Qué es el ransomware y cómo reaccionar a este ciberataque

De las varias modalidades que existen, una de las que más está proliferando es el ransomware o secuestro de datos, por lo lucrativo que puede resultar para los ciberdelincuentes. Estos ponen en el blanco particularmente a empresas, que ya tienen en esta extorsión una de sus mayores amenazas, pero el riesgo ya no está solo en las grandes corporaciones, empresas o instituciones, sino en las más vulnerables. Entre 2019 y 2020, más de 600 pueblos, ciudades y condados de EEUU sufrieron ataques de ransomware que obligaron a cerrar hospitales, departamentos de policía y otros servicios públicos.

El ransomware es un tipo de software malicioso que se adueña de la información que contiene el dispositivo al que infecta, encriptándola e impidiendo el acceso a su propietario. Para recuperar el control sobre esos datos, los ciberdelincuentes piden un rescate (ransom en inglés, el término al que debe su nombre). Una vez infectado, el usuario suele ver una nota en pantalla (nota de rescate) en la que le informan de que sus archivos han sido secuestrados y le detallan cómo liberarlos, generalmente a través de un pago en monedas digitales, lo que lo convierte en un delito difícil de rastrear.

El ransomware llega a un dispositivo por las mismas vías que otros programas de malware. La más común sigue siendo el phishing, principalmente al descargar un archivo adjunto de un correo electrónico, y otras trampas como pinchar en un enlace o instalar una aplicación a la que se le ha dado una apariencia normal. Además del phishing, pueden infectar un dispositivo con ataques a través de proveedores cuando el objetivo es una compañía, o mediante el robo de credenciales. La mejor manera de evitar este y otros virus es que los usuarios sean conscientes de esta amenaza y no bajen la guardia al estar en línea, permaneciendo alerta con el correo electrónico o en páginas webs desconocidas, y realizar copias de seguridad, que pueden ser un salvavidas para reponerse de una intrusión de ransomware.

Las víctimas del secuestro de datos son tanto personas particulares como empresas. Incluso han llegado a atacar a sistemas gubernamentales, buscando siempre el beneficio económico. Las organizaciones son más propensas a terminar pagando el rescate, porque mientras sus datos se encuentran encriptados, su capacidad operativa se puede ver muy afectada o paralizada. El blanco preferido de los atacantes cibernéticos son las pequeñas y medianas empresas, por lo general peor preparadas que compañías de mayor volumen y con sistemas de seguridad más débiles.

La realidad muestra que muchas de las víctimas terminan pagando el rescate (hasta el 50-60 % de las empresas que lo sufren, según el Instituto Nacional de Ciberseguridad español, INCIBE), pero es un error hacerlo. Este organismo recuerda que no se debe aceptar la extorsión porque:

• Pagar no es garantía de recuperar el control de los datos, no hay que olvidar que quienes los secuestran son delincuentes.
• Quien realiza el pago se convierte en un blanco más vulnerable, porque los cibercriminales ya saben que está dispuesto a ello.
• Después de pagar, es posible que te soliciten un rescate mayor. De hecho, las estadísticas al respecto muestran que es una práctica habitual.
• Aceptar la extorsión alimenta el negocio de los ciberdelincuentes.

Pese a que ceder al chantaje y pagar el rescate no es una buena opción, por razones tanto prácticas como morales, existe todo un debate en el mundo acerca de cómo se debe regular este asunto. Muchos países ya han avanzado en legislaciones que prohíben el pago a los ciberdelincuentes, pero los expertos creen que esta medida no es efectiva para poner fin a esta práctica, que sigue teniendo lugar por otros cauces, con una enorme dificultad para trazar el rastro del dinero porque este se mueve en criptomonedas.

Para encontrar una respuesta rápida tras un ataque de ransomware, puede ser muy útil la página www.nomoreransom.com, creada por varias policías nacionales y grandes compañías de seguridad informática. Funciona como una base de datos para las distintas variantes de ransomware que se van conociendo, y se actualiza constantemente. Con la ayuda de un asistente se puede identificar qué tipo de ataque se ha sufrido, y, si existe una solución, la página ofrece herramientas e instrucciones para desbloquear la información secuestrada.

Pero los propios responsables del proyecto cuentan que no es un instrumento infalible, porque en la lucha contra el secuestro de datos la mayor dificultad reside en la permanente evolución de las armas de los cibercriminales. Por eso, los expertos policiales y de la ciberseguridad ponen el acento en la prevención. El surgimiento de nuevas variantes de malware y ransomware hace que ningún antivirus o sistema de seguridad sea una garantía al 100%, y obliga, principalmente a las empresas, a no perder de vista a las ciberamenazas como uno de sus grandes riesgos.

En la prevención del ransomware, también es clave la realización de copias de seguridad que se guarden de forma aislada. Y es que, una vez infectado un dispositivo, una de las pocas formas efectivas de recuperarse del ataque sin tener que recurrir al pago del rescate es restaurar los datos en el mismo disco duro formateado, o en uno nuevo. Es probable que no se recuperen todos los datos, pero al menos se puede continuar con la actividad del dispositivo o la empresa.

Estos son algunos consejos para para saber cómo reaccionar en un primer momento, pero la mejor opción siempre será contar con profesionales.

El 60% de las pymes que sufre un ciberataque grave tiene que cerrar 6 meses después. Ya no es solo el impacto directo y la pérdida reputacional, hay otros daños económicos, como la interrupción de negocio o los procesos de reparación de los equipos, que suponen un coste relevante especialmente para los negocios más pequeños. Es un riesgo que se puede proteger mediante seguros especializados en ciberseguridad, que no solo sirven para ofrecer una compensación económica por las pérdidas causadas. También intervienen desde el primer momento y ponen a disposición del asegurado un servicio de expertos informáticos para solucionar el incidente, que pueden acceder a los sistemas, recuperar datos y eliminar software malicioso, entre otras acciones. Si el ataque ha producido daños a terceros (clientes y proveedores, por ejemplo) el ciberseguro también responderá, así como por la pérdida de ingresos que se haya podido sufrir durante el ataque.

Además de la parte técnica, las aseguradoras se pueden encargar de cuestiones legales, como el cumplimiento de la normativa de protección de datos, que obliga a comunicar a las autoridades cualquier robo que haya afectado a datos de terceros. De manera preventiva, también pueden aportar un análisis de las vulnerabilidades de la red de una empresa, e incluir servicios como antivirus y otros softwares de seguridad.

ARTÍCULOS RELACIONADOS: