El ransomware es uno de los términos que ha crecido con mayor relevancia en ciberseguridad, pero cuyo significado no es tan conocido por el común de las personas.
De qué se trata
El ransomware, o “secuestro de datos”, es uno de los tipos de malware (abreviación de maliciuos software, es decir, software malicioso) más dañinos que existen actualmente.
Esto es debido a que, de un momento a otro, el usuario afectado pierde total acceso a su sistema y/o su información personal, siendo éste sólo el primero de los problemas.
Variantes de ataque
Se han registrado varias formas en que los ciberdelincuentes utilizan un ransomware. Uno de las más comunes es a través del correo electrónico, ya sea por abrir un archivo adjunto con código malicioso o hacer click en un link que lleve a un sitio web malicioso o comprometido (es decir, que fue atacado previamente).
Otra forma algo más avanzada es a través de kit de exploits (es decir, un programa o código que aprovecha una vulnerabilidad de seguridad de un sistema de información). Tal es el caso del famoso Wannacry, que afectó a más de 150 países en 2017. Los exploits pueden ser conocidos o no conocidos (es decir, de “día 0”).
Asimismo, se incluyen otras variantes, como por ejemplo el scareware (es decir, simular un falso ransomware buscando la misma finalidad) o el más moderno RaaS (Ransomware as a Software, cuyo ransomware es comercializado como un paquete a futuros atacantes).
Variantes de impacto
Una vez que el ransomware logró su cometido de infectar al sistema, su impacto dependerá de tres aspectos principales:
- Su código: dependiendo de como esté escrito, puede estar desarrollado para cifrar algunos archivos del sistema, cifrar la totalidad o incluso para bloquear el acceso al disco duro.
- La voluntad del ciberdelincuente: puede consistir en un reclamo de pago, una amenaza de divulgación de la información, la venta de la información a terceros, una combinación de lo mencionado, etc.
- La respuesta de la organización: en el peor de los casos, una organización podría pagar el rescate, perder el acceso a la información (ya que nada asegura que el ciberdelincuente cumpla su palabra) e incluso peligrar su continuidad operativa.
Cómo evitarlo
Una vez producido el ataque, la capacidad de respuesta es muy acotada. Por tal motivo, resulta imprescindible diseñar e implementar una política integral de ciberseguridad; proteger la información crítica del sistema; capacitar a los empleados y colaboradores de la organización; realizar un monitoreo permanente de las actividades; contar con una adecuada evaluación de riesgos; prestar atención a los respaldos (backups); entre muchas otras medidas.
Considerando que no se trata de una tarea sencilla y el daño puede ser irreversible, en caso de necesitarlo es conveniente recurrir a organizaciones especializadas en prevención.