• En lo que respecta a la ciberseguridad, el ransomware es probablemente una de las primeras amenazas que nos vienen a la mente. Hoy en día, el ransomware se encuentra entre las principales amenazas de ciberseguridad que afectan a particulares, empresas y organizaciones todos los días.
  • Este artículo contiene 5 tipos principales de ataques de ransomware, incluidos el ransomware cripto, el ransomware locker, el scareware, el leakware y el ransomware de doble extorsión.
  • Independientemente del tipo de ransomware, realizar copias de seguridad de los datos con antelación y el empleo adecuado de software de seguridad puede reducir significativamente la intensidad de un ataque.

El ransomwarees una de las estrategias más efectivas para atacar empresas, infraestructura crítica y particulares. Este tipo de malware infecta ordenadores y prohíbe o restringe gravemente a usuarios y software externo el acceso a dispositivos o sistemas completos hasta que se satisfagan las exigencias de rescate.

Durante mucho tiempo, solo existían dos tipos principales de ransomware: el ransomware cripto y el locker. Hoy en día, por desgracia, han surgido más tipos de ransomware que atacan a usuarios y organizaciones con diferentes enfoques.

5 tipos principales de ataques de ransomware

1. Ransomware cripto

Este tipo de ransomware hace que sus archivos y datos importantes, incluidos documentos y multimedia, no estén disponibles, al cifrarlos y quitarles la clave de descifrado. No obstante, el resto de las funcionalidades de los ordenadores de las víctimas permanecen intactas.

A continuación, los atacantes exigen un rescate a cambio de la clave de descifrado. Suelen ofrecer una cuenta atrás y una advertencia de que los archivos se eliminarán si no se paga el rescate. Las víctimas tienden a pagar el rescate en función de lo sensibles e importantes que sean los datos cifrados. Sin embargo, no puede garantizar que los atacantes devuelvan la clave de descifrado. Un ejemplo bien conocido de ransomware cripto esWannaCry, que afectó a cientos de miles de ordenadores en más de 150 países en 2017.

2. Ransomware locker

El ransomware locker, también llamado "bloqueadores de pantalla", bloquea su ordenador una vez que es atacado, haciendo que todos o parte de los datos y funcionalidades del sistema sean inaccesibles. Por ejemplo, es posible que no pueda acceder al escritorio del ordenador, pero quizá aún pueda utilizar el ratón y el teclado con una funcionalidad limitada.

Aquí, los atacantes solo le permiten interactuar con la pantalla que muestra la nota de rescate. Dado que los datos importantes permanecen sin cifrar, no se destruirán. Este tipo de ransomware también suele incluir un reloj de cuenta atrás para obligar al usuario a pagar el rescate lo antes posible.

3. Scareware

El scareware, como su nombre indica, asusta a los usuarios informándoles de que sus ordenadores han sido infectados con malware. Les engaña para que paguen una tarifa o compren software antivirus para solucionar el problema. El scareware suele aparecer con ventanas emergentes cuando visita o instala software infectado con él. Y aquí está el truco principal: su ordenador aún no ha sido infectado con malware, pero el software antivirus que el scareware le pide que pague es malicioso.

El scareware también puede distribuirse a través de correos electrónicos no deseados, que engañan a los usuarios para que compren algo sin valor. Estas compras pueden incluir malware, que puede robar información confidencial del usuario. Un ejemplo de scareware esAntivirus Pro 2010, que infectó ordenadores a través de anuncios maliciosos y ventanas emergentes.

Lea también:¿Qué hay que entender sobre las direcciones IPv6 de APNIC?

4. Leakware (Exfiltración)

El leakware es un ransomware que va más allá de cifrar sus datos confidenciales. Amenaza con filtrar sus datos al público o a terceros a menos que pague su exigencia de rescate. Como resultado, es un tipo de ransomware más peligroso que el ransomware cripto tradicional.

Al igual que el ransomware cripto, el leakware cifra el conjunto de datos, haciéndolo inaccesible, y mantiene la clave de cifrado con el atacante. Se aseguran de que estos datos sean confidenciales para la(s) víctima(s), por lo que su filtración podría perjudicar potencialmente al individuo o a la organización.

5. Ransomware de doble extorsión

El atacante cifra archivos y exporta datos para chantajear a la víctima para que pague un rescate. El atacante amenaza con publicar los datos robados si no se cumplen sus exigencias, incluso si la víctima puede restaurar sus datos a partir de una copia de seguridad. Un ejemplo de ransomware de doble extorsión esRyuk, que atacó a varias grandes empresas de Estados Unidos y Europa en 2019 y 2020.

Lea también:¿Qué es la banca abierta? Una breve guía

¿Cómo prevenir los ataques de ransomware?

La prevención del ransomware es un enorme desafío para organizaciones de todo tipo y tamaño, sin una solución milagrosa. Los expertos afirman que las empresas necesitan una estrategia de prevención del ransomware polifacética que incluya lo siguiente:

Seguridad de defensa en profundidad

Un enfoque de defensa en profundidad cuenta con controles de seguridad superpuestos que funcionan de forma concertada para bloquear la actividad maliciosa. Si el malware logra eludir un control, la esperanza es que otro mecanismo de seguridad superpuesto lo detenga.

Controles de seguridad avanzados

Si bien los controles básicos de ciberseguridad pueden reconocer y detectar muchas variantes conocidas de ransomware, las tecnologías de protección avanzadas tienen más probabilidades de descubrir ataques novedosos. Considere herramientas y estrategias como la detección y respuesta extendidas (XDR), la detección y respuesta gestionadas, Secure Access Service Edge, SIEM, el análisis del comportamiento de usuarios y entidades, la seguridad de confianza cero y el engaño cibernético.

Gestión de parches

Cuando el ataque de ransomware WannaCry golpeó por primera vez en mayo de 2017, aprovechó una vulnerabilidad conocida para la que Microsoft había lanzado un parche dos meses antes, un parche que cientos de miles de víctimas aún no habían implementado. Sorprendentemente, las organizaciones con sistemas sin parches siguen siendo víctimas de WannaCry y otros muchos ataques heredados.

Copias de seguridad de datos

Las copias de seguridad de los datos críticos pueden cortocircuitar eficazmente un ataque de ransomware, permitiendo a una organización restaurar las operaciones sin atender las demandas de los ciberdelincuentes. Sin embargo, es crucial que la copia de seguridad sea inaccesible desde el entorno de TI principal para que los actores de amenazas no puedan encontrarla y cifrarla durante la intrusión. También es importante señalar que, si bien las copias de seguridad son una parte importante de la defensa contra el ransomware, no son una panacea, especialmente en el caso de ataques de doble o triple extorsión.

Los ataques de ransomware tienen muchas apariencias diferentes y se presentan de todas las formas y tamaños. El vector de ataque es un factor importante para los tipos de ransomware utilizados. Para estimar el tamaño y el alcance del ataque, siempre es necesario considerar lo que está en juego o qué datos podrían ser eliminados o publicados. Independientemente del tipo de ransomware, realizar copias de seguridad de los datos con antelación y el empleo adecuado de software de seguridad puede reducir significativamente la intensidad de un ataque.