Aumentan los ataques de ransomware: 8 pasos para mantenerse a salvo

Los ataques de ransomware pueden bloquearle el acceso a su propio ordenador en cuestión de segundos. Lo peor es que, aunque pague el rescate, no hay garantía de recuperar su dinero.

Y gracias a la IA, los ciberdelincuentes están perfeccionando sus ataques, y nadie es inmune.

Tanto si usted es particular como si es una empresa, le guiaremos a través de todo lo que necesita saber sobre los ataques de ransomware, incluyendo:

• Cómo son los ataques de ransomware.
• Cómo detectar un ataque de ransomware.
• 8 pasos que puede seguir hoy mismo para proteger sus archivos de los hackers.

Vayamos al grano.

¿Qué es un ataque de ransomware?

Ransomware es una contracción de las palabras «ransom» («rescate» en inglés) y «software». Básicamente, es un software que «bloqueará su ordenador» hasta que pague un rescate.

Más concretamente, un ataque de ransomware «codificará» o encriptará su contenido (documentos, vídeos, fotos, datos almacenados en aplicaciones, etc.). ¿Tiene un documento financiero que necesita editar? No puede acceder a él. ¿Tiene un vídeo de sus hijos de vacaciones? No puede verlo.

Los hackers se pondrán en contacto con usted y le pedirán un rescate. A cambio, prometerán darle la clave para descifrar sus datos y recuperar el acceso a todos sus archivos. Pero aquí hay varios problemas:

• En primer lugar, el rescate no es barato. El pago medio por ransomware se estimó en 2 millones de dólares en 2024, según el Informe sobre el Estado del Ransomware 2024 de Sophos.
  
• Sin embargo, en los últimos años, los atacantes han empezado a adaptar sus peticiones de rescate a sus víctimas. Por ejemplo, puede que «sólo» le pidan unos miles de dólares de rescate para aumentar las posibilidades de que pague.
  
• Por último, ¿qué le dice que los hackers le darán realmente acceso a sus datos? ¿Por qué no habrían de exigirle aún más dinero?

Esto hace que los ataques de ransomware sean extremadamente estresantes de afrontar. Si resulta una víctima, puede que no siempre haya forma de recuperar sus datos (pero hablaremos de ello más adelante).

Los ransomware, al igual que otros tipos de virus, suelen llegar a su ordenador a través de correos electrónicos de phishing. También pueden utilizar diversas técnicas de ingeniería social para engañar a su víctima e inducirla a instalar el nefasto software.

Los ataques de ransomware pueden ser de 2 naturalezas:

• Ransomware encriptador: Incorpora algoritmos de encriptación avanzados diseñados para hacer ilegibles los archivos. Se pide a las víctimas que paguen para obtener la clave que puede desencriptar el contenido bloqueado.
  
• Ransomware bloqueador: El ransomware bloqueador, como su nombre indica, bloquea el sistema operativo de la víctima, imposibilitando el acceso al escritorio y a cualquier aplicación o archivo. Las víctimas tienen que pagar para desbloquear sus datos.

3 Ejemplos reales de ataques de ransomware

Es importante comprender que los ataques de ransomware pueden dirigirse tanto a empresas como a particulares. En los siguientes ejemplos, veremos varios casos destacados de este tipo de ataques, cómo se produjeron y las vulnerabilidades que explotaron.

El ataque al Colonial Pipeline

En mayo de 2021, el ataque de ransomware a Colonial Pipeline se convirtió en noticia de primera plana en los Estados Unidos.

Colonial Pipeline —uno de los mayores proveedores de combustible de EE.UU.— fue víctima del ransomware DarkSide, un sofisticado malware desarrollado por un presunto grupo ciberdelictivo ruso.

Gracias a una única contraseña comprometida filtrada en la dark web, los atacantes consiguieron acceder a la red informática de Colonial Pipeline. Además, algunas de las vulnerabilidades que permitieron el ataque fueron:

• Falta de autenticación multifactor (MFA o 2FA): la cuenta vulnerada sólo tenía una contraseña como protección, lo que facilitaba la entrada a los atacantes.
  
• Arquitectura de red plana: los sistemas informáticos estaban interconectados, lo que permitió que el ataque del ransomware se propagara más profundamente en las infraestructuras críticas.
  
• Retraso en la respuesta al incidente: la empresa descubrió la vulneración el 7 de mayo de 2021, pero tardó en responder, lo que permitió que el malware se propagara y cifrara datos críticos.

Este ataque de ransomware tuvo importantes consecuencias para el público estadounidense, ya que obligó a cerrar toda la red de distribución de combustible, provocando escasez de gasolina en toda la costa este de Estados Unidos.

En coordinación con el FBI, Colonial Pipeline acabó pagando 4,4 millones de dólares en bitcoins. Más tarde se recuperó aproximadamente la mitad del valor de los bitcoins.

Puede obtener más información sobre los detalles de este ataque de ransomware en el sitio web del Departamento de Justicia de EEUU.

El brote del ransomware WannaCry

El brote de ransomware WannaCry de mayo de 2017 (también conocido como WannaCrypt) fue uno de los ciberataques más extendidos de la historia, infectando más de 300.000 ordenadores en más de 150 países en un solo día.

El ataque aprovechó una vulnerabilidad de Windows llamada EternalBlue, que fue robada a la Agencia de Seguridad Nacional (NSA) de EE.UU. y filtrada por un grupo de hackers llamado The Shadow Brokers.

WannaCry es lo que se denomina un «criptogusano ransomware»:

• Tras infectar un ordenador, exigía un rescate que debía pagarse en Bitcoin («cripto»).
• También era capaz de propagarse de forma autónoma («-gusano»).

Algunas de las vulnerabilidades explotadas durante este ataque fueron:

• Sistemas Windows sin parches: WannaCry se dirigió a ordenadores con versiones obsoletas de Windows (Windows 7, XP, Server 2003) que carecían de actualizaciones de seguridad críticas.
  
• Malware autorreplicante: a diferencia de los típicos ataques de ransomware, WannaCry se propagó de forma autónoma, lo que le permitió infectar redes enteras sin interacción del usuario.
  
• La lenta respuesta de las organizaciones: Microsoft había publicado un parche de seguridad (MS17-010) dos meses antes del ataque, pero muchas organizaciones no actualizaron sus sistemas a tiempo.

En el Reino Unido, el ataque del ransomware WannaCry paralizó el Servicio Nacional de Salud (NHS), con el cierre de decenas de hospitales.

Muchas empresas multinacionales, como FedEx y Nissan, también se vieron obligadas a interrumpir sus operaciones. El ataque se atribuyó posteriormente al Grupo Lazarus de Corea del Norte, que utilizó los pagos de los rescates para financiar nuevas operaciones de guerra cibernética.

Puedes obtener más información sobre este ataque en la entrada del blog de Microsoft dedicada a ello.

El ataque del VSA de Kaseya

En julio de 2021, se utilizó un ransomware desarrollado por el grupo REvil para explotar una vulnerabilidad de día cero en Kaseya VSA, un software de gestión remota de TI utilizado por miles de empresas en todo el mundo.

Al piratear el sistema centralizado de distribución de software de Kaseya, REvil pudo enviar actualizaciones del ransomware a los clientes de Kaseya, infectando a más de 1.500 empresas de un solo golpe.

El ataque del ransomware se basaba en varias vulnerabilidades clave:

• Los atacantes descubrieron y explotaron un fallo sin parche en el software de Kaseya antes de que la empresa pudiera solucionarlo.
  
• Ataque a la cadena de suministro: Kaseya VSA era una herramienta de gestión remota de confianza, por lo que tenía acceso directo a los sistemas cliente, lo que facilitaba la distribución de malware sin activar las alertas de seguridad.
  
• Ausencia de segmentación en las redes informáticas: muchas empresas afectadas no tenían separación entre las herramientas de gestión informática y los sistemas críticos, lo que permitió que el ataque se propagara rápidamente por las redes.

Lo que hizo que este ataque fuera diferente de los otros que cubrimos fue su utilización del ransomware como servicio (RaaS) para escalar la ciberdelincuencia.

En un modelo RaaS, los desarrolladores de ransomware crean el malware pero dependen de afiliados para desplegarlo. En este caso, REvil opera básicamente como una empresa criminal de SaaS, vendiendo el acceso a sus herramientas de ransomware a cambio de un porcentaje de los pagos de los rescates. Los afiliados de REvil se encargaron de atacar y vulnerar los sistemas de Kaseya. A cambio, los afiliados se quedaban con una parte (a menudo del 60-80%) de cualquier rescate pagado, mientras que REvil se quedaba con el resto.

En total, se infectaron más de 1.500 empresas de todo el mundo, incluidos supermercados, empresas de TI e instituciones financieras.

El impacto de la IA en los ataques de ransomware

La llegada del ChatGPT y la popularización masiva de la IA generativa en 2022 ha revolucionado muchas industrias. Los ciberdelincuentes no están exentos de esta tendencia, y han adoptado masivamente el uso de la IA para perfeccionar los ataques.

Aquí compartimos 5 formas en las que la IA está ayudando a los atacantes a hacer más sofisticados sus ataques de ransomware.

Correos electrónicos de phishing altamente personalizados

Como se ha explicado anteriormente, los correos electrónicos de phishing siguen siendo uno de los principales vectores de ataque del ransomware.

Ahora la IA puede rastrear eficazmente las redes sociales, los correos electrónicos y las bases de datos filtradas para elaborar mensajes de phishing a medida que parezcan muy convincentes. En lugar de spam genérico, las víctimas reciben correos electrónicos que imitan conversaciones reales, facturas o alertas de seguridad urgentes.

Ransomware polimórfico

El ransomware tradicional es más fácil de detectar porque sigue patrones conocidos. El ransomware polimórfico basado en IA muta constantemente su código, haciéndolo invisible a los programas antivirus basados en firmas. Cada infección es ligeramente diferente, por lo que es casi imposible incluirlo en una lista negra.

Selección y despliegue automatizados de objetivos

La IA escanea conjuntos de datos masivos en tiempo real, identificando empresas vulnerables con ciberseguridad débil y priorizando objetivos de alto valor. Los ciberdelincuentes pueden entonces lanzar ataques contra varias empresas simultáneamente, maximizando los beneficios con el mínimo esfuerzo.

Además, los bots impulsados por IA pueden infiltrarse automáticamente en las redes corporativas, buscar vulnerabilidades y desplegar ransomware sin intervención humana.

El uso de herramientas de hacking basadas en IA ha provocado un aumento de los ataques de ransomware totalmente automatizados, que requieren menos experiencia humana para su ejecución.

Evasión con IA

Las herramientas modernas de ciberseguridad se basan en el aprendizaje automático para detectar patrones de ransomware, pero los atacantes están utilizando la IA contra la IA para eludir la detección.

Por ejemplo, los ciberdelincuentes pueden entrenar su ransomware contra las herramientas de seguridad potenciadas por IA, probando diferentes métodos de ataque hasta que eludan la detección.

Algunos ransomware basados en IA fingen el cifrado al principio, engañando a las herramientas de seguridad para que crean que el ataque se ha detenido, mientras sigue cifrando archivos en modo oculto.

Negociación del rescate

La IA está cambiando incluso la forma en que los ciberdelincuentes negocian los rescates, haciéndola más eficaz y psicológicamente manipuladora.

En lugar de que los hackers humanos se encarguen de las negociaciones, ahora se utilizan bots para comunicarse con las víctimas.

Estos bots analizan las respuestas de las víctimas, ajustan las peticiones de rescate y presionan a las empresas para que paguen más rápido.

La inteligencia artificial también se utiliza para escanear registros financieros, pólizas de seguros e informes públicos de ganancias para calcular el rescate más alto que una empresa puede permitirse.

Víctima de un ataque de ransomware: ¿Qué se puede hacer?

¿Ha sido víctima de un ataque de ransomware? Entonces debe seguir inmediatamente estos 3 pasos:

1. Detener la propagación. El primer movimiento es cortar el ataque. El ransomware puede infectar rápidamente redes enteras, por lo que cada segundo cuenta. Desconecte inmediatamente su dispositivo de Wi-Fi, Ethernet y almacenamiento externo (USB, unidades de copia de seguridad). Si está en una red corporativa, alerte inmediatamente a la seguridad informática para que puedan contener la amenaza antes de que paralice todo el sistema.
   
2. Conocer al enemigo. No todos los ataques de ransomware son iguales. Algunos tienen herramientas de descifrado conocidas, mientras que otros pueden borrar sus archivos permanentemente aunque pague. Haga una captura de pantalla de la nota del rescate: a menudo contiene pistas sobre el ataque. Después, utilice herramientas online como ID Ransomware (https://id-ransomware.malwarehunterteam.com/) para identificar la variante del ransomware. También puede consultar el No More Ransom Project (https://www.nomoreransom.org/) para comprobar si existe una herramienta gratuita de descifrado.
   
3. Denunciar el ataque. Antes de pagar ningún rescate, involucre a profesionales de la ciberseguridad y a las fuerzas de seguridad. Pagar no garantiza la recuperación de los archivos. Informe del ataque al Centro de Denuncias de Delitos en Internet (IC3) del FBI (https://www.ic3.gov/), así como a la agencia de ciberseguridad de su país (CISA en EEUU, Europol, etc.). Por último, involucre a su equipo informático o proveedor de ciberseguridad.

Sin embargo, tenga en cuenta que no todos los ransomware pueden descifrarse de nuevo. En muchos ataques de ransomware, desgraciadamente se pierden los datos. Por eso, la prevención sigue siendo su mejor línea de protección contra futuros ataques.

8 consejos para prevenir los ataques de ransomware

A estas alturas, ya habrá comprendido la amenaza real que suponen los ataques de ransomware. Así que vamos a repasar 8 consejos fáciles de seguir que puede poner en práctica para prevenir este tipo de ataques.

#1: Copias de seguridad periódicas

Las copias de seguridad son, con diferencia, la mejor forma de protegerse contra los ataques de ransomware… siempre que las haga de forma eficiente.

Para cada copia de seguridad, es crucial hacer varias copias de sus archivos y guardarlas en distintos soportes. Lo ideal es guardar cada una por separado y en lugares distintos. Lo ideal sería guardar una sin conexión (en un disco externo seguro), y otra en un servicio en la nube seguro y privado.

Además, evite dejar el medio de copia de seguridad (por ejemplo, un disco duro externo) conectado al sistema informático después de hacer una copia de seguridad. En caso de infección de su sistema, el disco externo también correría el riesgo de infectarse, inutilizando la copia de seguridad.

¡Lea nuestros consejos para hacer copias de seguridad de sus datos de forma segura para asegurarse de contar con unas copias de seguridad eficientes!

#2: Utilizar software actualizado

Las actualizaciones de software suelen contener «parches de seguridad» destinados a solucionar vulnerabilidades que los hackers podrían aprovechar para lanzar ciberataques (incluidos los ataques de ransomware).

Por eso es esencial descargar las actualizaciones de estos programas, dispositivos y periféricos inmediatamente después de recibir la notificación de su existencia. Porque si ha recibido esta notificación, no es el único… Ahora, los hackers saben que hay un fallo en el dispositivo o software en cuestión.

Otra buena idea es restringir al mínimo los programas instalados en su ordenador o sistema. Desinstale todo el software que no utilice. No olvide eliminar también los plugins obsoletos de su navegador. Esto también se aplica a su smartphone: desinstale las aplicaciones que ya no utilice.

#3: Utilizar el principio del mínimo privilegio (PoLP)

Para evitar los ataques de ransomware, también puede seguir el principio del mínimo privilegio (o «PoLP», del inglés «Principle of Least Privilege»). Esto significa dividir el uso de su dispositivo/sistema informático en dos cuentas separadas:

• Una cuenta estándar que utilizará a diario, con las funcionalidades mínimas.
  
• Una cuenta de administrador que le permita acceder al núcleo de su dispositivo/sistema informático (para cambiar la configuración, instalar o eliminar software, por ejemplo). Le dará plenos privilegios operativos en el sistema, y sólo accederá a ella cuando necesite realizar esas tareas.

En caso de ataque de ransomware, el daño se limitará a su cuenta estándar. El ransomware no podrá acceder a los componentes principales de su ordenador porque esos accesos están controlados por la cuenta admin.

#4: Detectar y evitar los intentos de phishing

Muchos ataques de ransomware se inician mediante correos electrónicos de phishing, spear-phishing o whaling , o smishing. Y a menudo es descargando un archivo adjunto contenido en estos mensajes como las víctimas permiten que el ransomware irrumpa en su ordenador, teléfono o sistema informático.

Por eso sólo debe abrir archivos adjuntos y enlaces emitidos por fuentes realmente fiables. Para asegurarse de que sigue este consejo, evite hacer clic en un enlace de un correo electrónico. Incluso una mención aparentemente inocente como «haga clic aquí para darse de baja/dejar de seguir» puede esconder el temido ransomware. En su lugar, entre en el sitio web correspondiente utilizando la URL que suele usar.

#5: No a las macros

No abra nunca un archivo de Microsoft Office que contenga macros sin haber obtenido previamente del remitente del mensaje la confirmación de que el archivo procede realmente de él y de que dichas macros no son dañinas.

#6: Instalar un antivirus de confianza para detectar los ataques de ransomware

Ni que decir tiene que debe proteger su dispositivo contra el malware con un antivirus. Por desgracia, la protección ofrecida será limitada, ya que un antivirus sólo puede reconocer el malware ya detectado en otro lugar. Pero al menos podrá evitar ataques de ransomware ya conocidos, lo cual ya es algo bueno.

#7: Utilizar una VPN

Es útil utilizar una VPN al navegar por redes Wi-Fi públicas. De hecho, estas redes no ofrecen ninguna protección contra la piratería informática y, por este motivo, son muy populares entre los hackers. Utilizar una VPN evitará la posible interceptación de datos que podría utilizarse para infiltrarse en sus dispositivos o sistema informático.

#8: Utilizar una máquina virtual

Las máquinas virtuales se utilizan principalmente para duplicar un sistema informático para probar un nuevo software, o para ejecutar dos sistemas operativos distintos dentro del mismo ordenador.

Pero también pueden utilizarse para evitar cualquier ataque de software malicioso. En este sentido, pueden ayudarle a evitar los ataques de ransomware. Sin embargo, debe saber que no siempre son eficaces. Los ransomware potentes pueden ser especialmente peligrosos.

Prevención de ataques de ransomware: Cómo puede ayudar Mailfence

Hasta aquí esta guía sobre los ataques de ransomware. Esperamos que ahora comprenda mejor cómo funcionan estos ataques y qué puede hacer para protegerse.

¿Está preparado para llevar su ciberseguridad personal al siguiente nivel?

Entonces el primer paso debería ser conseguir un proveedor de correo electrónico privado y seguro. A diferencia de Gmail o Yahoo, Mailfence pone su privacidad y seguridad por encima de los beneficios. En concreto, estamos orgullosos de ofrecer:

• Herramientas avanzadas de seguridad: Cifrado de extremo a extremo, cifrado simétrico, firmas digitales y mucho más.
  
• Sin seguimiento ni publicidad. No utilizamos ningún rastreador de publicidad o marketing de terceros. No rastreamos su actividad en la aplicación. Mailfence está completamente libre de anuncios.
  
• Leyes de privacidad estrictas. Los servidores de Mailfence tienen su sede en Bélgica, donde existen leyes estrictas que protegen la privacidad. Sólo una orden judicial belga válida puede obligarnos a revelar datos.

¿Le interesa llevar su privacidad y ciberseguridad al siguiente nivel? ¡Cree su cuenta gratuita hoy mismo!