¿Qué es el ransomware?

Definición de ransomware

El ransomware es una forma de carga útil maliciosa que describe perfectamente la intención maliciosa de actores amenazantes que buscan extorsionar a la víctima para que pague luego de asumir exitosamente el control de los datos o los sistemas de la víctima. Se suelen solicitar criptomonedas para el pago del rescate.


El atacante puede utilizar varios vectores de ataque, y no cumplir con la demanda de pago puede tener consecuencias, incluidas las siguientes amenazas:

  • extraer y publicar los datos de la víctima
  • exponer las vulnerabilidades y las prácticas operacionales de la víctima que hicieron posible la violación de seguridad
  • cifrar los datos de la víctima y bloquear el acceso a ellos de forma permanente
  • tomar el control administrativo o del nodo raíz y desactivar permanentemente los sistemas afectados

En general, los actores maliciosos tratarán de obtener pagos porque sus acciones pueden poner en peligro los sistemas informáticos y afectar negativamente las operaciones normales de sus víctimas. Aunque el malware es uno de los métodos principales de ataque, se han producido varios incidentes de ransomware sin el uso de malware; por ejemplo, los incidentes de ransomware con extorsión cibernética que amenazan con un ataque de denegación de servicio (DoS) o una alteración del sitio web. También ha surgido el ransomware como servicio (ransomware as a service, RWaaS), donde los actores maliciosos crean un modelo de negocios para lanzar un ataque dirigido contra una persona o empresa como servicio, por una tarifa determinada.

Cómo funciona el ransomware

El ransomware se entrega normalmente mediante correos electrónicos de suplantación de identidad o descargas “al paso”. Los correos electrónicos de suplantación de identidad parecen legítimos y confiables, y persuaden a la víctima para que haga clic en un enlace malicioso o abra un archivo adjunto. Una descarga “al paso” es un programa que se descarga automáticamente desde Internet sin el consentimiento ni el conocimiento del usuario. Es posible que el código malicioso se ejecute después de la descarga y sin ninguna interacción del usuario. Después de que se ejecuta el código malicioso, la computadora del usuario se infecta con ransomware.

A continuación, el ransomware identifica las unidades de un sistema infectado y comienza a cifrar los archivos dentro de cada unidad. El cifrado generalmente viene con una extensión única para los archivos cifrados, como .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault o .petya. Una vez que se completa el cifrado, el ransomware crea y muestra un archivo o un conjunto de archivos que contiene información e instrucciones sobre las condiciones del ataque de ransomware. Por ejemplo, una vez que la víctima cumple las condiciones del ransomware, el actor malicioso puede proporcionar una clave criptográfica para que la víctima desbloquee archivos cifrados.

Cómo pueden las organizaciones ser más resilientes ante los ataques de ransomware

La higiene de seguridad básica y las prácticas operativas saludables pueden ayudar a las organizaciones a prevenir los incidentes de ransomware y limitar la pérdida financiera, el tiempo de inactividad y las interrupciones.

Existen varios puntos de vulnerabilidad entre los propios usuarios de una organización. Las organizaciones se beneficiarían si educaran a los usuarios individuales sobre las prácticas seguras para enviar correos electrónicos y navegar por Internet. La educación sobre el uso seguro de las plataformas de los medios sociales también es importante para que los usuarios sean conscientes de que un agente de amenazas maliciosas puede utilizar información pública sobre ellos para atacarlos u a otras personas de su organización.

Para reforzar las prácticas seguras, las organizaciones pueden implementar controles técnicos para los diversos sistemas que los atacantes utilizan para propagar el malware activado. Algunos ejemplos de controles técnicos son los siguientes:

  • implementación de herramientas y técnicas de filtrado para las plataformas de correo electrónico y comunicación, para evitar el envío de malware a sus usuarios;
  • implementación de exploración antimalware, servicios de validación de enlaces y técnicas de sandbox para servidores de correo electrónico y gateways de Internet;
  • definición y aplicación de políticas relativas a la descarga y el uso de código externo y no confiable en su entorno, para evitar la puesta en riesgo de sistemas mediante la instalación de software malicioso o la ejecución de secuencias de comandos maliciosas.

Además de ejecutar productos de protección de punto final actualizados, las organizaciones deben disponer de sistemas de gestión de identidad y acceso (identity and access management, IAM) con un enfoque de seguridad de confianza cero. Con una autenticación y principios sólidos de privilegio mínimo aplicados, las organizaciones pueden mantener un control estricto de los sistemas críticos y los almacenes de datos confidenciales.

Junto con los controles de acceso estrictos, las organizaciones deben imponer limitaciones para las herramientas de colaboración, los recursos de uso compartido de archivos y otros sistemas a los que se accede habitualmente. Las organizaciones pueden exigir desafíos de autenticación adicionales cuando y donde sea necesario. La eliminación de los inicios de sesión anónimos, las cuentas genéricas y el uso de credenciales débiles, junto con un control estricto de las cuentas con privilegios, como las cuentas del nodo raíz y del sistema operativo administrador o de nombre ficticio (Doing Business As, DBA), son claves para mantener una estrategia de seguridad sólida.

Las organizaciones deben definir y mantener las bases de configuración de seguridad conocidas e implementar sistemas de acuerdo con las directrices de configuración de seguridad. Debido a que las cargas útiles maliciosas suelen atacar vulnerabilidades de software conocidas, es importante aplicar parches de seguridad rápidamente.

Por último, otra práctica recomendada que ayudará a una organización a recuperarse del ransomware es almacenar copias de seguridad por separado y en un sistema operativo diferente para que no se pueda acceder a ellas desde la red.

Qué hacer si su organización es el objetivo de un ataque de ransomware

Una vez que las organizaciones descubren el ransomware, deben intentar limitar la propagación de la carga útil maliciosa de las siguientes maneras:

  • Aislar los sistemas infectados, eliminarlos y desactivarlos de todas las redes
  • Abordar todas las vulnerabilidades de uso compartido de archivos en el momento oportuno y poner fuera de línea los sistemas operativos no admitidos
  • Revisar la cadena de confianza que existe entre los sistemas de TI para evitar el efecto en cascada de un brote de malware
  • Separar la red y las bases de datos para aislar los brotes de malware y limitar el impacto operativo de un sistema afectado

Para limitar el impacto de un ataque de ransomware, los planes de solución de una organización deben incluir la provisión de copias de seguridad frecuentes y seguras con procedimientos de recuperación eficaces y verificados. Antes de restaurar los sistemas, las organizaciones deben determinar con un nivel razonable de confianza cuándo y cómo se produjo el problema inicial. Sin la debida diligencia, las organizaciones víctimas pueden restaurar involuntariamente un sistema infectado y restablecerlo mientras se realiza la recuperación inicial. Teniendo esto en cuenta, puede ser necesario realizar un análisis de costos/beneficios antes de elegir si restaurar a un estado anterior pero seguro, o bien restaurar a un estado más reciente pero posiblemente infectado, para minimizar la interrupción del negocio. Debido a que se sabe que un malware determinado se dirige a los archivos y los recursos de copia de seguridad, las organizaciones también deben garantizar un control efectivo sobre ellos.