Ransomware: guía completa sobre este ciberataque (y lo que nunca debemos hacer si somos víctimas)

En entrevista con El Comercio, Álvaro Santa María, gerente general de IBM Perú, indicó que “el ransomware ha democratizado la ciberseguridad”. “Te lo pueden hacer a ti en tu computadora personal o le pueden hacer ransomware a un cliente, a una empresa muy grande”, aseguró. Es decir, cualquiera puede llegar a ser víctima de este tipo de ciberataque.

El caso más resonante en los últimos años es el de Kaseya, compañía de Florida que proporciona software de gestión de tecnología de la información, en julio de 2021. De acuerdo con The Guardian, este ciberataque afectó a entre 800 a 1.500 empresas, pero investigadores creen que el número pudo ascender hasta 2.000. “El hackeo de la firma Kaseya, que ya se está calificando como ‘el mayor ataque de ransomware registrado’, ha afectado a cientos de empresas en todo el mundo, incluidos supermercados en Suecia y escuelas en Nueva Zelanda”, señaló el diario.

MIRA: WhatsApp: ¿cómo saber si otra persona ha iniciado sesión con mi cuenta en otro dispositivo?

¿Qué ocurrió? Los sistemas de Kaseya son utilizados por empresas pequeñas que no tienen los fondos suficientes como para administrar sus propios departamentos de tecnología (IT). “Kaseya envía regularmente actualizaciones a sus clientes para garantizar la seguridad de sus sistemas. Pero en este caso, esas funciones de seguridad se subvirtieron para enviar software malicioso a los sistemas de los clientes”, aseguró el diario británico. Incluso el Comité Nacional Republicano de Estados Unidos fue afectado por este ciberataque.

Afiliados del grupo hacker ruso REvil aseguraron que este era el responsable del ciberataque. Además, pidieron un pago de US$ 70 millones (más de S/. 265 millones aproximadamente) para liberar el descifrador universal con el que podrían desbloquear todos los sistemas afectados.

De acuerdo con el Informe de Ciberamenazas 2022 de SonicWall, se registraron en 2021 más de “623,3 millones de ataques de ransomware a nivel global. Este total ha supuesto un aumento del 105% respecto a 2020 y más del triple del número visto en 2019″. Es decir, esta forma de ciberataque se está convirtiendo en una las armas más utilizadas por los cibercriminales.

MIRA: Instagram: NGL, la app para preguntas y respuestas puede poner en peligro tus datos personales

¿Cómo funciona el ransomware exactamente?

Según Martina López, investigadora de ciberseguridad de ESET, en entrevista con este Diario, es un programa malicioso que pertenece a la familia del malware. “El objetivo del ransomware es que, para la víctima, los archivos queden inaccesibles, pero para el cibercriminal, no”, aseguró.

Para lograr este cometido, los ciberdelincuentes bloquean el acceso con algoritmos. “Esto generalmente lo hacen colocando algoritmos de cifrados. Es decir, algoritmos matemáticos muy complejos que, con una contraseña lo suficientemente larga y segura, permiten bloquear el acceso. Habrá ciertos archivos que no se podrán leer, como fotografías, textos, vídeos, audios, bases de datos (en casos de compañías). La única forma de deshacer esa acción, ese cifrado, es teniendo la clave que el cibercriminal generó cuando ejecutó justamente esta acción”, añadió López.

Por este motivo, se le denomina “ransom”, palabra en inglés cuyo significado es “rescate”. “La única persona que tiene la capacidad de desbloquear esos archivos, es el cibercriminal. Allí, este chantajea a la víctima, le dice que con un pago le va a devolver sus archivos, y por eso es la palabra ‘ransom’”, afirmó la investigadora.

MIRA: Play Store y App Store: ¿Qué debemos verificar antes de descargar cualquier app?

Ransomware: ¿cuánto cuesta pagar el “rescate” de nuestra información?

De acuerdo con López, no existe un monto exacto o una cantidad aproximada. “Depende mucho del objetivo y de la banda cibercriminal en sí. A los usuarios finales se les puede pedir del orden de cientos o miles de dólares”, indicó. Este “rescate” suele pedirse en criptomonedas y no en movimientos bancarios que dejen rastro.

“Las amenazas que vamos a encontrar, quizás más frecuentes en usuarios, van a ser las que estén en descargas fraudulentas, en cracks, en programas supuestamente gratuitos, cuando sus versiones oficiales son pagas. Y en esas es probable que el monto no supere los US$ 10.000 (S/. 38.000 aproximadamente), un poco por abajo de eso”, aseguró la investigadora.

Además, indicó que para las empresas, este monto suele aumentarse considerablemente. “Ya cuando estamos hablando de compañías, el monto obviamente asciende a miles o millones de dólares”, aseguró López.

Un caso de pago por ransomware es el de Travelex, empresa de cambio de divisas, en enero de 2020. De acuerdo con The Wall Street Journal, la empresa pagó US$ 2,3 millones en bitcoins (más de S/. 8 millones aproximadamente) a REvil para que sus sistemas se reactivasen tras dos semanas de inactividad. El grupo utilizó el Sodinokibi, un ransomware altamente evasivo y actualizado que encripta archivos y elimina el mensaje de solicitud de rescate después de la infección. Este informa a la víctima que debe pagar un rescate en bitcoin y que si no se paga a tiempo, la demanda se duplicará.

Otro es el de la Universidad de California, la cual pagó US$ 1,14 millones (más de S/. 4,3 millones aproximadamente) en junio de 2020, según Forbes. El ciberataque, que fue realizado con Netwalker (una cepa de Mailto), estuvo dirigido a la Escuela de Medicina de la casa de estudios.

Sin embargo, existen casos donde las empresas lograron detener el ataque o simplemente no creyeron en las amenazas de los cibercriminales. Por ejemplo, el club Manchester United también fue objetivo de un ataque de ransomware en noviembre de 2020. Pero según sus voceros, los datos personales asociados con sus hinchas y clientes no fueron vulnerados, según recogió The Guardian.

El mismo mes, el Tribunal Superior de Justicia de Brasil también sufrió un ataque de ransomware, según recogió UOL. Este ciberataque generó que el personal de IT apagase la red del tribunal para evitar que el malware se propagase, pero varias agencias del Gobierno brasileño también fueron afectadas.

MIRA: Ciberseguridad: 66% de los padres no saben si sus hijos han sido víctimas de ciberataques

¿Qué debemos hacer en caso seamos víctimas de ransomware?

De acuerdo con la investigadora, lo mejor es no realizar algún tipo de pago. “Evitar todo contacto con el cibercriminal y evitar cualquier pago es lo mejor que podemos hacer. La realidad, es que no hay nada que le garantice a la víctima que el cibercriminal pueda desbloquear los archivos después del pago. Es decir, el criminal tranquilamente podría desaparecer con el dinero. Hay casos en donde los archivos, han sido devueltos y casos en donde no”, aseguró López.

Asimismo, instó a tener sentido común, pues al fin y al cabo, la víctima estaría lidiando con un ciberdelincuente. “Es un cibercriminal. Confiar en la buena voluntad de una persona que ya está haciendo un crimen, no es una buena idea”, añadió la investigadora.

MIRA: Facebook: ¿cómo recuperar mi cuenta si he olvidado la contraseña o me han hackeado?

En la parte técnica, López dio algunos consejos. “Reiniciar la computadora a fábrica. Es decir, poder hacer una limpieza total. Obviamente, no seguir interactuando ni sacar ningún archivo de la computadora porque no sabemos si tiene la amenaza dentro o no. Además del cifrado, el cibercriminal puede haber dejado algún tipo de amenaza duplicada para que, si decidimos extraer la información con una memoria extraíble y la conectamos en otra computadora, nosotros mismos podríamos estar replicando la infección. Y es algo que no queremos”, afirmó.

Sobre si se podría revertir esta situación, la investigadora de ESET señaló que no es algo común. “Hay muy pocos casos en los cuales un ataque de ransomware es reversible. Hay ciertos programas que pueden revertir el cifrado de los archivos, pero son muy pocos, y muchas compañías se aprovechan de las víctimas para pedirles un pago por el supuesto descifrado. Siempre desconfiar de ese tipo de publicaciones que mencionan que les van a devolver los archivos en un santiamén”, aseveró.

MIRA: Criptomonedas: detectaron casi 50 mil intentos de robo hacia billeteras virtuales tan solo en abril

¿Cómo podemos prevenir un ataque de ransomware?

López indicó que no debemos dejarnos llevar por una oferta gratuita en internet. “Tengamos cuidado con las descargas que realizamos. Si bien un programa gratuito, cuando su versión es paga, puede llamar mucho la atención y puede ser muy atractivo, hay que tener en cuenta que las consecuencias se pueden encontrar a la hora de hacer descargas de programas, cuya procedencia no tenemos verificada”, aseguró.

Asimismo, la investigadora afirmó que los emails podrían contener este software malicioso. “Tengamos cuidado con lo que abrimos a la hora de recibir documentos. No solo no descargarlos de sitios donde no sabemos la procedencia, sino que estos también pueden venir adjuntos en correos electrónicos, por ejemplo. Pueden venir contenidos en cualquier tipo de comunicación, bajo la excusa que es el Gobierno que nos está mandando una multa, o que se hacen pasar por el banco que nos envía una factura”, añadió.

Es decir, el ransomware no solo llega como tal, pues muchas veces puede llegar disfrazado como phishing. Esta modalidad funciona con el cibercriminal haciéndose pasar por una persona o entidad de confianza para la víctima, con el fin de robarle información personal o instalar software malicioso en su dispositivo.

MIRA: Google cifrará las contraseñas en tu dispositivo: ¿cómo activo esta función?

Por ello, López aseguró que es importante tener un respaldo de nuestra información. “Contemos con algún tipo de solución, tener un respaldo, ya sea en la nube o en aplicaciones como Google Drive, por ejemplo, donde podamos hacer una copia de archivos importantes que no podamos perder, o no queramos perder”, indicó.

En el caso de las empresas, este tipo de prevención requiere más planeamiento, además de contar con cualquier tipo de seguridad. “En el caso de las compañías ya es un poco más complejo porque no tenemos solo una persona que monitorear. Acá es donde la solución se vuelve muchísimo más multifactorial”, señalo la investigadora.

“Tenemos desde el lado tecnológico, configurar algún tipo de herramienta que tenga un filtro anti-phishing o anti-spam va a ser lo primero. Estos eliminarán probablemente el grueso de este tipo de comunicaciones, ya que con detectar algún archivo malicioso que venga junto, o alguna URL que ya esté marcada como maliciosa, van a filtrar automáticamente los correos electrónicos”, añadió López.

MIRA: WhatsApp: las estafas más comunes (y peligrosas) que podemos sufrir al abrir cualquier enlace

Por ello, el segundo paso es la capacitación del personal. “No nos podemos detener allí, porque es probable que alguna de estas amenazas sean lo suficientemente inteligentes como para poder evadir algunos de estos controles. Ahí es donde entra en acción la capacitación al usuario”, afirmó la investigadora.

López también especificó que esto involucra a todos los trabajadores y que debe ser frecuentemente. “No solo a los colaboradores que ingresen como nuevos, sino también a los que ya están, porque este tipo de amenazas suele cambiar constantemente”, aseveró.

Además, la investigadora instó a que las empresas realicen respaldos de su información. “La compañía no puede perder el flujo de realizar respaldos cada cierta cantidad de tiempo. De esta forma, puede volver a operar de la manera más rápida si sufre alguno de estos ataques”, concluyó.