• El ransomware emplea métodos sigilosos como ataques a la cadena de suministro, explotando la confianza entre usuarios y proveedores de software, lo que dificulta su detección y prevención.
  • Recuperar datos cifrados suele ser costoso e incierto debido a los complejos algoritmos de cifrado que utiliza el ransomware, lo que puede provocar pérdida o daños en los datos incluso después del descifrado.
  • Las víctimas se enfrentan al riesgo de ataques secundarios de ransomware, ya que los atacantes explotan vulnerabilidades del sistema o dejan puertas traseras, lo que provoca repetidas interrupciones financieras y operativas.

El ransomware es un tipo especial de malware que utiliza medios técnicos para restringir el acceso de la víctima al sistema o a los datos dentro del sistema (por ejemplo, documentos, correos electrónicos, bases de datos, código fuente, etc.) y exigir un rescate. La víctima debe pagar una determinada cantidad de rescate para recuperar el control de los datos. Cualquier organización o individuo puede ser blanco de un ataque de ransomware.

Tendencias de los ataques de ransomware

Canales de ataque más sigilosos

Los ataques a la cadena de suministro aprovechan la confianza entre usuarios y proveedores de aplicaciones para secuestrar o alterar software legítimo, explotando diversos descuidos o lagunas en los proveedores de software durante la distribución o actualización normal de software, eludiendo así las comprobaciones de los productos de seguridad tradicionales. Recientemente, esta técnica de ataque ha aparecido en varios sitios de clientes; los paquetes de actualización de aplicaciones se han infectado en origen y, tras entrar en el entorno de red del cliente, han penetrado aún más en toda la red.

Imagen del artículo

Dificultad para combatir los ataques con métodos tradicionales

A pesar de las mejoras en la concienciación sobre seguridad de redes empresariales y el despliegue de dispositivos de seguridad de red, los ataques de ransomware siguen siendo una amenaza importante. Estos ataques se caracterizan por su propagación sigilosa, de alta velocidad y multicanal, lo que plantea desafíos para los métodos de protección tradicionales.

Por ejemplo, la tecnología de comparación basada en características tiene dificultades para seguir el ritmo de penetración de los ataques de ransomware, los productos de detección avanzada de amenazas carecen de capacidades de protección integral multidimensional y las bibliotecas de funciones de protección contra amenazas en terminales no pueden igualar la rápida evolución de las variantes del virus ransomware.

Lea también: ¿Cuáles son los 3 factores de la autenticación multifactor?

Baja probabilidad pero alto coste de la recuperación de datos cifrados

Cuando se es víctima de un ataque de ransomware, generalmente se puede determinar a partir del comportamiento del rescate, del método de cifrado o bloqueo de la organización del rescate, el uso de un pequeño número de algoritmos de cifrado que se han hecho públicos en la red para apoyar el trabajo de descifrado. Sin embargo, debido a los complejos algoritmos de cifrado que utilizan los virus ransomware, la probabilidad de recuperación de datos suele ser extremadamente baja y, aunque se logre descifrar, puede causar daños o pérdida de datos.

Riesgo de rescate secundario

Algunas víctimas son objeto de ataques de rescate una y otra vez. Esto está relacionado con el alto camuflaje y sigilo del ransomware. Por un lado, se debe a que las víctimas no logran eliminar por completo los programas maliciosos ni corregir las vulnerabilidades del sistema tras el primer ataque, lo que permite a los atacantes explotar las debilidades conocidas para lanzar otro ataque; por otro lado, algunos atacantes pueden dejar intencionadamente una puerta trasera para activarla y atacar de nuevo en el futuro.

Lea también: ¿Es efectiva la autenticación multifactor?

Características de los ataques de ransomware

Virus ransomware con rápida iteración y numerosas variantes

Con los constantes cambios en el entorno de la seguridad de redes y el rápido desarrollo de la tecnología, los virus ransomware también evolucionan, mostrando características de ataque más avanzadas y complejas. El número de variantes de ransomware es cada vez mayor y es difícil seguir el ritmo de los cambios del virus simplemente defendiéndose mediante la comparación de muestras. Hasta marzo de 2024, el equipo de expertos antiransomware de Venut ha recopilado más de 100.000 tipos de muestras de virus, y solo en 2023 ha aumentado en 1.600 tipos.

Industria del ransomware formada

Los ataques de ransomware han formado una industria, desde el hackeo de sistemas, el cifrado de archivos, hasta la extorsión por rescate, formando un patrón de ataque sistemático. La formación de la industria se debe a los avances tecnológicos. Con la aceleración de la transformación digital, cada vez más empresas y particulares trasladan sus datos y negocios a Internet, lo que amplía constantemente la superficie de ataque. Además, algunos atacantes han reducido el umbral de los ataques de rescate ofreciendo ransomware como servicio (RaaS), y los ataques de ransomware están creando rápidamente un efecto de escala.

Uso de contramedidas de protección

Dirigiéndose a víctimas lucrativas, los atacantes no dudan en arriesgarse utilizando tácticas contra la protección. En el proceso de prestación de servicios antirransomware para clientes en una ocasión, se descubrió que el atacante se infiltró con éxito a través de un ataque de ingeniería social, utilizando el Protocolo de Escritorio Remoto (RDP) y la Red Privada Virtual (VPN), desinstalando el cliente antivirus instalado en el equipo terminal o deteniendo el proceso, y capturando el terminal del cliente para luego penetrar en otros entornos de red.

Diversas formas de propagación

El ransomware puede propagarse ampliamente en forma de correos electrónicos, troyanos de programas y páginas web colgantes. La gran mayoría de los usuarios de redes tienen una conciencia de seguridad débil, utilizan solo software de protección de seguridad básico en sus terminales de Internet, usan software de código abierto libremente, hacen clic en enlaces no identificados en correos electrónicos, visitan páginas web inseguras y, sin saberlo, se convierten en propagadores de ransomware.

¿Cómo defenderse contra el ransomware?

Defensa del lado de la red

La clave para defenderse contra los ataques de ransomware es la prevención: interceptar el ataque antes de que entre en la organización y cause daños sustanciales. La mejor manera de hacerlo es establecer un sistema de defensa de seguridad multicapa basado en cortafuegos para evitar que los atacantes traspasen una capa de defensa y luego sigan avanzando. Una política de seguridad estricta es el medio de protección más sencillo y eficaz; abrir solo los servicios esenciales al mundo exterior y bloquear los puertos de alto riesgo reduce la exposición (superficie de ataque).

El bloqueo de amenazas conocidas puede hacer que los atacantes abandonen ataques que de otro modo les exigirían crear nuevo ransomware o explotar nuevas vulnerabilidades, cuyo coste aumenta inevitablemente. Además, habilitar el filtrado de archivos puede restringir la entrada de tipos de archivos de alto riesgo en la red; bloquear sitios web maliciosos con filtrado de URL puede evitar que los usuarios descarguen malware inadvertidamente.

Defensa del lado del host

En primer lugar, se recomienda configurar los hosts de forma unificada mediante soluciones de infraestructura informática a nivel de organización. Las políticas de grupo para servidores de AD y los centros de control para software antivirus a nivel empresarial pueden garantizar que las medidas de seguridad estén implementadas sin depender de la ejecución de empleados individuales.

En segundo lugar, la educación en seguridad de la información para los empleados también es importante. Muchos programas de ransomware utilizan tácticas de correo electrónico e ingeniería social para incitar a los empleados a descargar malware o visitar URL maliciosas. Al no actuar ante esto, los empleados pueden evitar activar los vectores de ataque que los transportan. Capacitar a los empleados para que desarrollen buenos hábitos de oficina y para que reconozcan y prevengan las tácticas de ataque típicas mediante la concienciación en seguridad de la información es un medio eficaz para evitar los ataques de ransomware.