El ransomware es un tipo de malware que bloquea los datos o el dispositivo de una víctima y amenaza para mantenerlo bloqueado. Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 por ciento de todos los ciberataques en 2022.

Los primeros ataques de ransomware simplemente exigían un rescate a cambio de la clave de cifrado necesaria para recuperar el acceso a los datos afectados o el uso del dispositivo infectado. Mediante la realización de copias de seguridad de los datos de forma regular o continua, una organización podría limitar los costes derivados de este tipo de ataques de cibersecuestro y, a menudo, evitar el pago de la petición de rescate.

Sin embargo, en los últimos años, los ataques de cibersecuestro han evolucionado para incluir ataques de doble y triple extorsión, que aumentan considerablemente las apuestas, incluso para las víctimas que mantienen rigurosamente las copias de seguridad de los datos o pagan el rescate inicial. Los ataques de doble extorsión añaden la amenaza de robar los datos de la víctima y filtrarlos en internet. Además, los ataques de triple extorsión amenazan con utilizar los datos robados para atacar a los clientes o socios comerciales de la víctima.

El X-Force Threat Intelligence Index de 2023 descubrió que la cuota del ransomware en todos los incidentes de ciberseguridad disminuyó en un 4 por ciento de 2021 a 2022, probablemente porque los defensores tuvieron más éxito detectando y previniendo los ataques de cibersecuestro. Pero este hallazgo positivo fue eclipsado por una enorme reducción del 94 por ciento en el tiempo promedio de ataque de 2 meses a menos de 4 días, lo que daba a las organizaciones muy poco tiempo para detectar y combatir posibles ataques.

Las víctimas de ransomware y los negociadores son reacios a revelar los importes de pago de rescate. Sin embargo, según la Guía definitiva del ransomware, las demandas de rescate han crecido hasta alcanzar las cantidades de siete y ocho cifras. Y los pagos de rescate son solo una parte del coste total de una infección de ransomware. Según el informe Cost of a Data Breach 2022 de IBM, el coste medio de una vulneración de datos provocada por un ataque de ransomware (sin incluir el pago del rescate) fue de 4,54 millones de dólares. Se calcula que los ataques de ransomware cuestan a las víctimas un total de 30 millones de dólares en 2023.

Hay dos tipos generales de ransomware. El tipo más común, denominado ransomware de cifrado o criptoransomware, mantiene como rehenes los datos de la víctima cifrándolos. A continuación, el atacante exige un rescate a cambio de proporcionar la clave de cifrado necesaria para descifrar los datos.

La forma menos común de ransomware, llamada ransomware no cifrado o ransomware de bloqueo de pantalla, bloquea todo el dispositivo de la víctima, generalmente bloqueando el acceso al sistema operativo. En lugar de iniciarse como de costumbre, el dispositivo muestra una pantalla en la que se pide el rescate.

Estos dos tipos se pueden dividir en las siguientes subcategorías:

• Leakware/doxware es un ransomware que roba o exfiltra datos confidenciales y amenaza con publicarlos. Si bien las formas anteriores de leakware o doxware solían robar datos sin cifrarlos, las variantes actuales suelen hacer ambas cosas.
  
  
• El ransomware móvil incluye todo el ransomware que afecta a los dispositivos móviles. El ransomware móvil, que se entrega a través de aplicaciones maliciosas o mediante descargas ocultas, suele ser un ransomware que no cifra, ya que las copias de seguridad automatizadas de los datos en la nube, estándar en muchos dispositivos móviles, facilitan la reversión de los ataques de cifrado.
  
  
• El ransomware destructivo o de borrado de datos amenaza con destruir los datos si no se paga el rescate, excepto en los casos en que el ransomware destruye los datos incluso si se paga el rescate. A menudo se sospecha que este último tipo de borrado de datos lo utilizan actores de estados-nación o hacktivistas en lugar de ciberdelincuentes comunes.
  
  
• El scareware es justo lo que parece: ransomware que intenta asustar a los usuarios para que paguen un rescate. El scareware podría plantearse como mensaje de una agencia de policía, acusando a la víctima de un delito y exigiendo una multa; podría falsificar una alerta legítima de infección por virus, animando a la víctima a comprar software antivirus o antimalware. A veces, el scareware es el ransomware, que cifra los datos o bloquea el dispositivo; en otros casos, es el vector del ransomware, que no cifra nada pero coacciona a la víctima para que descargue el ransomware.

Los ataques de cibersecuestro pueden utilizar varios métodos, o vectores, para infectar una red o dispositivo. Algunos de los vectores de infección por ransomware más destacados son:

• Correos electrónicos de phishing y otros ataques de ingeniería social: los correos electrónicos de phishing manipulan a los usuarios para descargar y ejecutar un adjunto malicioso (que contiene el ransomware disfrazado como un archivo .pdf, documento de Microsoft Word u otro archivo de aspecto inofensivo) o visitar un sitio web malicioso que pase el ransomware a través del navegador web del usuario. En el "Estudio sobre la ciberresiliencia en una organización" de 2021 de IBM, el phishing y otras tácticas de ingeniería social causaron el 45% de todos los ataques de cibersecuestro notificados por los participantes de la encuesta, lo que los convierte en los vectores de ataque de cibersecuestro más comunes.
  
  
• Vulnerabilidades del sistema operativo y del software: los ciberdelincuentes a menudo explotan las vulnerabilidades existentes para inyectar código malicioso en un dispositivo o red. Las vulnerabilidades de día cero, que son vulnerabilidades desconocidas para la comunidad de seguridad o identificadas pero aún no parcheadas, suponen una amenaza particular. Algunas bandas de ransomware compran información sobre imperfecciones de día cero de otros hackers para planificar sus ataques. Los piratas informáticos también han utilizado de manera eficaz las vulnerabilidades parcheadas como vectores de ataque, como ocurrió en el ataque WannaCry de 2017 que se analiza a continuación.
  
  
• Robo de credenciales: los ciberdelincuentes pueden robar las credenciales de los usuarios autorizados, comprarlas en la dark web o descifrarlas mediante fuerza bruta. A continuación, pueden utilizar estas credenciales para iniciar sesión en una red u ordenador e implementar directamente el ransomware. El protocolo de escritorio remoto (RDP), un protocolo propietario desarrollado por Microsoft para permitir a los usuarios acceder a un ordenador de forma remota, es un objetivo popular de robo de credenciales entre los atacantes de ransomware.
  
  
• Otro malware: los piratas informáticos a menudo usan malware desarrollado para otros ataques para entregar un ransomware a un dispositivo. El troyano Trickbot, por ejemplo, originalmente diseñado para robar credenciales bancarias, se utilizó para difundir la variante de ransomware Conti a lo largo de 2021.
  
  
• Descargas ocultas: los piratas informáticos pueden usar sitios web para pasar ransomware a dispositivos sin el conocimiento de los usuarios. Los kits de exploits utilizan sitios web comprometidos para escanear los navegadores de los visitantes en busca de vulnerabilidades en las aplicaciones web que puedan utilizar para inyectar ransomware en el dispositivo. La publicidad maliciosa (anuncios digitales legítimos que han sido comprometidos por piratas informáticos) puede transmitir ransomware a los dispositivos, incluso si el usuario no hace clic en el anuncio.

Los ciberdelincuentes no necesariamente necesitan desarrollar su propio ransomware para explotar estos vectores. Algunos desarrolladores de ransomware comparten su código de malware con los ciberdelincuentes a través de acuerdos de ransomware como servicio (RaaS). El ciberdelincuente, o "afiliado", utiliza el código para llevar a cabo un ataque y luego divide el pago del rescate con el desarrollador. Es una relación mutuamente beneficiosa: los afiliados pueden beneficiarse de la extorsión sin tener que desarrollar su propio malware, y los desarrolladores pueden aumentar sus beneficios sin lanzar ciberataques adicionales.

Los distribuidores de ransomware pueden vender ransomware a través de mercados digitales o contratar afiliados directamente a través de foros en línea o vías similares. Los grandes grupos de ransomware han invertido importantes sumas de dinero para atraer afiliados. El grupo REvil, por ejemplo, gastó 1 millones de dólares como parte de un impulso de contratación en octubre de 2020.

Desde 2020, los investigadores en materia de ciberseguridad han identificado más de 130 familias o variantes de ransomware distintas y activas: cepas únicas de ransomware con sus propias firmas de código y funciones. 

Entre las muchas variantes de ransomware que han circulado a lo largo de los años, varias cepas son especialmente notables por el alcance de su destrucción, cómo influyeron en el desarrollo del ransomware o las amenazas que aún representan hoy en día.
 

CryptoLocker

CryptoLocker, que apareció por primera vez en septiembre de 2013, es conocido por haber dado el pistoletazo de salida a la era moderna del ransomware. CryptoLocker fue una de las primeras familias de ransomware en cifrar con fuerza los archivos de los usuarios gracias a una red de equipos secuestrados. Se calcula que extorsionó unos 3 millones de USD antes de que un esfuerzo internacional de las fuerzas del orden le cerrara el paso en 2014. El éxito de CryptoLocker generó numerosos imitadores y allanó el camino para variantes como WannaCry, Ryuk y Petya (descritas a continuación).
 

WannaCry

El primer criptogusano de gran repercusión (un ransomware capaz de propagarse por sí mismo a otros dispositivos de la red), WannaCry, atacó a más de 200.000 ordenadores (en 150 países) que los administradores no habían parcheado contra la vulnerabilidad EternalBlue de Microsoft Windows. Además de cifrar datos confidenciales, el ransomware WannaCry amenazó con borrar archivos si el pago no se recibía en un plazo de siete días. Sigue siendo uno de los mayores ataques de ransomware hasta la fecha, con costes estimados de hasta 4.000 millones de USD.
 

Petya y NotPetya

A diferencia de otros criptoransomware, Petya cifra la tabla del sistema de archivos en lugar de los archivos individuales, lo que hace que el ordenador infectado no pueda arrancar Windows. NotPetya, una versión muy modificada, se utilizó para llevar a cabo un ciberataque a gran escala, principalmente contra Ucrania, en 2017. NotPetya era un borrador de datos incapaz de desbloquear los sistemas incluso después de pagar el rescate.
 

Ryuk

Visto por primera vez en 2018, Ryuk popularizó los ataques de "ransomware de caza mayor" contra objetivos específicos de alto valor, con demandas de rescate que promedian más de 1 millones de USD. Ryuk puede localizar y deshabilitar las funciones de copia de seguridad y restauración del sistema; en 2021 se descubrió una nueva cepa con capacidades de criptogusano.
 

DarkSide

Dirigido por un grupo que se sospecha que opera desde Rusia, DarkSide es la variante de ransomware que atacó el oleoducto estadounidense Colonial Pipeline el 7 de mayo de 2021, considerado el peor ciberataque contra infraestructuras cruciales estadounidenses hasta la fecha. Como resultado, el oleoducto que suministra el 45 por ciento del combustible de la costa este de los EE. UU. se cerró temporalmente. Además de lanzar ataques directos, el grupo DarkSide también concede licencias de su ransomware a afiliados a través de acuerdos RaaS.
 

Locky

Locky es un ransomware de cifrado con un método distinto de infección: utiliza macros ocultas en archivos adjuntos de correo electrónico (archivos de Microsoft Word) disfrazados de facturas legítimas. Cuando un usuario descarga y abre el documento de Microsoft Word, las macros maliciosas descargan de forma secreta la carga útil del ransomware en el dispositivo del usuario.
 

REvil/Sodinokibi

REvil, también conocido como Sodin o Sodinokibi, ayudó a popularizar el método RaaS de la distribución del ransomware. Conocido por su uso en la caza mayor y los ataques de doble extorsión, REvil estuvo detrás de los ataques de 2021 contra las notables JBS USA y Kaseya Limited. JBS pagó un rescate de 11 millones de USD después de que toda su operación de proceso de carne de vacuno en EE.UU. se viera interrumpida, y más de 1.000 clientes de software de Kaseya se vieron afectados por un tiempo de inactividad significativo. El Servicio Federal de Seguridad de Rusia informó que había desmantelado REvil y acusado a varios de sus miembros a principios de 2022.

Hasta 2022, la mayoría de las víctimas de ransomware cumplían con las demandas de rescate de sus atacantes. Por ejemplo, en el "Estudio sobre la ciberresiliencia en una organización" de 2021 de IBM, el 61% de las empresas participantes que sufrieron un ataque de cibersecuestro en los dos años posteriores al estudio afirmaron haber pagado un rescate.

Pero informes recientes señalan un cambio en 2022. La empresa de respuesta a incidentes de ciberextorsión Coveware publicó sus conclusiones de que solo el 41 por ciento de las víctimas de ransomware de 2022 pagaron un rescate, en comparación con el 51 por ciento en 2021 y el 70 por ciento en 2020. Y Chainanalysis, un proveedor de plataformas de datos blockchain, informó de que los atacantes de ransomware extorsionaron a las víctimas casi un 40 % menos de dinero en 2022 que en 2021 (el enlace reside fuera de ibm.com).Los expertos apuntan a una mejor preparación contra los ciberdelitos (incluidas las copias de seguridad de datos) y a una mayor inversión en tecnología de prevención y detección de amenazas como impulsores potenciales detrás de esta inversión.
 

Orientación para la aplicación de la ley

Las agencias federales de aplicación de la ley de EE. UU. disuaden unánimemente a las víctimas de ransomware de pagar demandas de rescate. Según el Grupo de Trabajo Conjunto de Investigación Cibernética Nacional (NCIJTF), una coalición de 20 agencias federales estadounidenses asociadas encargadas de investigar las ciberamenazas:

"El FBI no anima a pagar un rescate a los actores criminales. El pago de un rescate puede envalentonar a los adversarios para atacar más organizaciones, alentar a otros actores criminales a participar en la distribución de ransomware y/o financiar actividades ilícitas. El pago del rescate tampoco garantiza que se recuperen los archivos de una víctima".

Las fuerzas del orden recomiendan que las víctimas de ransomware denuncien los ataques a las autoridades competentes, como el Centro de Denuncias de Delitos en Internet (IC3) del FBI, antes de pagar un rescate. Algunas víctimas de ataques de cibersecuestro pueden estar legalmente obligadas a informar sobre infecciones de ransomware independientemente de si se paga un rescate. Por ejemplo, la conformidad con la HIPAA generalmente requiere que las entidades sanitarias informen de cualquier vulneración de datos, incluidos los ataques de cibersecuestro, al Departamento de Salud y Servicios Humanos.

Bajo ciertas condiciones, el pago de un rescate puede ser ilegal. Según un aviso de 2020 de la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de EE. UU., el pago de un rescate a atacantes de países sometidos a sanciones económicas estadounidenses (como Rusia, Corea del Norte o Irán) constituiría una violación de la normativa de la OFAC y podría acarrear sanciones civiles, multas o cargos penales.

Para defenderse contra las amenazas de ransomware, las agencias federales como CISA, NCIJFT y el Servicio Secreto de los EE. UU. recomiendan que las organizaciones tomen ciertas medidas de precaución, tales como:

• Mantener copias de seguridad de datos confidenciales e imágenes del sistema, idealmente en discos duros u otros dispositivos que se pueden desconectar de la red.
  
  
• Aplicar parches de manera regular para ayudar a combatir los ataques de cibersecuestro que aprovechan el software y la vulnerabilidad del sistema operativo.
  
  
• Actualizar las herramientas de ciberseguridad , incluido el software antimalware y antivirus, los cortafuegos, las herramientas de monitorización de redes y las pasarelas web seguras, así como las soluciones de ciberseguridad empresarial, como la orquestación, automatización y respuesta de seguridad (SOAR), la detección y respuesta de endpoints (EDR), la gestión de eventos e información de seguridad (SIEM) y la detección y respuesta ampliadas (XDR), que ayudan a los equipos de seguridad a detectar y responder al ransomware en tiempo real.
  
  
• Formación sobre ciberseguridad para empleados para ayudar a los usuarios a reconocer y evitar el phishing, la ingeniería social y otras tácticas que pueden conducir a infecciones de ransomware.
  
  
• Implementar políticas de control de acceso, incluida la autenticación multifactor, la arquitectura zero trust, la segmentación de red y medidas similares que pueden impedir que el ransomware alcance datos particularmente sensibles, y evitar que los criptogusanos se propaguen a otros dispositivos de la red.

Aunque las herramientas de descifrado para algunas variantes de ransomware están disponibles públicamente a través de proyectos como No More Ransom, la corrección de una infección activa por ransomware a menudo requiere un enfoque multifacético. Consulte la Guía definitiva sobre ransomware de IBM® Security para ver un ejemplo de un plan de respuesta ante incidentes de ransomware modelado después del ciclo de vida de las incidencias del National Institute of Standard and Technology (NIST).

1989: el primer ataque documentado de cibersecuestro, conocido como troyano AIDS o "ataque P.C. Cyborg", se distribuyó a través de disquetes. Ocultaba directorios de archivos en el ordenador de la víctima y exigía 189 USD para desocultarlos. Pero como cifró los nombres de archivo en lugar de los propios archivos, era fácil para los usuarios revertir los daños sin pagar un rescate.

1996: al analizar las imperfecciones del virus troyano AIDS, los científicos informáticos Adam L. Young y Moti Yung advirtieron sobre futuras formas de malware que podrían usar criptografía de clave pública más sofisticada para mantener como rehenes los datos confidenciales. 

2005: tras relativamente pocos ataques de cibersecuestro a principios de la década de 2000, comienza un repunte de las infecciones, centrado en Rusia y Europa del Este. Aparecen las primeras variantes que utilizan el cifrado asimétrico. A medida que el nuevo ransomware ofrecía formas más efectivas de extorsionar dinero, más ciberdelincuentes comenzaron a propagar ransomware en todo el mundo.

2009: la introducción de criptomonedas, especialmente Bitcoin, ofrece a los ciberdelincuentes una forma de recibir pagos de rescate no rastreables, impulsando el siguiente aumento en la actividad del ransomware.

2013: la era moderna del ransomware comienza con CryptoLocker inaugurando la ola actual de ataques de cibersecuestro altamente sofisticados basados en cifrado que solicitan el pago en criptomonedas.

2015: la variante de ransomware Tox introduce el modelo de ransomware como servicio (RaaS).

2017: aparece WannaCry, el primer criptogusano autorreplicante ampliamente utilizado.

2018: Ryuk popularizó la caza mayor del ransomware.

2019: Los ataques de cibersecuestro de doble y triple extorsión comienzan a aumentar. Casi todos los incidentes de ransomware a los que ha respondido el equipo IBM Security X-Force Incident Reponse desde 2019 ha implicado la doble extorsión.

2022: la apropiación de hilos, en la que los ciberdelincuentes se meten en las conversaciones en línea de sus objetivos, se perfila como un vector de ransomware destacado.