Ideas clave
El ransomware es un tipo de malware que cifra o bloquea archivos en el dispositivo de la víctima y exige un pago, normalmente en criptomonedas, para restaurar el acceso.
El ransomware comúnmente se propaga a través de correos de phishing, kits de explotación y publicidad maliciosa (malvertising).
El ransomware moderno a menudo utiliza una táctica de doble extorsión: los atacantes cifran archivos y amenazan con publicar datos robados si no se paga el rescate.
Protegerte implica mantener copias de seguridad regulares, mantener el software actualizado y ser prudente con los enlaces y los archivos adjuntos de correo electrónico.
Introducción
El ransomware es un tipo de software malicioso diseñado para bloquear el acceso a un sistema informático o a sus datos hasta que se pague una suma de dinero. Se ha convertido en una de las formas de ciberdelito más disruptivas, afectando a personas, hospitales, empresas y agencias gubernamentales de todo el mundo.
A diferencia de otros tipos de malware que pueden intentar mantenerse ocultos, el ransomware se anunciará. Una vez que cifra tus archivos, muestra una solicitud de pago, normalmente en criptomonedas, a cambio de una clave de descifrado. No hay garantía de que los atacantes respeten el pago.
El primer ransomware documentado apareció en 1989. Desde entonces, los ataques se han vuelto más sofisticados, más dirigidos y con mayores daños financieros. Entender cómo funciona el ransomware es uno de los primeros pasos para protegerte contra él.
¿Cómo funciona el ransomware?
La mayoría del ransomware moderno utiliza cifrado para bloquear a las víctimas fuera de sus archivos. Cuando el ransomware se ejecuta en un dispositivo, genera una clave de cifrado, la usa para codificar los archivos del sistema y luego destruye la clave original en la máquina de la víctima. El atacante conserva la única copia de la clave de descifrado.
El ransomware temprano usaba un cifrado simple que los investigadores a veces podían descifrar. El ransomware de hoy normalmente usa cifrado híbrido, combinando algoritmos asimétricos y simétricos, lo que hace prácticamente imposible el descifrado independiente sin la clave del atacante.
Algunos ransomware también atacan unidades de disco completas en lugar de archivos individuales, dejando a la víctima completamente fuera de su sistema operativo. Otros agregan una segunda capa de presión al exfiltrar datos antes del cifrado y amenazar con publicarlos públicamente si no se paga el rescate. Esta táctica se llama doble extorsión.
¿Cómo se propaga el ransomware?
Correos de phishing
El phishing es uno de los métodos de entrega más comunes para el ransomware. Los atacantes envían correos que parecen provenir de fuentes legítimas, como bancos, empresas de mensajería o sistemas internos de RR. HH. Estos correos contienen archivos adjuntos o enlaces maliciosos que activan la descarga del ransomware cuando se abren. Dentro de una red, un solo dispositivo infectado puede ser suficiente para comprometer a una organización completa.
Kits de explotación
Los kits de explotación son paquetes de código malicioso diseñados para identificar y aprovechar vulnerabilidades en software y sistemas operativos. Los atacantes los distribuyen a través de sitios web comprometidos. Cuando un dispositivo vulnerable visita uno de estos sitios, el kit de explotación puede instalar ransomware silenciosamente sin ninguna acción del usuario.
Malvertising
El malvertising consiste en colocar código malicioso dentro de anuncios en línea. Incluso los sitios web legítimos pueden mostrar malvertising sin saberlo si sus redes publicitarias están comprometidas. Los usuarios pueden infectarse simplemente al cargar una página que muestre uno de estos anuncios, sin tener que hacer clic en nada.
Ingeniería social
Más allá del correo electrónico, los atacantes pueden usar llamadas telefónicas, mensajes falsos de soporte técnico o actualizaciones fraudulentas de software para engañar a los usuarios y hacer que instalen el ransomware ellos mismos. Estas tácticas dependen de la manipulación y de la ingeniería social en lugar de explotar vulnerabilidades técnicas.
Ransomware y criptomonedas
Los atacantes de ransomware casi siempre exigen el pago en criptomonedas porque las transacciones son más difíciles de revertir y, según la moneda, más difíciles de rastrear que las transferencias bancarias tradicionales. Bitcoin sigue siendo la moneda más solicitada, aunque algunos grupos han cambiado a monedas centradas en la privacidad o a stablecoins para partes de sus operaciones.
Incluso cuando las víctimas pagan, no hay garantía de que reciban una clave de descifrado que funcione. Por lo general, las agencias de aplicación de la ley desaconsejan pagar rescates, ya que los pagos financian más ataques y no siempre resultan en la recuperación de los datos.
Ejemplos notables de ransomware
WannaCry (2017)
WannaCry infectó más de 300,000 computadoras en 150 países en cuatro días, aprovechando una vulnerabilidad de Windows conocida como EternalBlue. Se dirigió a computadoras que ejecutaban versiones antiguas de Windows y se detuvo en parte gracias al descubrimiento de un interruptor de apagado (“kill switch”). El ataque causó daños estimados en 4 mil millones de dólares y afectó a hospitales, empresas de telecomunicaciones y firmas de logística en todo el mundo.
Bad Rabbit (2017)
Bad Rabbit se propagó principalmente por Rusia y Ucrania, disfrazado como un supuesto instalador falso de Adobe Flash en sitios web comprometidos. Requería la instalación manual por parte de la víctima y exigía aproximadamente 0.05 BTC en el momento de la infección.
GandCrab (2018)
GandCrab estuvo entre las primeras operaciones de ransomware en funcionar como Ransomware-as-a-Service (RaaS), permitiendo que afiliados criminales lo desplegaran a cambio de una parte del dinero del rescate. Infectó a más de 500,000 víctimas antes de que sus operadores anunciaron su retiro en 2019. Posteriormente, se puso a disposición una herramienta de descifrado de forma gratuita.
LockBit (2019-2024)
LockBit se convirtió en uno de los grupos de ransomware más prolíficos, responsable de cientos de ataques contra infraestructura crítica y grandes organizaciones. En febrero de 2024, agencias internacionales de aplicación de la ley coordinaron una operación importante que incautó la infraestructura de LockBit y arrestó a varios afiliados, aunque el grupo intentó reanudar sus operaciones después.
Cómo protegerse del ransomware
Haz copias de seguridad de tus archivos con regularidad en una ubicación externa o sin conexión. Esta es tu opción de recuperación más fiable si te atacan. Familiarízate con principios generales de seguridad y consejos sobre cómo proteger tus cuentas y dispositivos electrónicos.
Mantén tu sistema operativo y todo el software actualizados. El ransomware con frecuencia aprovecha vulnerabilidades conocidas en software desactualizado.
Ten cuidado con los archivos adjuntos y enlaces de correo electrónico. Verifica al remitente antes de abrir cualquier cosa inesperada y evita hacer clic en enlaces de mensajes no solicitados.
Evita sitios web sospechosos y no descargues software de fuentes no confiables. Las extensiones de archivo como .exe, .vbs y .scr en archivos adjuntos de correo electrónico son de alto riesgo.
Ten en cuenta estafas comunes con criptomonedas y tácticas de ingeniería social que los atacantes usan para engañar a los usuarios a instalar malware.
Si te infectan, consulta a un profesional de ciberseguridad o revisa recursos como NoMoreRansom.org para encontrar herramientas de descifrado gratuitas antes de considerar pagar.
Preguntas frecuentes
¿Qué es el ransomware?
El ransomware es un tipo de malware que cifra o bloquea archivos en el dispositivo de la víctima. Luego, los atacantes exigen un rescate, normalmente en criptomonedas, a cambio de restaurar el acceso. Incluso si se realiza el pago, no hay garantía de que el atacante proporcione una clave de descifrado que funcione.
¿Cómo llega el ransomware a tu computadora?
El ransomware generalmente llega a través de correos de phishing con archivos adjuntos o enlaces maliciosos, kits de explotación que aprovechan vulnerabilidades de software, anuncios maliciosos en sitios web comprometidos y actualizaciones de software falsas diseñadas para engañar a los usuarios para que instalen el malware manualmente.
¿Debes pagar el rescate del ransomware?
Por lo general, las agencias de aplicación de la ley aconsejan no pagar. El pago financia más actividades delictivas y no garantiza la recuperación de los datos. Mantener copias de seguridad regulares es la alternativa más fiable para no pagar un rescate. Las víctimas que sí consideren pagar deberían consultar primero a las autoridades, ya que algunas jurisdicciones restringen los pagos a grupos sancionados.
¿Por qué los atacantes de ransomware usan criptomonedas?
Las transacciones con criptomonedas son difíciles de revertir y, para algunas monedas, más difícil de rastrear que las transferencias bancarias tradicionales. Esto hace más fácil que los atacantes reciban pagos sin ser identificados de inmediato. Bitcoin es la moneda más solicitada, aunque algunos grupos usan monedas centradas en la privacidad o mezclan fondos mediante pasos adicionales.
¿Qué es la doble extorsión en el ransomware?
La doble extorsión es una táctica en la que los atacantes cifran los archivos de la víctima y, antes de cifrarlos, extraen una copia de datos sensibles. Si la víctima se niega a pagar, el atacante amenaza con publicar públicamente los datos robados. Esta táctica agrega una segunda capa de presión además de la inaccesibilidad de los archivos.
Reflexiones finales
El ransomware ha evolucionado desde programas simples de bloqueo hasta una sofisticada industria criminal que vale miles de millones de dólares al año. A pesar del aumento de las operaciones de las fuerzas del orden y del mayor número de víctimas que no pagan en los últimos años, el ransomware sigue siendo una amenaza importante para personas y organizaciones. Las mejores defensas siguen siendo las copias de seguridad regulares, la higiene del software y la concienciación sobre las tácticas de ingeniería social que usan los atacantes para obtener el acceso inicial.
Lecturas adicionales
¿Qué es el phishing?
¿Qué es la ingeniería social?
Principios generales de seguridad
8 estafas comunes con Bitcoin y cómo evitarlas
Estafas comunes en dispositivos móviles
Aviso legal: Este contenido se le presenta “tal cual” únicamente para información general y fines educativos, sin representación ni garantía de ningún tipo. No debe interpretarse como asesoramiento financiero, legal ni de otro tipo profesional, ni se pretende recomendar la compra de ningún producto o servicio específico. Debe buscar su propio asesoramiento de asesores profesionales adecuados. Cuando el contenido sea aportado por un tercero, tenga en cuenta que las opiniones expresadas pertenecen al contribuidor tercero y no reflejan necesariamente las de Binance Academy. Los precios de los activos digitales pueden ser volátiles. El valor de tu inversión puede subir o bajar y es posible que no recuperes el monto invertido. Tú eres el único responsable de tus decisiones de inversión y Binance Academy no se hace responsable de ninguna pérdida que puedas incurrir. Para más información, consulta nuestros Términos de uso, Aviso de riesgo y Términos de Binance Academy.
