Al igual que un secuestrador extorsiona a sus víctimas para recibir dinero a cambio de su libertad, los cibercriminales perturban a los servidores de las empresas con malwares y criptogusanos que dañan todo a su paso… Y solo el pago de un rescate los hará detener.
Ransomware, término con el que acuñaron estas prácticas, apareció por primera vez en la década de los 90 y hoy es uno de los delitos más frecuentes en la ciberdelincuencia. De acuerdo con un reporte de Entel Digital, publicado en marzo de 2024, Chile subió al séptimo puesto en la escala de países latinoamericanos con más ciberataques durante 2023.
Brasil es quien ocupa el primer lugar del podio, con 63 incidentes de ransomware registrados. Le siguen México y Argentina, con 44 y 23 respectivamente. Chile, por su parte, triplicó la cantidad de ransomware registrados en 2022, con un promedio de 1,9 incidentes mensuales. En total, ocurrieron 21 ataques de este estilo en el país durante aquel año.
Las razones para estar atento a estos actos delictivos son muchas, por eso aquí presentamos una guía informativa sobre el ransomware, sobre cómo identificarlo, prevenirlo y de qué manera las tecnologías desarrolladas en las últimas décadas pueden servir para combatir estas amenazas.
¿Acaso también pueden ser utilizadas para producir el efecto contrario? Descúbrelo a continuación.
Introducción al ransomware: amenaza global para las empresas
En Latinoamérica, el muestreo de Entel arrojó cerca de 850 casos registrados en 2023. El ransomware es un acto de cibervandalismo que tiene como objetivo obtener un rédito a cambio de una extorsión. Los métodos más comunes son el secuestro de datos de una compañía, dañar sistemas informáticos o vulnerar servidores web, pero existen muchos más.
¿Qué es el ransomware?
IBM define al ransomware como un tipo de malware que retiene los datos confidenciales de una víctima, amenazando con difundir información, bloquear accesos e incluso escalar hacia riesgos peores, y exige a cambio el pago de un rescate.
La mayoría de estos ataques se ejecutan a través del mercado negro, incluso han perfeccionado sus técnicas con el paso del tiempo. La multinacional norteamericana indica que los atacantes piden el pago de extorsiones en criptomonedas, para que estos movimientos de dinero no puedan ser rastreados en el sistema financiero.
La evolución del ransomware como ciberamenaza
Los primeros intentos por intervenir computadoras con malware de este estilo fueron registrados a finales de los 80. Este virus fue identificado como un troyano, popularmente denominado “ADSS”. Este cyborg se distribuía a través de disquetes, quien ocultaba directorios de archivos en la computadora de la víctima y exigía el pago de US$189 para desocultarlos.
Sin embargo, la evolución más grande desde su descubrimiento en el siglo pasado fue a principios de 2005, cuando un ransomware más sofisticado para la época comenzó a infectar computadoras principalmente en Rusia y Europa del Este. Con ayuda del cifrado asimétrico, los delincuentes reconocieron el potencial de sus ataques para conseguir dinero y lo propagaron por el mundo.
2009 es el año en que, como dijimos anteriormente, las criptomonedas se introducen como medio de pago entre los atacantes y sus víctimas. Dado que el bitcoin aún no era popular, los delincuentes exigían el pago de rescates bajo este tipo de cambio, para evitar el rastreo de las finanzas.
Por último, la era moderna de los ransomware comenzó con CryptoLocker, en 2013. Este evento inauguró la ola actual de ciberataques más sofisticados, basados en cifrados y que solicitan pagos en criptomonedas. De aquí en más, los ataques solo han ido perfeccionándose en paralelo a los avances tecnológicos.
Cómo funciona el ransomware: mecanismos de ataque
El aumento de los ciberataques en el mundo no son eventos extraordinarios. Para Eduardo Bouillet, director del Centro de Ciberinteligencia (CCI) de Entel, estos ataques son “consecuencia directa del creciente uso de la tecnología que ha transformado la forma en que interactuamos como sociedad” según afirmó en el último estudio de la empresa.
Según el experto en ciberseguridad, los delincuentes han capitalizado la realidad actual y, al igual que muchas personas utilizan tecnología y redes de comunicación para trabajar, ellos las utilizan para cometer actos delictivos en la red. De esta forma han puesto a prueba nuevas prácticas que no hicieron más que perfeccionar sus mecanismos de ataque.
Phishing e ingeniería social
La tradicional técnica del phishing busca convencer a las víctimas a descargar archivos ejecutables que envían a través de un email, simulando ser otra persona o incluso hackeando la base de datos de una empresa para introducirse dentro de los correos de varias personas para enviar mensajes a sus compañeros simulando ser ellas.
Vulnerabilidades del sistema operativo y software
Ocasionalmente, profesionales en ciberseguridad como Verizon sugieren que, cuando una empresa comienza a crecer (financiera y productivamente), este desarrollo debe ocurrir a la par que su inversión en materia de seguridad. Los delincuentes suelen aprovecharse de las vulnerabilidades de su red para ingresar a ellas e insertar códigos maliciosos en sus dispositivos.
En casos de spear phishing, los atacantes se enfocan en personas, y uno de sus objetivos más comunes son los CEO, gerentes generales, directores operativos o personas de una compañía que no manejan dinero, pero sí mucha información. Son personas con nexos en varias áreas de la empresa, incluso externos, en los cuales un email (falso) de ellos a sus equipos o diversas personas de la compañía, no levantaría las alertas
De esta forma, los atacantes pueden detener operaciones o paralizar todo un entorno digital a cambio de un pago extorsivo. Otro método común es utilizar fallos desconocidos para la empresa, denominados vulnerabilidades de día cero, las que son comercializadas entre hackers, que buscan planificar sus ataques.
Hurto de credenciales
Este es un ejemplo similar a lo que ocurre en el phishing: los ciberdelincuentes pueden robar las credenciales de usuarios autorizados, comprarlas en la dark web o descifrarlas mediante ataques de fuerza bruta. Luego, utilizan estas credenciales para iniciar sesión en una red o computadora e implementar el ransomware.
Según el Índice de inteligencia sobre amenazas desarrollado por IBM X-Force en 2024, los ataques cibernéticos que utilizan credenciales robadas o comprometidas aumentaron un 71% año tras año. Los atacantes intervienen cada vez más operaciones para obtener identidades de usuario, provocando a su vez que el aumento del malware de robo de información se dispare hasta el 266%.
Descargas no autorizadas
Los hackers pueden usar sitios web para pasar ransomware a dispositivos sin el conocimiento de los usuarios. Este formato de ataque utiliza publicidad maliciosa para transmitir el malware a otros dispositivos, incluso cuando el usuario no hace clic dentro del anuncio contaminado.
Impacto del ransomware en las empresas
Durante 2023, IBM descubrió que los ataques de ransomware comenzaron a centrarse y optar más por un tipo específico de ataque que otros, ya que identificaron una de las amenazas más comunes en general para todas las empresas. Durante todo el año pasado, se registraron más ciberataques dirigidos a identidades: ¿Qué quiere decir esto?
Según la tecnológica estadounidense, los atacantes tendían a elegir la vía con menor resistencia para conseguir sus objetivos. Hoy en día, el foco se ha desplazado hacia la información de registro en lugar del pirateo, destacando que es más fácil adquirir credenciales para acceder a la base de datos en lugar de explotar sus vulnerabilidades o llevar a cabo una campaña de phishing.
De esta forma, los atacantes identificaron que a los empleados les resulta difícil distinguir entre el uso legítimo de la identidad del usuario y el uso indebido no autorizado. Y esto trae consecuencias drásticas para la compañía: no solo pone en relieve su falta de capacitación, sino también que no saben identificar, eliminar y auditar los posibles vectores de ataque dentro de sus redes dinámicas.
Consecuencias financieras y operativas
El ransomware es un delito cibernético que afecta a todo el mundo: según el propio FBI, a través del Internet Crime Complaint Center (IC3 por sus siglas en inglés), entre 2018 y 2022 sus oficinas recibieron un total de 3,26 millones de quejas, que reportaron una pérdida de US$27,6 mil millones.
Y Chile no se queda atrás. De acuerdo con el Threat Report desarrollado por Fortinet en 2023, en el último año se detectaron en el país más de 4 mil millones de intentos de ciberataques, incorporando entre sus víctimas incluso a entidades públicas como las Fuerzas Armadas o peces más grandes como la banca privada y los servicios públicos.
Pérdida de datos y tiempos de inactividad
Entre 2022 y 2023, las pérdidas de información por parte de las empresas aumentaron un 32%. El robo y filtrado de datos se convirtió en el impacto más común para las organizaciones, lo que indica que cada vez más grupos prefieren este método para obtener beneficios económicos.
Daño a la reputación y confianza del cliente
Las consecuencias del ransomware no solo afectan el futuro financiero de las organizaciones, también es capaz de generar daños irreparables frente a la reputación de clientes e inversores. Estos dos pilares son fundamentales para la continuidad operativa de una empresa, por lo que no querrás atentar contra su confianza.
Un método que puede dirimir la reputación del cliente es que éste último se entere que la empresa no tomó las decisiones más pertinentes para proteger su sistema y, por ende, los datos privados de sus compradores. De este modo, la ciberseguridad es crucial para sostener una buena reputación, principalmente hoy, donde la percepción de una marca en internet es de suma importancia para atraer más clientes, socios e inversores.
Casos notables de ataques de ransomware
En la comunidad chilena existen casos famosos de ransomware que tuvieron como consecuencia no solo pérdidas económicas, sino también el perjuicio de miles de chilenos y su información privada. Velar por la privacidad de los datos está reglamentado en Chile y, quienes violen esas leyes, pueden padecer penalidades de hasta el 4% de sus operaciones anuales.
Continuidad operativa: Caso GTD en Chile y Perú
En noviembre de 2023, la empresa de servicios TI, GTD, reportó un ataque de ransomware que impactó de forma masiva en sus operaciones dentro de Latinoamérica, principalmente Chile y Perú. El ciberdelincuente intervino su plataforma de infraestructura como servicio (IaaS) y comprometió los data centers, telefonía, VPNs y redes de conexión a internet de más de 3000 clientes chilenos y peruanos.
La decisión de GTD luego de identificar el malware, fue detener sus operaciones, es decir, apagar las IaaS para revisar exhaustivamente el origen del ataque y mitigar los riesgos de propagación del virus en otras zonas del software. Más tarde se dio a conocer que el ransomware que provocó el ataque fue Rorschach, un malware conocido mundialmente por su velocidad para encriptar información.
Según el Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), Rorschach afectó el desempeño normal de varias instituciones chilenas, entre las cuales se encuentra FONASA, Salud Responde, las firmas digitales de la Secretaría General de la Presidencia y el RPE de la Alta Dirección Pública que afectó a 77 municipios y otros gobiernos regionales.
Ransomware famosos: WannaCry
Uno de los malware más famosos en el segmento de ransomware fue WannaCry. Según un informe de Norton publicado en 2018, año en que el virus se popularizó, este ataque fue localizado principalmente en equipos con sistemas operativos Windows en alrededor de 70 países.
WannaCry cifra los datos de las víctimas y exige un rescate de US$300 en bitcoin para liberar los archivos violados. Si el pago no se realiza en menos de tres días, la cantidad se duplica y, después de una semana, el atacante elimina los archivos intervenidos de forma permanente.
Este malware se propagó tan rápido que alarmó tanto a usuarios de Microsoft como a su propio equipo. Según la publicación del antivirus, WannaCry llegó a afectar en poco tiempo a más de 200 mil usuarios en 150 países distintos. Actualmente, esta amenaza sigue activa pero han logrado detener su avance desde aquel entonces.
El soporte de ayuda de Microsoft siempre advierte que las versiones anteriores a Windows 11 han dejado de recibir soluciones operativas y, por ende, las personas que aún utilizan sistemas operativos más antiguos a los que se fueron lanzando, corren riesgo de ser atacados con mayor facilidad ante virus y hackers. A pesar de esto, la gigante operativa dice que un 11% de la población mundial sigue usando versiones antiguas del software, como Windows 7.
Filtración masiva de datos: Caja los Andes
Este caso no es un ransomware en esencia, pero sí refleja el riesgo que toman las empresas al no invertir en proteger sus vulnerabilidades del sistema operativo. Uno de los casos más conocidos de ataques contra la privacidad de la red en Chile es Caja Los Andes, una de las principales cajas de compensación del país.
El evento tuvo lugar en agosto de 2024, cuando la filial chilena sufrió una filtración masiva de datos que expuso la información personal de más de 10 millones de ciudadanos. A modo de estimación, este número engloba a más de la mitad de la población chilena.
Según una publicación del sitio especializado en ciberseguridad, Cybernews, la filtración de Caja los Andes fue causada por una falta de autenticación en su base de datos Apache Cassandra. Según la ley de protección de datos que rige en Chile, quien sea responsable de esta clase de injerencias puede ser objeto de sanciones que alcancen hasta el 4% de sus ingresos anuales para compensar daños.
5 estrategias de prevención contra el ransomware
1. No pagar el rescate
De forma inocente, las personas tienden a creer en la buena intención de un ciberdelincuente que, al recibir su pago extorsivo, detendrá el ataque. Pues la empresa de seguridad informática Cybereason sugiere hacer lo contrario.
Si el hacker considera que aún puede seguir engañándolo, incluso puede pensar que aún tiene mucho más dinero para dar; es posible que aumente el valor de la fianza o le exija pagar nuevamente. Existen otras vías para detener un ataque sin poner en riesgo las finanzas de una empresa.
De todas formas, pretender que las interrupciones cesarán con el pago de una amenaza es una tendencia general de las compañías, por lo que no vale la pena sentirse “solo”. Según el estudio “Ransomware: ¿Qué industrias tienen más probabilidades de pagar?” publicado por el equipo de Cybereason, estas son las industrias con más probabilidades de solucionar un rescate con dinero:
- Construcción (74%)
- Empresas tecnológicas (51%)
- Energía, petróleo y servicios públicos (43%)
- TI (alrededor del 33%)
- Comercio minorista (alrededor del 33%)
- Servicios empresariales y profesionales (alrededor del 33%)
- Gobierno (18%)
2. No hacer clic en archivos adjuntos
Capacitar a los empleados en materia de seguridad es uno de los pasos más importantes que las empresas deben realizar si lo que buscan es prevenir ataques de ransomware. Una de las consignas más básicas dentro de la formación contra ciberdelitos es NO hacer clic en archivos adjuntos que provengan de correos SPAM o dominios desconocidos.
Esta técnica es casi tan antigua como la red y, en estos correos, los atacantes simulan ser proveedores de la empresa, administradores de bancos solicitando la firma de documentos o, en el peor de los casos, utilizan la identidad de otro empleado que ha caído en la trampa para solicitar acceso a documentos o pedir credenciales para acceder a la intranet de la compañía.
3. Establecer la estrategia zero trust
La confianza cero, o zero trust en inglés, consiste en desconfiar de los dispositivos conectados en un servidor de red, independientemente de que estos estén vinculados y verificados. Según el CISA, el objetivo de este concepto es evitar el acceso no autorizado a los datos y servicios y hacer que la aplicación del control de acceso sea lo más granular posible.
A modo de ejemplificación, si una empresa está acostumbrada a comunicarse internamente vía chats empresariales, la solicitud de una credencial o el envío de documentación por fuera de estas vías de comunicación debe ser un llamado de atención para quién recibe esta clase de mensajes, puesto que es una forma al menos sospechosa de vincularse dentro de su entorno.
4. Utilizar software y firewalls de seguridad
Es necesario contratar un software de seguridad que mantenga protegido todo el entorno digital de una compañía. Existen servicios de firewall, un sistema de seguridad de red de las computadoras que restringe el tráfico de Internet entrante, saliente o dentro de una red privada; que aseguran la red y automatizan las respuestas ante amenazas sofisticadas.
Como se ha mencionado, a medida que una empresa crece, sus estrategias de seguridad deben robustecerse; y existen datos que avalan esta hipótesis. Según el informe anual de IBM sobre el costo de una infiltración de datos, el 82% de las vulneraciones de datos que sufrieron las organizaciones estuvieron relacionadas con datos almacenados en la nube, las cuales resultaron en un costo promedio de US$4,45 millones a nivel mundial.
5. Realizar copias de seguridad periódicas
Otra suposición inocente por parte de las compañías es creer que nunca sucederá un ataque y, en consecuencia, no realizan copias de seguridad de sus activos más valiosos: documentos, firmas digitales, autorizaciones operativas, entre otras.
Cabe resaltar que, hoy, el foco de los delincuentes se ha desplazado hacia la información de registro en lugar del pirateo, de tal modo que están más preocupados por acceder a la base de datos para encriptar información valiosa a cambio de dinero en lugar de utilizar otras técnicas más conocidas como el phishing. La solución ante la pérdida de información es tan simple como realizar copias de seguridad periódicas.
Qué hacer en caso de un ataque de ransomware
Al considerar los objetivos que motivan a los ciberdelincuentes a cometer un ataque de ransomware, encontraremos al menos tres puntapiés iniciales para saber qué hacer si en algún momento alguien cae en sus manos. Según Entel, el 89% de los ataques tienen como meta las finanzas y el espionaje. En ese sentido, las organizaciones que fueron víctimas reportaron una pérdida sustancial de clientes y oportunidades de ingreso por más de un 20%.
Flanquear los puntos débiles de una compañía
Los delincuentes son expertos en identificar las vulnerabilidades de una empresa. Es por esto que, para estar preparados y responder a este tipo de situaciones, hay que contar con personal que tenga el mismo nivel de conocimiento e inquietud que ellos, y que esté capacitado para responder incidentes o situaciones imprevisibles.
Parte de esto se logra desarrollando una cultura de la seguridad, incorporando herramientas como el monitoreo de redes, plataformas de detección y respuesta de endpoints (EDR), sistemas de gestión de eventos e información de seguridad (SIEM) y parches que previenen los ataques que aprovechan el software y las vulnerabilidades del sistema operativo.
¿Está bien desconectar el sistema ante un ataque de ransomware?
Esta pregunta es difícil de responder, puesto que una publicación de la Coordinación Nacional de Ciberseguridad en Chile dice que, si tu organización es atacada por un ransomware, incluso el FBI recomienda aislar el sistema infectado, pero no apagarlo.
Aislar el sistema infectado es remover el sistema infectado de todas las redes que se relacionan con él: deshabilitar el wifi, bluetooth y otras potenciales capacidades de conexiones con el computador. Esos sistemas que aún no han sido afectados sí deben apagarse y separarse del dispositivo que ya ha sido capturado.
De ser posible, los expertos en ciberseguridad también recomiendan asegurarse de que los datos de respaldo estén desconectados de las redes y seguros. Si es posible, escanear los datos de respaldo con un programa antivirus para asegurarse de que éstos se encuentren libres de malware.
Por su parte, el Equipo de Respuesta ante Emergencias Informáticas Nacional de Argentina (CERT.Ar) también recomienda no apagar el equipo infectado ni tampoco seguir usándolo. Además, mantener la calma en todo momento y no asustarse ante la alerta o notificación de un ataque. Este último paso es crucial para ser rápido y tomar las decisiones acertadas.
Recuperación y restauración de datos
Respecto a la restauración de datos, HP indica que un error frecuente en quienes padecen un ataque es realizar copias de seguridad a toda prisa mientras están recibiendo un ransomware. Según la empresa tecnológica, esto solo empeora la situación.
Las copias de seguridad de un dispositivo infectado pondrán en riesgo a los destinos de estas copias e incluso podría perjudicar al resto de los archivos que aún los atacantes no habían alcanzado. Para esto, una decisión acertada es detener la conexión a internet, al menos durante la primera etapa del ataque.
Para recuperar datos, la multinacional norteamericana explica que la única vía de restauración es mediante copias de seguridad que se hayan realizado previo al ataque. Respaldar la información de una empresa con copias de seguridad es uno de los mejores métodos para, ante la notificación de un ransomware, evitar el pago del rescate, mantenerse calmo y consciente de que no podrán extorsionarte.