¿QUÉ ES EL RANSOMWARE?

El ransomware es un tipo de malware en continua evolución que impide el acceso a la información de un dispositivo, amenazando con destruirla o hacerla pública si las víctimas no acceden a pagar un rescate en un determinado plazo.

El ransomware se propaga, como otros tipos de malware, por múltiples vías: a través de campañas de spam, vulnerabilidades o malas configuraciones de software, actualizaciones de software falsas, canales de descarga de software no confiables y herramientas de activación de programas no oficiales (cracking). Los ciberdelincuentes tratan de que el usuario abra un archivo adjunto infectado o haga clic en un vínculo que le lleve al sitio web del atacante, donde será infectado.

Actualmente, además del bloqueo de la información, la tendencia es que amenacen con la fuga de información confidencial al ámbito público (Internet), lo que podría ocasionarles además del perjuicio económico, daños reputacionales, y exponerles a multas por incumplimiento de GDPR en caso de que se trate de datos personales de sus clientes. Esto resulta en una extorsión más intensa y, por tanto, en un alcance mayor de los resultados económicos que pueden obtener los ciberdelincuentes.

¿Por qué se llama así?

Ransomware se forma al unir «ransom» (del inglés, rescate) con «ware» (producto o mercancía, en inglés). Una vez que el delincuente cifra los datos, pide un rescate (ransom) a la víctima, a través de un mensaje o ventana emergente, realizando lo que llamaríamos un secuestro virtual.

Este mensaje, que suele ser amenazante y apremiante, advierte a la víctima de que la única forma mediante la que puede descifrar sus archivos, recuperar el sistema o evitar un posible filtrado de información, es realizar el pago de un rescate. Es habitual que incluyan un límite de tiempo para pagar, antes de que se produzca la destrucción total de los archivos secuestrados, su publicación o un incremento del valor del rescate, si no se paga a tiempo.

Generalmente, el rescate se solicita a través de alguna criptodivisa (moneda virtual) como, por ejemplo, bitcoins. Es frecuente que utilicen «muleros», que son intermediarios que transfieren el dinero procedente de estas actividades ilícitas. Tanto las monedas virtuales como los muleros permiten al ciberdelincuente ocultar su rastro.

A cambio del pago, los ciberdelincuentes prometen facilitar el mecanismo para desbloquear el ordenador o descifrar los ficheros. Sin embargo, no existen garantías de recuperar la información, por lo que se recomienda no pagar el rescate para evitar la proliferación de este tipo de amenazas. Además, para acceder al mecanismo de desbloqueo dirigen a la víctima a un enlace que podría a su vez contener malware y causar otra infección, pudiendo robar también sus contraseñas o cualquier otra información sensible. Es muy frecuente que los ordenadores infectados por ransomware estén también infectados con otro tipo de malware.

El ransomware es un tipo de malware en continua evolución que impide el acceso a la información de un dispositivo, amenazando con destruirla o hacerla pública si las víctimas no acceden a pagar un rescate en un determinado plazo.»

Tipos de ransomware

De menor a mayor importancia podemos clasificar el ransomware en general en:

» Hoax ransomware: solo simula el cifrado utilizando técnicas de ingeniería social para extorsionar al usuario, exigiéndole un pago por recuperar sus archivos o evitar que sean eliminados. Se trata en realidad de un tipo de ransomware simulado.

» Scareware: utiliza el señuelo del falso software o soporte. Generalmente, aparece en forma de anuncio molesto emergente que informa de una supuesta infección por virus y aporta una solución fácil y rápida, descargando un programa de limpieza que casi siempre es el malware. El propio anuncio emergente lanzado por la página visitada no suele suponer una amenaza en sí mismo, aunque se recomienda no hacer clic en sus enlaces y prestar atención al cierre de la ventana emergente, ya que suele incluir botones de cierre falso.

» Bloqueadores de pantalla: impiden el uso del dispositivo mostrando una ventana que ocupa toda la pantalla y no permite ser cerrada. En la ventana, generalmente, pueden aparecer dos tipos de mensaje:

  • En algunos casos se informa del cifrado de archivos y el procedimiento para recuperarlos, pero los archivos están intactos. En este caso, únicamente se ha producido un bloqueo de la pantalla.
  • En otros casos, un mensaje de las fuerzas de seguridad indican que se han detectado actividades ilegales y se solicita el pago de una sanción para desbloquear el equipo (también conocido como el virus de la policía, pero en ningún caso este mensaje tiene relación con las fuerzas de seguridad estatales.

Ransomware de cifrado: considerado el más peligroso de todos. Su principal objetivo es el cifrado de la información para exigir un rescate. Los ciberdelincuentes hacen uso de los últimos avances en cifrado de información para evitar que los datos puedan ser descifrados. Dentro de esta variante hay una llamada wiper, que no devuelve el acceso a los archivos, simplemente los elimina.

Doxware: emplea una técnica conocida como doxing, que consiste en amenazar al usuario con hacer públicos los datos personales extraídos. Esta técnica provoca un aumento de la presión al usuario, lo que se traduce en un incremento de la efectividad del ataque y del beneficio para el ciberdelincuente.

Leave a Reply

Your email address will not be published.