Sus víctimas pertenecen a diversas industrias, tanto del sector público como del privado, debido a que nadie está exento de convertirse en objetivos del ransomware. Su propagación lo ha convertido en un gran negocio para los atacantes, provocando pérdidas anuales de cientos de millones de dólares.
¿Qué es el ransomware?
El ransomware es un tipo de software utilizado generalmente por los cibercriminales para cifrar archivos o sistemas informáticos. El término incluye todas las formas de código malicioso, como virus y gusanos informáticos. Su finalidad es “secuestrar información” y, de esta manera, impedir a una persona u organización el acceso a sus datos o dispositivos hasta que se haya pagado un dinero como rescate, que frecuentemente suele ser en criptomonedas para permitir al ciberdelincuente ocultar su rastro.
El ransomware se propaga, como otros tipos de malware, por múltiples vías. Algunas de ellas son a través de campañas de spam, vulnerabilidades o malas configuraciones de software, actualizaciones de software falsas, canales de descarga de software no confiables y herramientas de activación de programas no oficiales.
Los ciberdelincuentes tratan de que el usuario abra un archivo adjunto infectado o haga click en un vínculo que lo lleve al sitio web del atacante, donde será infectado. De este modo, los atacantes utilizan cada vez más tácticas, como eliminar las copias de seguridad del sistema, que hacen que la restauración y la recuperación sean más difíciles o inviables para las organizaciones afectadas (o en forma local).
En adición, los delincuentes aprovechan el auge de ciertas tecnologías. Por ejemplo, el boom de los QR. Los atacantes están aprovechando el renacer de esta tecnología con la pandemia para convertir estos códigos en un vector de ataque “invisible”.
Según un estudio realizado por MobileIron, un 86% de usuarios móviles escaneó un código QR en el último año. Existe, en efecto, una cantidad potencial muy alta de riesgos al escanear códigos QR. Más información sobre este punto aquí.
Su nombre no es casualidad: el término con el que comienza, “ransom”, es una palabra inglesa que significa “rescate”. El ransomware es un software extorsivo: su finalidad es impedirte usar tu dispositivo hasta que hayas pagado un rescate.
Según el informe anual del Equipo de Respuesta ante Emergencias Informática Nacional de la República Argentina – CERT.ar, en 2021 se registraron un total de 591 incidentes informáticos. Se trata de un incremento de 261% respecto a 2020. El fraude representó el 56% del total de incidentes reportados, siendo el delito informático que más se registró el año pasado. Entre los tipos de fraudes detectados se incluyeron el uso no autorizado de los recursos, los derechos de autor, la suplantación de identidad y el phishing. Ver informe completo: aquí
¿En qué consiste el cifrado de información?
El cifrado criptográfico de información refiere a una operación matemática que toma un dato y una clave, y modifica el dato en base a esta última. Para que el dato vuelva a su forma original, se debe aplicar una función de descifrado. En otras palabras, el cifrado consiste en ocultar la información con técnicas de codificación para evitar que los datos sean legibles por quien no tenga la clave de decodificación.
Existen dos esquemas de criptografía:
- Criptografía simétrica que utiliza una sola clave, tanto para la función de cifrado como para la del descifrado.
- Criptografía asimétrica para la que se utilizan dos claves vinculadas entre sí, llamadas usualmente clave pública y clave privada. Todo lo que se cifra con una de las claves, sólo puede ser descifrado con la otra. Es decir, si se utiliza para cifrar la clave pública sólo podrá descifrarse con la clave privada o viceversa.
En general, los ransomware aplican un esquema de criptografía simétrica sobre la información que afectan, generando claves de cifrado aleatorias. Estas claves se transmiten por Internet a los servidores de los atacantes, de modo que puedan ser enviadas a la víctima luego de pagado el rescate.
Niveles de extorsión que utilizan los atacantes
- Primera extorsión: consiste en el cifrado de la información y la exigencia de un pago para recuperarla.
- Doble extorsión: además del cifrado, se amenaza con filtrar públicamente la información secuestrada.
- Triple extorsión: se añaden ataques de denegación de servicio, afectando aún más la disponibilidad de los servicios afectados por el cifrado de la información.
Cuádruple extorsión: los atacantes se comunican con clientes y proveedores de la víctima para exponer la situación y, eventualmente, filtrar información. En algunos casos, exigen el pago directamente a los proveedores y/ o clientes de la víctima.
Ransomware as a Service (RaaS)
RaaS es un término en inglés que hace referencia a un modelo de negocios en el cual los desarrolladores de un malware tipo ransomware ofrecen a actores maliciosos interesados —incluso sin grandes conocimientos técnicos—herramientas para que puedan iniciar una campaña de ransomware contra una víctima. El mecanismo comienza con la contratación para la creación de malware como un servicio o la posibilidad de sumarse a través de un programa de afiliados para distribuir una familia de ransomware a cambio de un porcentaje de las ganancias.
Este modelo de negocio alrededor del ransomware no es nuevo ni exclusivo de este tipo de amenaza informática —existe el malware as a service— pero en los dos últimos años el RaaS ha crecido y actualmente existen muchos grupos de ransomware operando bajo estas condiciones.
Literalmente centenas de miles de entidades públicas y privadas han recibido ataques exitosos de ransomware en el transcurso de los últimos 3 años.