¿Qué es un virus ransomware?
¿Cómo evitar el virus ransomware, qué es y por qué es un método de ataque tan efectivo?
El virus ransomware es una forma avanzada de ciberataque, una de las mayores amenazas y dificiles de evitar a las que se enfrentan los equipos de seguridad en todo el mundo. El virus ransomware se usa para apuntar hacia cualquier equipo informático, desde ordenadores domésticos hasta grandes empresas, sistemas estatales y redes gubernamentales.
Aunque es muy simple, el virus ransomware es extremadamente dañino y dificil de evitar. Es un malware de forma que, cuando se descarga en un dispositivo, codifica o elimina todos los datos hasta que se paga un rescate para restaurarlo. Tiene el potencial de paralizar las redes y causar daños catastróficos. En la mayoría de ocasiones intentamos no pagarlo y tirar de copias de seguridad, ya que nadie te asegura que el pagar te devuelvan tus archivos.
Cuando se trata de archivos muy importantes y en los que no ha habido otro remedio, la empresa ha pagado y efectivamente ha conseguido recuperarlos, pero como ya te indicamos, esto no ocurre siempre y podrías ser víctima de un fraude.
Uno de los ejemplos más famosos de virus ransomware es el ataque del virus ransomware WannaCry.
WannaCry fue un malware que infectó más de 230.000 ordenadores en un solo día. Cifró todos los archivos que encontró en los ordenadores y solicitó a los usuarios que pagasen más de 300€ en bitcoin para restaurarlos.
Entonces, ¿cómo funciona el virus ransomware, por qué este tipo de malware es tan famoso y cómo podemos protegernos contra él?
El ransomware comienza con la descarga de software malicioso en un dispositivo, como un ordenador de sobremesa, portátil o teléfono inteligente. Esto generalmente ocurre debido a errores del propio usuario e ignorancia en los riesgos de seguridad.
Un método común de distribución de malware es a través de ataques de phishing. Esto implica que un atacante adjunte un documento infectado o URL a un correo electrónico, mientras lo oculta como original (tipo Word .doc o PDF .pfd) para engañar a los usuarios para que lo abran, lo que instalará el malware en su dispositivo.
Otro método de propagación de ransomware es usar un estilo de virus llamado TROYANO. Y como bien indica su nombre, implica ocultar el ransomware como si se tratase de un software original y luego infectar los dispositivos después de que los usuarios instalen este software.
Cifrado de archivos
El ransomware generalmente funciona muy rápido. En segundos, el software malicioso comenzará a ejecutarse en segundo plano en tu dispositivo y buscará todos los archivos de tu ordenador que a continuación se cifrarán, lo que significa que todos los datos dentro de ellos están codificados. Es probable que el ransomware elimine cualquier archivo que no pueda cifrar.
El ransomware infectará cualquier otro disco duro o dispositivo USB conectado a la máquina infectada. Todos los dispositivos o archivos nuevos agregados al dispositivo infectado también se cifrarán después de este punto. Después, el virus comenzará a enviar señales a todos los demás dispositivos de la red, para intentar infectarlos también.
Todo este proceso ocurre extremadamente rápido, y en solo unos minutos el dispositivo mostrará un mensaje como este:
Este es el mensaje que se muestra a los usuarios infectados con el ataque del ransomware WannaCry. Como puede ver, es una nota de ‘chantaje cibernético’, que le dice a los usuarios que sus archivos están bloqueados y que si no se realiza un pago, se eliminarán.
Es probable que los pagos se soliciten en bitcoin, ya que este método de pago no se puede rastrear, y a menudo hay una cuenta atrás, lo que presiona a las empresas para que actúen rápidamente al hacer pagos a sus atacantes y que no estén varios días buscando alternativas. Incluso cuando esta cuenta atrás llega a 0 o te piden más cantidad de dinero (a veces el doble de lo que te están pidiendo) o definitivamente te dice que los archivos han sido eliminados.
Existen diferentes tipos de ransomware. Algunos amenazan con sacar a la luz los datos cifrados, así cualquier persona o entidad tendría acceso a ellos, lo que puede ser perjudicial para las empresas que necesitan proteger los datos de clientes o negocios, pero también hay scareware, y son procesos que inundan tu equipo con ventanas emergentes y exige un rescate para resolver el problema. Siempre se aplica el mismo principio: un programa malicioso infecta la computadora y se solicita un pago para eliminarlo.
¿Por qué es tan eficaz el ransomware?
El ransomware puede ser muy perjudicial para las empresas, causando pérdida de productividad y, a menudo, pérdidas financieras. Lo más obvio es la pérdida de archivos y datos, que pueden representar cientos de horas de trabajo, o datos de clientes que son críticos para el buen funcionamiento de la empresa
También existe la pérdida de productividad ya que las máquinas serán inutilizables. Según Kaspersky, a las empresas les toma al menos una semana recuperar sus datos en la mayoría de los casos. Luego, por supuesto, existe la pérdida de dinero en pagar a una empresa de reparación de equipos informáticos, formatear las máquinas infectadas… para remediar el ataque y poner protección para evitar que vuelva a suceder.
Por estas razones, muchas empresas sienten que no tienen más remedio que pagar el rescate, aunque lo más recomendable es no hacerlo.
El ransomware se enfoca en las debilidades humanas
Para nuestros atacantes hay varias vías por las que introducirnos un ramsomware, ellos pueden confundir los antivirus con archivos que a priori no parecen peligrosos.
El correo electrónico es un punto débil en la infraestructura de seguridad de muchas empresas, y los hackers pueden explotar esto mediante el uso de correos electrónicos falsos para engañar a los usuarios y que abran links de descarga o archivos adjuntos maliciosos. Mediante el uso de troyanos, los piratas informáticos también atacan el error humano al hacer que se descarguen archivos maliciosos sin darnos cuenta.
El problema principal aquí es la falta de conciencia acerca de las amenazas de seguridad por parte de la mayoría de los usuarios, y muchas personas desconocen cómo se ven las amenazas y qué deberían evitar descargar o abrir en Internet o en correos electrónicos. Esta falta de conocimiento ayuda a que el ransomware se propague mucho más rápidamente.
Copia de seguridad y recuperación de datos para evitarlo
Si un ataque de ransomware tiene éxito y sus datos se ven comprometidos, la mejor manera de proteger su empresa es poder restaurar los datos que necesita rápidamente y minimizar el tiempo de inactividad. La mejor manera de proteger los datos es asegurarse de que estén respaldados en diferentes lugares, incluso en su área de almacenamiento principal, en discos locales, dispositivos externos y si es posible en la nube. En el caso de un ataque de ransomware, la copia de seguridad de los datos significa que podremos minimizar los daños y la pérdida de cualquier archivo cifrado para así recuperar la funcionalidad de los sistemas.
Seguridad en el equipo.
Una de las formas más importantes para detener el ransomware es tener antivirus efectivo. Estas soluciones se instalan en sus dispositivos de escritorio y evitan que cualquier malware infecte sus sistemas. También ayudan a los administradores la capacidad de ver cuándo los dispositivos se han visto comprometidos y garantizar que se hayan instalado actualizaciones de seguridad. (El antivirus nos avisa cuando ha bloqueado un ataque y donde se encontraba).
Los antivirus pueden ayudar a proteger contra descargas maliciosas y alertan a los usuarios cuando visitan sitios web riesgosos. No se garantiza que los antivirus sean 100% efectivos ya que los ciberdelincuentes siempre están tratando de crear nuevos malware que puedan esquivar las herramientas de seguridad, pero la seguridad de que nuestro equipo este protegido es algo esencial y de la que todo el mundo debería disponer.
Nuestra recomendación como empresa de informática (y esto ya es a nivel personal), ya que dependiendo de la empresa a la que llames te recomendarán uno u otro, serian Kaspersky o Nod32.
No dudes en ponerte en contacto con nosotros para lo que necesites sobre la protección de tu ordenador, empresa o cualquier duda que te haya podido surgir leyendo esta noticia.
