Descubra cómo proteger su empresa del ransomware antes de que sea demasiado tarde
El ransomware es un tipo de malware que cifra archivos importantes almacenados localmente o en red, y exige un rescate para su descifrado. Los atacantes lo utilizan como medio de extorsión digital para obtener ganancias.
El cifrado realizado por el ransomware solo puede revertirse con la clave correcta. La única alternativa es restaurar los datos desde una copia de seguridad.
El ransomware es particularmente efectivo. Otros tipos de malware pueden destruir o robar datos, pero aún ofrecen alternativas de recuperación. Sin copias de seguridad, pagar el rescate puede ser la única opción para recuperar los datos. En algunos casos, incluso tras pagar, no se recibe la clave de descifrado.
Una vez activado, el ransomware analiza archivos locales y de red para cifrarlos, enfocándose en archivos críticos para el usuario o la empresa, incluyendo copias de seguridad.
Distintos tipos de ransomware apuntan a diferentes formatos de archivo. Sin embargo, hay algunos comunes que todos buscan. Los archivos de Microsoft Office suelen ser los más atacados, ya que suelen contener información empresarial crítica.
Los primeros casos de infección por ransomware se observaron entre 2005 y 2006 en Rusia. Uno de los primeros informes de Trend Micro describía una variante que comprimía archivos y los protegía con contraseña.
También se dejaba un archivo como nota de rescate solicitando 300 USD a cambio de los archivos. Inicialmente, se atacaban formatos como .DOC, .XLS, .JPG, .ZIP, .PDF y otros comunes. Más adelante, surgieron variantes que podían infectar teléfonos móviles o el Master Boot Record (MBR), impidiendo que el sistema operativo iniciara.
En 2012, el ransomware se expandió desde Rusia hacia otros países europeos, posiblemente debido al desmantelamiento de programas falsos tipo FAKEAV. Los atacantes buscaron nuevas formas de obtener ingresos, como Reveton, que simulaba ser una autoridad y amenazaba al usuario con acusaciones legales. También comenzaron a emplear métodos de pago como Ukash, paysafecard y MoneyPak para ocultar su rastro.
A finales de 2013, surgió el llamado “crypto-ransomware”, liderado por variantes como CryptoLocker. Estas amenazas no solo cifraban archivos, sino que los eliminaban si no se pagaba el rescate. El rescate debía pagarse en Bitcoin para obtener una clave de descifrado.
Desde entonces, los atacantes han perfeccionado sus métodos para extorsionar tanto a personas como a empresas de cualquier tamaño alrededor del mundo.
Los ataques de ransomware suelen dividirse en cuatro etapas principales:
“Intrusión inicial”, “actividad interna”, “exfiltración de datos” y “ejecución del ransomware”.
A partir de la fase de “actividad interna”, las técnicas utilizadas se asemejan a las empleadas en ataques dirigidos (APT).
1. Intrusión inicial
Para robar información e instalar ransomware, los atacantes primero ingresan a la red interna.
Métodos comunes de acceso:
Explotación de vulnerabilidades en dispositivos de red (ej. VPN)
Gestión deficiente de contraseñas en servicios RDP (Remote Desktop Protocol)
Campañas de phishing dirigidas a empleados para instalar malware
Estas tácticas permiten a los atacantes infiltrarse sin ser detectados.
2. Actividad interna
Una vez dentro, los atacantes utilizan herramientas de acceso remoto (RAT) para controlar dispositivos y escalar privilegios.
Para evitar ser detectados, suelen abusar de herramientas legítimas ya presentes en la infraestructura.
Ejemplos:
Herramientas de pruebas de penetración para identificar vulnerabilidades
Servicios en la nube como plataformas de almacenamiento para transferir datos
Esta técnica se denomina “Living off the Land” — aprovechar el entorno existente para no levantar sospechas.
Cada vez más, se usan técnicas anti-EDR para desactivar sistemas de detección y respuesta en endpoints.
3. Exfiltración de datos
Con los permisos adecuados, los atacantes buscan datos sensibles que puedan usarse como elemento de extorsión.
Los archivos robados se agrupan y se suben a servidores bajo su control.
4. Ejecución del ransomware
Tras la exfiltración, se despliega y ejecuta el ransomware en la red de la organización.
A menudo se desactivan los programas de seguridad para asegurar la ejecución.
Se utilizan políticas de grupo para propagar el ransomware dentro de la red.
Después del cifrado, se muestra una nota de rescate en los dispositivos afectados.
Leakware o Doxware
El Leakware (o Doxware) es una variante avanzada del ransomware que, además de cifrar archivos, amenaza con filtrar datos confidenciales si no se paga el rescate. A menudo forma parte de ataques de doble extorsión, solicitando pago tanto para el descifrado como para evitar la exposición pública.
Ransomware para móviles
Los smartphones y tablets son ahora blanco frecuente de ataques. El ransomware móvil se distribuye mediante apps maliciosas o phishing. Una vez instalado, bloquea el dispositivo, cifra archivos o muestra demandas de rescate. El pago suele exigirse en criptomonedas.
Ransomware-as-a-Service (RaaS)
El Ransomware-as-a-Service (RaaS) es un modelo en el que los desarrolladores ofrecen ransomware a terceros, llamados afiliados. Esto ha facilitado la expansión de este tipo de ataque, ya que no se necesitan habilidades técnicas avanzadas para utilizar herramientas potentes.
Scareware
El scareware manipula psicológicamente al usuario para inducirle a pagar. Suele aparecer como un falso antivirus o alerta del sistema informando de amenazas inexistentes. Aunque no siempre cifra archivos, puede bloquear el sistema o bombardear al usuario con mensajes de advertencia hasta que se realice un pago. Apela al miedo y la desinformación del usuario.
La mejor forma de protegerse contra el ransomware es mediante copias de seguridad. Las copias almacenadas localmente o en una unidad de red pueden ser vulnerables. El almacenamiento en la nube está protegido contra escaneos de red por parte del ransomware, lo que lo convierte en una excelente opción para la recuperación. Excepción: si el almacenamiento en la nube está mapeado como una unidad local o subcarpeta.
La prevención es la mejor manera de evitar daños por ransomware. La mayoría de los ataques comienzan cuando los usuarios descargan el software de forma involuntaria o ejecutan accidentalmente un script malicioso.
Dos formas de evitar que los usuarios descarguen ransomware son el filtrado de contenido basado en DNS y las soluciones de seguridad de correo electrónico con funciones inteligentes de cuarentena. El filtrado DNS bloquea el acceso a sitios web que figuran en listas negras. Los filtros de correo aíslan contenido y archivos adjuntos maliciosos para que un administrador pueda revisarlos.
También se recomienda usar software antimalware con machine learning y monitoreo de comportamiento en todos los dispositivos, incluidos los móviles. Un buen software de seguridad detecta el ransomware antes de que acceda al almacenamiento y cifre los archivos. Para una máxima efectividad, debe mantenerse siempre actualizado con los últimos parches.
Cada año, miles de usuarios en todo el mundo son blanco de ataques de ransomware. En algunos casos, incluso después de que se haya controlado la amenaza, pueden seguir apareciendo problemas. Si bien muchos programas antimalware detectan variantes más antiguas, los atacantes crean constantemente nuevas para evitar la detección.
Por ejemplo, entre 2018 y 2019, el ransomware Ryuk desactivó la función de restauración del sistema en Windows, impidiendo a los usuarios recuperar datos desde puntos de restauración. Ryuk apuntó especialmente a empresas, exigiendo rescates de cientos de miles de dólares.
CryptoLocker, WannaCry y Petya fueron variantes distintas de ransomware que paralizaron infraestructuras globales, afectando incluso a bancos y organismos gubernamentales. WannaCry, en particular, atacó ordenadores con Windows utilizando un exploit desarrollado por la NSA para escanear unidades de red abiertas y cifrar archivos vulnerables.
Las amenazas persistentes incluyen variantes como GandCrab, SamSam, Zeppelin y REvil. Estas versiones más recientes siguen siendo altamente peligrosas y capaces de causar grandes daños a los sistemas empresariales.
Existen múltiples tipos de ransomware, como “Ryuk”, “MAZE” o “LockBit”. Estas variantes se conocen comúnmente como familias de ransomware. Por lo general, cada familia está operada por un grupo independiente de atacantes, con diferentes tácticas y tipos de objetivos.
A pesar de los esfuerzos de las autoridades internacionales para desmantelar y procesar a grupos conocidos, la amenaza del ransomware sigue creciendo. Un factor clave ha sido la aparición de nuevas familias desde 2022.
Según el monitoreo de Trend Micro en sitios de filtraciones, grupos como RansomHub han incrementado su actividad en 2024. En octubre de ese año, los 10 principales grupos fueron responsables del 90 % de las publicaciones en esos sitios.
Trend Micro ofrece en su blog información detallada sobre las principales familias de ransomware y los perfiles de los atacantes detrás de ellas.
Comprender estas tácticas es clave para identificar los riesgos de manera anticipada. Si tu organización sufre un ataque de ransomware y se puede identificar la familia implicada, estos datos pueden ser útiles para el análisis del origen del incidente.
El año pasado, el 83 % de las organizaciones se enfrentó a múltiples filtraciones con un coste de 4,4 millones de dólares cada una, mientras que la reducción de la exposición al riesgo condujo a un ahorro medio de 1,3 millones de dólares.
Cyber Risk Exposure Management, que forma parte de nuestra plataforma de ciberseguridad empresarial Trend Vision One™, reduce drásticamente los ciberriesgos mediante la detección continua, las evaluaciones en tiempo real y la mitigación automatizada en entornos en la nube, híbridos o locales.
El ransomware ataca a empresas de cualquier tamaño, paralizando a su organización si no cuenta con copias de seguridad disponibles. Comprender cómo funciona el ransomware y cómo puede afectar a su empresa le ayuda a defenderse mejor frente a él. La mejor manera de detener un ataque es educar a los usuarios, ejecutar anti-malware en todos los dispositivos e impedir que los usuarios accedan a mensajes de email maliciosos.
Descargue aquí el estudio de Trend Micro
https://www.trendmicro.com/vinfo/es/security/news/cybercrime-and-digital-threats/the-future-of-ransomware
Los ciberdelincuentes están siempre al acecho de nuevas tecnologías de las que abusar, acontecimientos mundiales significativos de los que aprovecharse y activos vulnerables y mal gestionados que poner en peligro.
Gracias a la plataforma Vision One de Trend Micro, nuestro equipo de MDR pudo identificar y contener rápidamente un intento de intrusión de ransomware de Play.
Investigaciones relacionadas
Artículos relacionados