manera, la encriptación es un proceso positivo de seguridad informática.

Sin embargo, este tipo de cifrado malicioso es equivalente a que un ladrón te deje afuera de tu propia casa, cambie la cerradura y te pida rescate por la llave.

Con la vulnerabilidad correcta, el ransomware es capaz de llegar a nuestros equipos usando una multitud de formas. Adjunto en un correo electrónico, unido a un documento de Microsoft Word o Excel, en esas fotos de las vacaciones que abriste en el equipo de la oficina o incluso en ese juego que te prohibieron descargar. Como casi todo tipo de malware, sólo es necesario un agujero en la pared que nuestro TI no haya parchado, y el potencial para el daño ya será enorme.

A aquello debemos agregar que el ransomware es más complejo que sólo encriptación. Por ejemplo, muchos ataques de este estilo utilizan técnicas afines a troyanos u otro tipo de malware. Un ejemplo son las técnicas de persistencia, como búsqueda de puertos abiertos en la red privada o replicación a través de correos electrónicos, para infectar otras máquinas en la organización. En la misma línea, utilizan técnicas de ofuscación para no ser detectados al principio, y desencadenar un ataque masivo con graves consecuencias.

Características del Ransomware

El ransomware no es solo una amenaza más en el panorama de la ciberseguridad; su diseño y método de operación lo convierten en una de las formas más sofisticadas y devastadoras de malware. A continuación, exploramos sus características principales, desde cómo se propaga hasta el impacto que puede tener en los dispositivos afectados.

Métodos de propagación

El ransomware utiliza diversos métodos para infiltrarse en los sistemas, aprovechando las vulnerabilidades humanas y técnicas.

  • Correos de phishing:
    Los ataques más comunes comienzan con un correo electrónico aparentemente legítimo que incluye enlaces maliciosos o archivos adjuntos infectados. Estos correos están diseñados para engañar a los usuarios y hacer que descarguen el ransomware.
  • Vulnerabilidades de software:
    Los atacantes explotan fallos de seguridad en aplicaciones y sistemas operativos desactualizados, como exploits de día cero, para ejecutar el malware de manera automática.
  • Descargas maliciosas:
    Algunos ataques se producen al visitar sitios web comprometidos que descargan ransomware en segundo plano sin que el usuario lo note, un método conocido como "drive-by download".

Impacto en dispositivos y sistemas

El ransomware puede tener consecuencias devastadoras para individuos y organizaciones.

  • Archivos cifrados:
    Una vez que el ransomware infecta un sistema, cifra los archivos críticos con algoritmos avanzados, bloqueando el acceso del usuario a sus datos. Esto incluye documentos, fotos, y bases de datos, entre otros.
  • Pérdida de acceso a sistemas críticos:
    En ataques más severos, el ransomware puede bloquear sistemas enteros, interrumpiendo operaciones esenciales. Por ejemplo, hospitales han tenido que suspender servicios debido a ataques que inutilizaron sus redes.

Tipos de cifrado utilizados

El ransomware utiliza técnicas de cifrado avanzadas para asegurar que las víctimas no puedan recuperar sus datos sin la clave de descifrado.

  • Cifrado RSA:
    Este algoritmo asimétrico utiliza una clave pública para cifrar los datos y una clave privada, que solo poseen los atacantes, para descifrarlos. Es ampliamente utilizado por ransomware como CryptoLocker.
  • Cifrado AES:
    Un algoritmo de cifrado simétrico más rápido que el RSA. Muchas variantes de ransomware emplean AES para cifrar archivos rápidamente y, posteriormente, cifran la clave AES con RSA para mayor seguridad.

Tipos de Ransomware comunes

El ransomware, al igual que las cepas de enfermedades virales, evoluciona constantemente, con nuevas variantes que adoptan diferentes métodos de propagación y cifrado. Aunque todas comparten el mismo propósito: extorsionar a sus víctimas, cada tipo de ransomware presenta características únicas. Aquí te explicamos los más relevantes:

1. Ransomware de cifrado

Este es el tipo más común y peligroso. Su objetivo principal es bloquear el acceso a los datos del usuario mediante cifrado avanzado, exigiendo un rescate para la recuperación.

  • CryptoLocker
    Considerado el "padre" del ransomware moderno, CryptoLocker apareció en 2013 y utilizaba una botnet para infectar dispositivos. Aunque la botnet fue desmantelada, inspiró muchas variantes como TorrentLocker.

2. Ransomware de bloqueo (Locker)

En lugar de cifrar los archivos, este ransomware bloquea por completo el acceso al dispositivo.

  • Petya, NotPetya y GoldenEye
    Estos atacan el MBR (Master Boot Record), impidiendo que el sistema operativo arranque. NotPetya, usado en un ataque global masivo en 2017, no solo bloqueaba dispositivos, sino que hacía el daño irreversible, siendo considerado uno de los más destructivos de la historia.

3. Ransomware como servicio (RaaS)

Este modelo permite que los cibercriminales alquilen su ransomware a otros, a cambio de una comisión por cada rescate pagado.

  • Cerber
    Una de las primeras plataformas RaaS, ofrece un cifrado RSA casi imposible de descifrar, con el atacante reteniendo el 40% de los pagos realizados.
  • REvil (Sodinokibi)
    Este ransomware utiliza vulnerabilidades en sistemas Windows para propagarse y ha sido relacionado con ataques significativos en instituciones de América Latina, como el BancoEstado de Chile.

4. Ransomware de borrado progresivo

Amenaza con eliminar los datos de la víctima de forma gradual si no se paga el rescate en un tiempo estipulado.

  • Jigsaw
    Inspirado en la película Saw: El Juego del Miedo, este ransomware elimina archivos cada hora que pasa sin realizar el pago, y después de 72 horas, borra todo el sistema.

5. Ransomware de extorsión (Doxware)

Además del cifrado, amenaza con publicar datos confidenciales de la víctima si no se paga el rescate.

  • Bad Rabbit
    Popular en Europa del Este, se hacía pasar por una actualización falsa de Flash, infectando a los usuarios y solicitando un rescate de 0.5 BTC para desbloquear los datos.

6. Ransomware de propagación masiva

Se propaga rápidamente en redes a través de archivos adjuntos maliciosos o scripts automatizados.

  • Spider
    Este ransomware se esconde en documentos de Microsoft Word con macros maliciosos y se propaga rápidamente a través de correos electrónicos.

7. Ransomware Scareware

Engaña a las víctimas haciéndoles creer que tienen un problema grave en su dispositivo y que deben pagar para solucionarlo.

  • Variantes más simples diseñadas para intimidar en lugar de cifrar.

Las consecuencias de un ataque de Ransomware

Un ataque de Ransomware trae consigo una multitud de problemas, muchos de ellos compartidos con el resto de las vulnerabilidades conocidas. Sin embargo, la magnitud y gravedad de los ataques es especialmente dañina para ciertos sectores de nuestras organizaciones.

  1. Interrumpe la continuidad del negocio. Un ataque de ransomware inutiliza de manera inmediata a un número determinado de equipos. Asimismo, al tratar de contener el accionar de los ciberdelincuentes la respuesta lógica es apagar el resto de los equipos, lo que debilita aún más la continuidad de trabajo y negocio de cualquier organización.
  2. Puede significar una pérdida económica importante. En gran parte de los casos, las empresas que se ven envueltas en ataques de ransomware suelen ceder ante la presión y pagar los rescates solicitados por los criminales. Al mismo tiempo, el proceso de recuperación puede ser complicado, y la reparación y/o contratación de especialistas es costosa.
  3. Pone en riesgo información clave del negocio. De no lograr recuperar satisfactoriamente los archivos cifrados, o al sufrir el ataque de un ransomware peligroso e irreversible, es posible perder dichos archivos sin solución.
  4. Disminuye la confianza en la organización. Ser vulnerado suele ser indicativo de una falla en los procesos de seguridad, por lo que todo ataque informático trae como consecuencia desconfianza a nivel externo e interno. Esto se hace extensivo a los usuarios de nuestras plataformas, potenciales clientes que ven con malos ojos una intrusión, e incluso a nuestros propios empleados.
  5. Puede ser la puerta de entrada para otro tipo de ataques. Cuando los cibercriminales encuentran una puerta abierta, el ransomware no es lo único que implementan. De hecho, muchas herramientas de este estilo son complejas y pueden abrir el camino a ataques de fuerza bruta con datos obtenidos de phishing, el compromiso de otros equipos en la red o más malware.

¿Cómo prevenir un ataque de Ransomware?

Con pasos estrictos pero sencillos, es posible mitigar en gran parte el riesgo de un ataque de ransomware en nuestra organización.

  • Mantener los equipos y sistemas operativos actualizados: el consejo más importante de todos. Las actualizaciones periódicas son imprescindibles en un mundo tecnológico cada vez más veloz. Asimismo, estar atento a los parches de software o a las vulnerabilidades críticas en aplicaciones de infraestructura permite tener la vara alta en caso de intrusión.
  • Filtrar, analizar o prohibir los archivos adjuntos: el correo electrónico es un vector de ataque importante. Debido a aquello, se hace cada vez más preciso educar sobre lo peligroso de abrir archivos de orígenes desconocidos, pues pueden contener malware.También es una obligación instalar sistemas de filtrado o de análisis de archivos adjuntos, complementarios a las soluciones antimalware que ya puedas tener instalada.
  • Crear y mantener sistemas de persistencia o copias de seguridad: si tus archivos están seguros en un lugar no infectado por el ransomware, los cibercriminales pierden toda ventaja sobre ti. Sólo asegúrate de no dejar vulnerables dichas copias de seguridad.

¿Qué hacer si eres víctima de un ataque de Ransomware?

  • Manténgase calmado: es difícil mantener la calma y la compostura cuando no puede acceder a archivos importantes en su computadora. Pero el primer paso que debe tomar después de ser atacado por ransomware es no entrar en pánico y mantenerse sensato.La mayoría de las personas se apresuran a pagar el rescate antes de analizar la gravedad de la situación en la que se encuentran. Mantener la calma y dar un paso atrás a veces puede abrir puertas para negociar con el atacante.
  • Tome una foto de la nota de ransomware: el segundo paso es tomar inmediatamente una foto de la nota de ransomware en su pantalla a través de su teléfono inteligente o una cámara. Si es posible, también tome una captura de pantalla en la máquina afectada. Esto le ayudará a presentar un informe policial y acelerará el proceso de recuperación.
  • Sistemas afectados por cuarentena: es importante aislar los sistemas afectados lo antes posible. El ransomware generalmente escanea la red de destino y se propaga lateralmente a otros sistemas.Lo mejor es separar los sistemas afectados de la red para contener la infección y detener la propagación del ransomware.
  • Busque herramientas de decriptación: afortunadamente, hay muchas herramientas de descifrado disponibles en línea. Si ya conoce el nombre de su variedad de ransomware, simplemente puede conectarlo al sitio web y buscar el descifrado correspondiente. La lista no está ordenada alfabéticamente y el sitio agrega nuevas herramientas de descifrado al final de la lista.
  • Identifique la variante de ataque: para determinar la cepa de ransomware, puede usar servicios gratuitos como la herramienta de identificación de ransomware en línea de Emsisoft o ID Ransomware. Estos servicios permiten a los usuarios cargar una muestra del archivo cifrado, cualquier nota de rescate que quede y la información de contacto del atacante, si está disponible.
  • Restablezca las contraseñas: cambie todas las contraseñas en línea y de cuenta una vez que haya desconectado los sistemas afectados de la red.Después de eliminar el ransomware, debe volver a cambiar todas las contraseñas del sistema.
  • Reporte el caso: en el momento en que note un ataque de ransomware, asegúrese de comunicarse con la policía.El ransomware es un delito y debe informarse a las autoridades policiales locales o al FBI. Incluso si las fuerzas del orden no pueden ayudar a descifrar sus archivos, al menos pueden ayudar a otros a evitar un destino similar.

No pague el rescate al ser atacado

El objetivo principal detrás de los ataques de ransomware es monetario. Al pagar, le entregas ventaja al hacker y lo instas a delinquir nuevamente, sin contar con la dificultad de conseguir criptomonedas para financiar el rescate. Además, existen muchas herramientas –basadas en ransomware exitoso– que ayudan en el proceso de descrifrado de manera totalmente gratuita.

Si por otro lado el ataque es muy complejo, es una mejor idea asesorarse por una empresa de respuesta en tiempo real a ataques de ransomware. Estas empresas son capaces de negociar y pagar directamente a los atacantes, mientras buscan una solución que no impacte en la continuidad del negocio.

La buena práctica de defensa contra ransomware comienza antes de que ocurra cualquier ataque. Esperar hasta que el ransomware ataque su red para tomar medidas puede ser demasiado tarde. Prey te ayuda a estar preparado en cada parte del proceso. Desde la copia de seguridad de sus archivos hasta la instalación de antivirus y cortafuegos potentes y la educación en seguridad cibernética, querrá estar preparado para todos los escenarios posibles.

Preguntas frecuentes

¿Cómo identificar un ataque de ransomware?

  • Archivos cifrados con extensiones desconocidas.
  • Mensaje de rescate exigiendo pago.
  • Sistema bloqueado o inutilizable.
  • Actividad sospechosa, como lentitud o procesos inusuales.

¿Qué hacer si tu empresa sufre un ataque de ransomware?

  1. Desconecta el dispositivo de la red.
  2. Notifica al equipo de TI y a las autoridades.
  3. No apagues el sistema.
  4. Restaura desde copias de seguridad si están disponibles.
  5. Busca ayuda de expertos en ciberseguridad.

¿Es seguro pagar el rescate?

No.

  • No garantiza recuperar los datos.
  • Financia a ciberdelincuentes.

Puedes convertirte en un blanco recurrente.En su lugar, restaura sistemas y mejora tus defensas.

Sobre el mismo tema

¿Qué es el ransomware? Tipos, características y tips
¿Qué es el ransomware? Tipos, características y tips

Descubre qué es el ransomware, los tipos más comunes, sus características principales y las mejores estrategias para proteger tus dispositivos.

Jan 6, 2025
Continuar leyendo
¿Qué es una brecha de datos? Análisis y gestión
¿Qué es una brecha de datos? Análisis y gestión

Aprende qué es una brecha de datos, cómo gestionarla paso a paso y prevenir futuras amenazas. Descubre las mejores prácticas de seguridad para proteger tu empresa.

Jan 6, 2025
Continuar leyendo
Entendiendo las ciberamenazas: qué son y cómo prevenirlas
Entendiendo las ciberamenazas: qué son y cómo prevenirlas

Esta es la guía completa para entender a profundidad qué son las ciberamenazas, cómo funcionan, y cómo puedes proteger tu empresa ante estos ataques.

Aug 30, 2024
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar