El secuestro de información, la principal amenaza empresarial

12 de Septiembre 2022

Facebook
Twitter
LinkedIn
WhatsApp

El ransomware (secuestro de información) es una forma de malware que amenaza con destruir o retener los datos o archivos de una organización o persona, a menos que se pague un rescate al intruso para descifrar y restaurar el acceso a los datos.

secuestro de informacion

Suscríbete al Newsletter Oficial de Isvana Capital

Este tipo de práctica explotó a raíz de la masiva digitalización derivada de la pandemia, debido a que la mayoría de las empresas no estaba preparada para una migración acelerada, dejando a descubierto vulnerabilidades por el desconocimiento en materia de ciberseguridad.

Las estadísticas son alarmantes, en el informe de tendencias de protección de datos de 2022 de Veeam, los principales datos revelaron que:

  • A nivel mundial, el 76 % de las empresas tuvieron un intento de ataque ransomware o lo que es lo mismo, el 24% no estaba al tanto de haber sido atacadas.
  • 16 % sufrieron un ataque en 2021.
  • 60 % sufrieron más de 2 ataques en 2021.

En aquellas organizaciones que sufrieron ataques, se cifraron con éxito 47 % de los datos, y de esos datos cifrados solo 64 % fueron recuperables. Esto representa que la víctima promedio pierde 17 % de sus datos por ataque sufrido.

El ransomware es uno de los delitos informáticos con mayor índice de crecimiento en el mundo, junto con el phishing.

¿Cómo funciona el ransomware?

 

El ransomware es el software malicioso utilizado por los autores de amenazas con el objetivo de extorsionar a las víctimas. Esta forma de ciberagresión es uno de los modelos delictivos más redituables actualmente en el entorno empresarial. Los ataques de ransomware pueden costarle a una organización millones de dólares y pueden requerir cientos de horas para reconstruir los dispositivos y restaurar los datos destruidos durante un ataque.

El atacante puede ingresar a un dispositivo de diferentes formas: cuando las personas están visitando sitios web infectados, navegando en conexiones de red inseguras o también a través de vínculos distribuidos vía correo electrónico.

Comúnmente, las organizaciones se enteran de que son víctimas de un ciberataque cuando reciben una notificación de una máquina infectada informándoles que sus datos han sido secuestrados. Por lo general, hay una secuencia típica en un ataque de ransomware. 

Primero, el sistema o servidor de control se ve comprometido para poder instalar el malware. Posteriormente, toma el control de la máquina cifrando los datos con el ransomware. Luego, la máquina comprometida muestra un mensaje con la «nota de rescate», con las exigencias del intruso para la persona física o corporación, indicándole que no podrá acceder a sus archivos encriptados hasta que se realice un pago.

Esquema ataque tipico ransomware

Normalmente, se exige en forma de criptomonedas, tarjetas de crédito o tarjetas de regalo, pero eso no garantiza que la víctima recupere el acceso. Si la víctima elige pagar el rescate, los intrusos podrían proporcionar la clave de descifrado para restaurar el acceso a sus datos. A veces, la víctima paga y los intrusos no proporcionan la clave de descifrado, lo que se traduce en pérdidas financieras y de datos. 

A veces, la víctima decide no pagar el rescate y confía en la reconstrucción del sistema y las copias de seguridad de los datos para restaurar sus operaciones digitales. Las víctimas que alguna vez han sufrido un ataque suelen ser el objetivo recurrente de los mismos ciberdelincuentes, sobre todo si han mostrado antes la voluntad de pagar.

Según el informe «Combatting Destructive Malware» (Lucha contra el malware destructivo), en promedio, un solo ataque de ransomware cuesta a las grandes empresas multinacionales 239 millones de dólares y destruye 12.316 estaciones de trabajo informáticas.                                                

¿Qué puede causar una infección de ransomware?

 

Además de las posibles causas antes mencionadas, un ataque de ransomware también puede darse a través de una brecha de seguridad en el sistema o programa. WannaCry es un ejemplo de una infección de ransomware que afectó a cientos de sistemas en todo el mundo a través de una vulnerabilidad de seguridad en el sistema operativo Microsoft Windows en 2018. 

También puede tomar la forma de una actualización de software falsa, que solicita a los usuarios habilitar las funcionalidades de administración y de esta forma se ejecuta el código malicioso.

Tipos de ataques de ransomware
 

Hay tres clases principales de ransomware, y todas tienen como propósito interrumpir las operaciones comerciales con el fin de obtener ganancias financieras para los intrusos:

Ransomware criptográfico

El ransomware criptográfico evita el acceso a archivos o datos a través del cifrado con una clave simétrica diferente generada aleatoriamente para cada archivo. Luego, la clave simétrica se cifra con una clave asimétrica pública; los intrusos exigen el pago de un rescate para acceder a la clave asimétrica, es decir, la contraseña que desbloqueará todos los archivos cifrados.

Doxware

Doxware es una forma de ransomware criptográfico en el que las víctimas se ven amenazadas no solo con perder el acceso a sus archivos, sino también con que sus archivos y datos privados se hagan públicos.

Locker ransomware

El Locker ransomware bloquea la computadora o el dispositivo al evitar que los usuarios inicien sesión; una máquina infectada puede mostrar un mensaje de apariencia oficial advirtiendo al usuario. Este tipo de malware en realidad no encripta archivos en el dispositivo.

El panorama de las ciberamenazas está en constante evolución y expansión con nuevo ransomware debido a la complejidad de las redes, la nube, la virtualización remota y el IoT.

Los expertos han estado hablando recientemente del  “cifrado intermitente”, una nueva manera de encriptar datos que, a diferencia del método tradicional que bloquea el acceso general en una unidad de almacenamiento, se dedica al cifrado segmentado de archivos. 

Básicamente, el malware es capaz de cifrar porciones de bytes de un archivo, sin necesidad de acceder a todo el recurso de datos y aplicando distintos porcentajes de intervención. Este cifrado parcial imposibilita el acceso al usuario con solo un número menor de datos encriptados.

Este método de encriptación ayuda a los operadores de ransomware a evadir los sistemas de detección y encriptar los archivos de las víctimas más rápido. Los desarrolladores de ransomware están adoptando cada vez más la función y publicitando intensamente el cifrado intermitente para atraer compradores o afiliados.

¿Cómo prevenir un ataque de ransomware?

Ante la creciente amenaza de este tipo de ataques, es importante tomar medidas de precaución para evitar caer en un secuestro digital. Las posibilidades pueden reducirse en gran medida con un cauteloso manejo de las bases de datos, manejo de emails y una navegación en internet segura.

Estas son las principales medidas que pueden tomarse:

Prevencion contra el ransomware

Para empresas:

  1. Tener una copia de respaldo de la información, en una cuenta de correo no vinculada al entorno empresarial o en algún dispositivo de almacenamiento físico.
  2. Hacer las actualizaciones de los sistemas operativos. Para que estas sean efectivas, el software debe ser legal.
  3. Evitar abrir correos electrónicos con archivos adjuntos sospechosos que aparentemente alerten sobre cobros jurídicos, demandas o similares.
  4. Si se recibe un mensaje de alguna entidad bancaria o ente gubernamental, verifique que el dominio o link de la página web que se encuentre en el mensaje realmente sea el que represente oficialmente a la entidad o persona que se referencie.
  5. Nunca compartir información personal ni financiera solicitada a través de correos electrónicos, llamadas telefónicas, mensajes de texto o redes sociales.

Para usuarios:

  1. No abrir mensajes ni archivos adjuntos de remitentes desconocidos.
  2. Tener cuidado con visitar sitios web con dominios desconocidos.
  3. No descargar software de sitios no confiables.
  4. No descargar contenido multimedia por redes de intercambio P2P.
  5. Evitar conectar dispositivos extraíbles que no sean confiables.

¿Qué hacer en caso de una infección?

 

La regla número uno si se da cuenta de que se ha infectado con ransomware es no pagar nunca el rescate, y realizar la demanda correspondiente. De lo contrario, todo lo que se conseguiría es animar a los ciberdelincuentes a lanzar ataques adicionales contra la empresa. No obstante, es posible recuperar algunos archivos cifrados mediante desencriptadores gratuitos.

Pero seamos claros: No todas las familias de ransomware disponen de desencriptadores creados para ellas debido, en muchos casos, a que el ransomware usa algoritmos de cifrado avanzados y sofisticados. E incluso si existe un desencriptador, no está siempre claro que sea para la versión correcta del malware. Por tanto, debe prestar mucha atención al mensaje de rescate en sí, o incluso solicitar el consejo de un especialista en ciberseguridad antes de intentar nada.

Mexaud, es una empresa enfocada en soluciones empresariales en materia de ciberseguridad y digitalización, buscando siempre garantizar la protección de datos, gestión de identidad y de propiedad intelectual, ofreciendo a los clientes, un acceso seguro a aplicaciones y datos.

Obteniendo así, una protección eficaz durante todo el recorrido digital del cliente, la mitigación del fraude y el fortalecimiento del éxito en sus operaciones, con una amplia gama de opciones para optimizar dichos procesos de protección y control, además de enfocar el negocio hacia las nuevas tendencias de digitalización que ofrecen vigencia competitiva en el ambiente digital actual.

Obtén mayor información de estos servicios

Conoce más aquí

Suscríbete a nuestro newsletter

Te enviaremos la información financiera más importante del momento.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Fuente: Veeam, IBM, RPP, Malwarebytes.
Ir arriba