Recuperación de datos frente a un ataque de ransomware

El ransomware es un tipo de malware que encripta o bloquea de alguna manera los archivos de los usuarios. Cuando los usuarios intentan acceder a sus datos, reciben una notificación exigiendo el pago de un rescate para volver a acceder a ellos.

Desde los años 80 y en especial en esta última década, han surgido distintos troyanos de ransomware. En la actualidad, han visto potenciada su amenaza con la aparición de los Bitcoins, un sistema de pago en criptomonedas que les permite recibir dinero de sus víctimas sin emplear los canales tradicionales.

La palabra ransom proviene del inglés que significa rescate o también conocido como software extorsivo.

En muchos casos, los expertos también hablan de troyanos de cifrado, ya que la extorsión se basa en el hecho de que los datos quedan inextricablemente codificados y son inaccesibles para el usuario. El ransomware se introduce violentamente en el sistema dejando al usuario en una situación de pánico y preocupación.

El ransomware es un malware que bloquea un sistema operativo o servidor completo, o cifra datos existentes. Los ciberdelincuentes presionan a sus víctimas haciéndoles creer que solamente podrán acceder a sus datos pagando por un rescate. 

El ransomware es una forma de malware que bloquea el acceso a un sistema informático o revela datos de una víctima. El ciberdelincuente solicita un rescate a la víctima y promete, engañosamente, rehabilitar el acceso a los datos después de efectuarse el pago.

Desde la década de los 80, comenzaron a surgir distintos troyanos de rescate de forma constante, pero con la aparición de Bitcoin los atacantes han visto aumentadas sus posibilidades de amenaza. Gracias al sistema de criptodivisas, pueden cobrar, ilegítimamente, el dinero de sus víctimas sin usar los canales tradicionales.

Los responsables de los ataques de ransomware suelen ser estafadores con grandes conocimientos en programación de computadoras. Normalmente, el ransomware se propaga por el ordenador a través de un archivo adjunto de correo electrónico, una red o un navegador infectado.

Las extensiones apenas se diferencian de otros programas maliciosos. Por ejemplo: sitios web manipulados, un enlace de un correo electrónico de spam o un mensaje de una red social. En muchos casos, los autores del delito envían correos electrónicos sospechosos que contienen recibos o reclamos de cobro de deudas. En realidad, el archivo adjunto no contiene ninguna información relevante, pero sí un código dañino.

Las cifras de Datto muestran que el ransomware cuesta un promedio de 75.000 millones de dólares al año entre los costes de rescate, los esfuerzos de recuperación posteriores, las iniciativas organizativas y de IT para protegerse de nuevos ataques, los periodos de inactividad, la investigación forense, los costes de capacitación, restauración, pérdida de ingresos/productividad, etc.

Los cálculos más conservadores, procedentes de Cybersecurity Ventures, estiman los daños de ransomware en más de 11.500 millones de dólares durante 2019, lo que supone un sorprendente aumento desde los modestos 325 millones de hace cuatro años. Independientemente de si el total es de 75.000 u 11.500 millones de dólares, las consecuencias son devastadoras para las organizaciones que sufren un ataque de ransomware. En mayo de 2019, por ejemplo, el gobierno de Baltimore (Maryland, EE.UU) sufrió el bloqueo de sus sistemas durante más de un mes. Se vieron afectados sistemas vitales para la producción de vacunas, cajeros automáticos, aeropuertos y hospitales. A pesar de que la demanda del rescate era de 76.000 dólares, el coste total alcanzó aproximadamente los 20 millones.

Suplantación de Identidad (Spear Phising)

El método más común de acceso al ransomware es un correo electrónico de suplantación de identidad que contiene un archivo adjunto o un hipervínculo. Cuando el usuario abre el adjunto o clica sobre el enlace, el ransomware ejecuta un programa que bloquea el sistema y muestra un mensaje donde se exige el pago por el rescate. Cuando esto sucede, la única forma de descifrar los datos es aplicar una clave matemática que solamente conoce el atacante.

También ha habido casos en los que el malware envía un mensaje para confirmar que el Windows del usuario está bloqueado. Es entonces cuando se anima al usuario a llamar a un número de teléfono de Microsoft e introducir un código de seis dígitos para reactivar el sistema. Aunque el mensaje indique que la llamada telefónica es gratuita, no es cierto. Mientras está llamando al falso Microsoft, el usuario acumula cargos por llamadas de larga distancia.

Puntos de acceso remoto

Los investigadores de McAfee observaron que los ataques están ganando terreno en compañías que ofrecen puntos de acceso remoto expuestos y abiertos, como el protocolo RDP o la computación en red virtual (VNC). Las credenciales de RDP pueden ser forzadas y obtenidas a partir de filtraciones de contraseñas o simplemente adquiridas en el mercado negro. Mientras que en el pasado los criminales de ransomware establecían un entorno de comando y control para las claves de descifrado y ransomware, ahora la mayoría de los ciberdelincuentes se acercan a las víctimas con notas de rescate que incluyen una dirección de correo electrónico anónima para mantener sus identidades ocultas.