Desde usuarios particulares hasta empresas multimillonarias, cualquiera que tenga una conexión a Internet corre el riesgo de sufrir ataques de ransomware. Especialmente preocupante para las organizaciones profesionales es el hecho de que los ladrones malintencionados suponen una amenaza significativa para los datos y pueden detener temporal -o permanentemente- las operaciones.
Entender qué hay detrás de estos ataques puede ayudar a los directores de TI y a los responsables de la seguridad digital a implementar estrategias de prevención, protección de archivos de datos y recuperación de ransomware para sus operaciones diarias. Con la planificación y las herramientas adecuadas, las empresas de cualquier tamaño pueden capear un ataque de ransomware con una pérdida de datos mínima, y sin pagar un rescate económico.
Técnicas de infiltración de ransomware
Los ciberdelincuentes pueden ser increíblemente creativos, pero tienden a utilizar algunos métodos comunes para iniciar ataques de ransomware. Los correos electrónicos de phishing son un método estándar que utiliza archivos adjuntos corruptos. Si un empleado abre el archivo adjunto, se descarga un software que se infiltra en los sistemas de la empresa y permite al remitente desplegar el ransomware cuando quiera.
Las URL maliciosas funcionan de forma similar. A menudo se disfrazan como si procedieran de organizaciones legítimas y pueden llevar a los usuarios a páginas "falsificadas" que parecen idénticas a sitios web legítimos. Es posible que se pida a los usuarios que proporcionen sus credenciales de inicio de sesión, lo que da acceso inmediato a sus cuentas a los autores del ransomware.
Los internautas en busca de gangas pueden acabar en estos sitios falsos cuando buscan la forma de descargar diversas aplicaciones y otros productos a precios rebajados. El software sin licencia no recibe actualizaciones del desarrollador, por lo que es susceptible de sufrir ataques de ransomware. Además, cualquier archivo adjunto que los usuarios descarguen de software pirata puede contener el material que hace posible un ataque.
Los dispositivos extraíbles son otro método utilizado habitualmente por los atacantes de ransomware. Los delincuentes colocan material infectado en una unidad USB que, cuando se conecta a un ordenador, lo infecta y se infiltra en él y en otros de la red.
Debido a la variedad de métodos de ataque, la vigilancia es fundamental. Educar a los empleados es una de las formas más eficaces de protegerse contra el ransomware. Los empleados deben aprender a detectar ataques de ransomware, detectar comportamientos sospechosos y seguir protocolos correctivos si sospechan o descubren un ataque.
Mecanismos de cifrado del ransomware
Parte del funcionamiento del ransomware consiste en cifrar los archivos para que los usuarios no puedan acceder a sus datos. El nombre ransomware proviene de la idea de que los datos se cifran y no se liberan hasta que se paga un rescate. Los ciberdelincuentes suelen emplear algoritmos de cifrado simétricos o asimétricos. El cifrado simétrico utiliza la misma clave para el cifrado y el descifrado, mientras que el cifrado asimétrico utiliza un par de claves: una clave pública para el cifrado y una clave privada para el descifrado.
Con el cifrado simétrico, los atacantes utilizan una clave aleatoria para cifrar rápidamente todos los archivos del sistema de un usuario. Una vez comprometidos los datos del usuario, el atacante exige el pago de un rescate. Si la víctima completa el pago, el atacante compartirá la clave simétrica para descifrar los archivos. Por supuesto, esto supone que se puede tomar la palabra a los delincuentes, una suposición potencialmente costosa. El cifrado simétrico es rápido y eficaz, y suele afectar a grandes cantidades de datos antes de que se note. Se basa en el secreto de la clave simétrica, ya que si el usuario descubre la clave antes de pagar el rescate, puede utilizarla para descifrar sus archivos.
El cifrado asimétrico intercambia de forma segura la clave simétrica entre el atacante y la víctima. El atacante genera un emparejamiento de clave pública y privada. La clave pública se utiliza para el cifrado. La clave simétrica cifrada se envía a la víctima junto con una petición de rescate. La víctima no puede descifrar la clave simétrica sin la correspondiente clave privada. Una vez pagado el rescate, el atacante enviará la clave privada a la víctima, permitiéndole descifrar todos sus datos. Con el cifrado asimétrico, sólo el poseedor de la clave privada puede descifrar la clave simétrica y desbloquear los archivos, protegiendo así la clave simétrica durante el proceso de negociación.
Ambos métodos plantean el mismo problema: como víctima, querrá evitar pagar el rescate y también recuperar sus datos. El tipo de cifrado que utilice un ciberdelincuente afectará directamente a la facilidad con la que se puedan recuperar los datos. Pero, estamos hablando de delincuentes, así que, por desgracia, ni siquiera pagar el rescate garantizará que se recuperen los datos.
Canales de comunicación delictiva
¿Cómo pueden los ciberdelincuentes operar durante tanto tiempo sin ser detectados? Muchos de ellos utilizan TOR, un programa de software gratuito que oculta la dirección IP del usuario. Con TOR, los usuarios pueden intercambiar datos robados por bienes ilegales, como herramientas de hacking, herramientas de ransomware e incluso información sobre organizaciones.
Dado que TOR impide que los sitios web rastreen la ubicación física de la dirección IP de un usuario, hace prácticamente imposible -o al menos prohibitivo desde el punto de vista de los costes- que las fuerzas del orden y los organismos gubernamentales localicen a los responsables de los delitos.
Métodos de pago de rescates
Aunque cada ciberdelincuente es diferente, para pasar desapercibido, la mayoría solicita pagos mediante criptomonedas como Bitcoin, Ethereum y Dogecoin. El anonimato de esos pagos hace que el pago del ransomware sea relativamente fácil para las víctimas y libre de riesgos para los atacantes. Resignándose a la realidad de los ataques de ransomware, algunas organizaciones incluso tienen preparados rescates en bitcoin en caso de ataque.
Impacto y consecuencias del ransomware
Ahora que hemos visto cómo los ataques pueden pasar desapercibidos hasta que se desencadenan, veamos más de cerca si las organizaciones afectadas deben pagar el rescate después de un ataque.
Pagar un rescate plantea problemas legales, éticos y prácticos. El pago de algunos rescates es ilegal en determinadas circunstancias, como cuando un atacante está sujeto a sanciones económicas o cuando el pago parece constituir un apoyo a actividades terroristas.
La decisión de pagar o no un rescate es todo un reto. Afortunadamente, Panzura ha descubierto cómo hacer que el ransomware sea completamente ineficaz y evitar que las empresas y los usuarios tengan que volver a tomar esa decisión.