Un ransomware (del inglés ransom, 'rescate', y ware, por software) es un tipo de ataque informático (un virus) utilizado para extorsionarle con dinero. Originalmente, los delincuentes utilizaban el ransomware para que las personas les paguen por recuperar información personal. Hoy en día, los atacantes extorsionan a las empresas solicitando el pago de dinero para recuperar información delicada. Nadie está inmune al ransomware. Los delincuentes han extorsionado a proveedores de salud y han dejado a huéspedes fuera de sus habitaciones de hotel solicitando pagos para recuperar datos médicos o personales. Incluso los sistemas industriales pueden llegar a ser vulnerables al ransomware.
Las primeras prácticas de ransomware, llamadas bloqueo de ransomware, impedían que una víctima accediera a su escritorio o navegador. Los delincuentes informáticos evolucionaron rápidamente a una sofisticada práctica de ransomware cifrado, a través de la cual se encripta información en computadoras o dispositivos móviles. Ambas formas publican una notificación de extorsión para el usuario: la compra de software de descifrado o una clave de descifrado para evitar que sus datos se pierdan para siempre.
Anatomía de un ataque de ransomware
Una forma común de ataque con ransomware es a través de documentos adjuntos maliciosos en los mensajes de correo electrónico. A través de ingeniería social los usuarios abren los archivos adjuntos, convencidos a pesar de su mejor juicio. Típicamente, el documento adjunto es una forma de malware de autoinstalación, a menudo llamado troyano o virus cuentagotas. Una vez instalado, el cuentagotas queda registrado en la botnet de un atacante informático mediante el contacto del dispositivo infectado con el comando y control (C2) de la botnet. Cuando se contacta, el C2 generará y devolverá el material de codificación de cifrado para el cuentagotas de ransomware ( posiblemente con un código malicioso adicional). El cuentagotas de ransomware usará el material de codificación para cifrar archivos personales del dispositivo infectado. Luego envía una notificación de extorsión, exigiendo que la víctima realice un pago de rescate para recibir una clave que descifrará los datos ahora inaccesibles.
Muchos atacantes de ransomware amenazan a las víctimas con la pérdida permanente de sus archivos personales en caso que el rescate no sea pagado dentro de un plazo de 24 horas. Para mejorar el engaño, algunas notificaciones de ransomware se hacen pasar por agentes de la ley o agencias gubernamentales y encubren la extorsión como una multa.
El ransomware explota el sistema de nombres de dominio público
A veces, los cuentagotas de ransomware utilizan direcciones IP (Protocolo de Internet) con codificación fija para conectarse al C2. Cuando los cuentagotas utilizan direcciones IP configuradas estáticamente, los investigadores pueden usarlas para identificar y desconectar rápidamente los botnets C2 de ransomware. Por motivos de evasión, los ransomware más avanzados identifican a un C2 mediante la generación algorítmica de nombres de domini.. Los cuentagotas de ransomware modernos utilizan el sistema de nombres de dominio (DNS) para resolver los nombres de dominio que el atacante informático cambia con frecuencia, ocultándose así de los investigadores.
¡No pague el rescate!
Los expertos en seguridad y cumplimiento de la ley están de acuerdo: ¡no pague el rescate! No hay ninguna razón para confiar en que, aún pagando, el atacante le proporcionará los medios para descifrar sus archivos. El atacante informático podría desaparecer, podría continuar extorsionándole o enviándole claves de descifrado que no funcionan.
Defiéndase contra el ransomware en forma proactiva
Realice "copias de seguridad" para defenderse contra el ransomware. Al archivar regularmente sus datos personales o confidenciales en un dispositivo externo o en la nube, usted quita sentido a las amenazas de un ataque informático de este tipo. Tenga especial cuidado en hacer copias de seguridad de los archivos cuando viaje.
A continuación, utilice Internet de manera segura. Considere la posibilidad de tomar estas medidas para minimizar la probabilidad de una infección de ransomware:
- Mantenga su computadora portátil con "parches actualizados".
- No comparta carpetas.
- Mantenga su antivirus actualizado.
- Utilice un resolutor de DNS confiable.
- Deshabilite la ejecución de macros.
- Pruebe protecciones contra el ransomware.
Después de eso, asegúrese de tener los medios para restaurar rápidamente el sistema operativo, las aplicaciones y los datos archivados en su dispositivo, ante la eventualidad de que su dispositivo esté infectado con ransomware. Las empresas y los individuos por igual deben investigar lo que se llaman servicios de imagen de recuperación.
Usted puede protegerse de otras maneras; consulte 22 consejos para la prevención de ransomware.
Si se le solicita el rescate …
Recuerde: ¡no pague! Póngase en contacto con un amigo que tenga conocimientos técnicos, con un servicio de reparación de computadoras de renombre o con el departamento de IT (Tecnologías de la Información) de su organización, para ayudarle a identificar el ransomware. También pueden ayudarle a localizar repositorios de confianza para la recuperación de archivos o software de rescate de discos, kits de eliminación de ransomware, o descifradores y repositorios de claves de recuperación en línea. Uno de estos recursos es https://www.nomoreransom.org/, que a pesar de su apariencia inusual, es confiable.
No sea una víctima
A medida que los ataques informáticos utilizan medios más sofisticados para lanzar ataques de ransomware, los usuarios deben ser proactivos y hacer todo lo posible para evitar que estos ataques ocurran. Infórmese. Manténgase atento.