Trace Id is missing
Saltar al contenido principal
Seguridad de Microsoft

¿Qué es el ransomware?

Obtenga información sobre qué es el ransomware, cómo funciona y cómo proteger a su empresa de este tipo de ciberataques.
Protegerse del ransomware

Descripción del ransomware

El ransomware es un tipo de software malintencionado, o malware, que los ciberdelincuentes usan para bloquear el acceso a los datos críticos de una víctima, destruirlos o publicarlos a menos que se pague un rescate. El ransomware tradicional se dirige tanto a individuos como a organizaciones, pero dos desarrollos recientes, ransomware operado por personas y ransomware como servicio, se han convertido en una amenaza mayor para las empresas y otras grandes organizaciones.

Con ransomware operado por personas, un grupo de atacantes usa su inteligencia colectiva para obtener acceso a las redes empresariales. Antes de instalar el ransomware, investigan la empresa para comprender las vulnerabilidades y, en algunos casos, descubrir documentos financieros que les ayuden a establecer la cifra de rescate.

En un modelo de ransomware como servicio, un conjunto de desarrolladores delictivos crean el ransomware y luego contratan a otras filiales ciberdelincuente para piratear la red de una organización e instalar el ransomware. Los dos grupos dividen los beneficios según una tarifa acordada.

Todo ransomware supone un gran coste para los individuos y las organizaciones atacados. Los sistemas afectados pueden tardar días, semanas o incluso meses en conectarse, lo que provoca la pérdida de productividad y ventas. Las organizaciones también podrían sufrir daños en su reputación con los clientes y la comunidad.

Principales conclusiones

  • El ransomware es un tipo de malware que cifra los datos y exige un pago de rescate para descifrarlos.
  • Se puede distribuir a través de correos electrónicos de suplantación de identidad, sitios web malintencionados y kits de vulnerabilidades.
  • Con ransomware operado por personas, un grupo de atacantes usa su inteligencia colectiva para obtener acceso a las redes empresariales.
  • Los dos tipos principales de ransomware son ransomware criptográfico, que cifra datos y archivos confidenciales, y ransomware de bloqueo, que bloquea a las víctimas el acceso a sus dispositivos.
  • Los ataques de ransomware pueden causar importantes daños financieros, de reputación y operativos a individuos y empresas.
  • Hay pasos que puede seguir para protegerse frente a ataques de ransomware, como el uso de software de seguridad sólido, la copia de seguridad de los datos y la promoción de la concienciación sobre ciberseguridad en su organización.

Tipos de ransomware

El ransomware tiene dos formas principales: ransomware criptográfico y ransomware de bloqueo, que se dividen en varios subtipos.

Ransomware de cifrado
En un ataque de ransomware criptográfico, el atacante cifra los archivos o datos confidenciales de una víctima para que no pueda acceder a ellos a menos que pague un rescate solicitado. En teoría, una vez que la víctima paga, el atacante entrega una clave de descifrado que le da acceso a los archivos o datos, pero no hay ninguna garantía. Muchas organizaciones han perdido permanentemente el acceso a sus archivos incluso después de pagar el rescate.

Ransomware de bloqueo
En ransomware de ransomware de bloqueo, los actores malintencionados bloquean a una víctima el acceso a su dispositivo y les presentan una nota de rescate en pantalla con instrucciones sobre cómo pagar un rescate para recuperar el acceso. Esta forma de ransomware no suele implicar el cifrado, por lo que, cuando la víctima recupera el acceso a su dispositivo, se conservan los datos y archivos confidenciales. El ransomware de bloqueo se usa normalmente en dispositivos móviles.

Estas dos formas principales de ransomware se dividen en los siguientes subtipos:

Software de intimidación
El software de intimidación usa el miedo para que la gente pague un rescate. En estos tipos de ciberataques, los actores malintencionados se hacen pasar por una agencia de cumplimiento de la ley y envían un mensaje a la víctima en el que se le inculpa de un delito y le piden una sanción.

Doxware
En Doxware, los actores malintencionados roban información personal y amenazan con revelarla públicamente si no se paga un rescate.

Ransomware de extorsión doble
En el ransomware de extorsión doble, los atacantes no solo cifran archivos, sino que también roban datos confidenciales y amenazan con liberarlos públicamente si no se paga el rescate.

Destrucción de datos
Con la destrucción de datos, se amenaza con destruir los datos de la víctima si esta no paga el rescate.

Cómo funciona el ransomware

La mayoría de los ataques de ransomware siguen un proceso de tres pasos.

1. Obtener acceso
Los actores malintencionados usan varios métodos para obtener acceso a los datos confidenciales de una empresa. Uno de los más comunes es la suplantación de identidad (phishing). En ella, los ciberdelincuentes usan correo electrónico, mensajes de texto o llamadas telefónicas para engañar a los usuarios para que proporcionen sus credenciales o descarguen malware. Los actores malintencionados también dirigen a empleados y otros usuarios a sitios web malintencionados que usan lo que se denomina un kit de vulnerabilidades de seguridad para descargar e instalar malware automáticamente en el dispositivo de la víctima.

2. Cifrar los datos
Una vez que los atacantes de ransomware obtienen acceso a los datos confidenciales, los copian y destruyen el archivo original junto con las copias de seguridad a las que han podido acceder. A continuación, cifran su copia y crean una clave de descifrado.

3. Exigir un rescate
Después de hacer que los datos sean inaccesibles, el ransomware entrega un mensaje a través de un cuadro de alerta que explica que los datos se han cifrado y solicita dinero, normalmente en criptomoneda, a cambio de la clave de descifrado. Los actores malintencionados que están detrás de estos ataques también podrían amenazar con liberar los datos al público si la víctima se niega a pagar.

Impacto de un ataque de ransomware

Más allá de la interrupción inmediata de las operaciones, las consecuencias de un ataque de ransomware pueden incluir pérdidas financieras importantes, daños en la reputación y desafíos operativos a largo plazo.

Implicaciones financieras
El coste de pagar un rescate puede ser considerable, a menudo llegar a millones de dólares y no hay ninguna garantía de que los atacantes proporcionen la clave de descifrado o que funcione correctamente.

Incluso cuando las organizaciones rechazan pagar el rescate, todavía puede haber grandes costes financieros. La interrupción causada por un ataque de ransomware puede provocar un tiempo de inactividad prolongado, lo que afecta a la productividad y puede provocar la pérdida de ingresos. La recuperación de un ataque implica gastos adicionales, como el coste de las investigaciones forenses, las tasas legales y las inversiones en medidas de seguridad mejoradas.

Daños en la reputación
Es posible que los clientes y asociados pierdan la confianza en un negocio que se ha visto comprometido, lo que provocaría un descenso en la fidelidad de los clientes y una posible pérdida de negocio futuro. Los ataques de alto perfil suelen atraer la atención de los medios, lo que puede dañar la reputación y la imagen de marca de una empresa.

Desafíos operativos
Incluso con las copias de seguridad, existe el riesgo de pérdida o daños en los datos, lo que puede afectar a la continuidad empresarial y a la eficacia operativa. Las empresas también pueden enfrentarse a penalizaciones legales y reglamentarias por no proteger datos confidenciales, especialmente si están sujetas a reglamentos de protección de datos como el Reglamento general de protección de datos de la Unión Europea o la Ley de privacidad del consumidor de California.

Ejemplos de ransomware del mundo real

Muchos de los ataques de ransomware de más de alto perfil operados por personas los llevan a cabo grupos de ransomware, que operan con un modelo de negocio de ransomware como servicio.

 
  • Desde su aparición en 2019, LockBit se ha dirigido a varios sectores, incluidos los servicios financieros, la asistencia sanitaria y la fabricación. Este ransomware se conoce por su capacidad de propagarse automáticamente dentro de las redes, lo que lo hace especialmente peligroso. Grupos afiliados a LockBit han sido responsables de numerosos ataques de alto perfil, mediante técnicas sofisticadas para cifrar datos y exigir rescates. 
  • Ataques de blackbytesuelen implicar la extorsión doble, donde los ciberdelincuentes cifran y roban datos, y amenazan con publicar los datos robados si no se paga el rescate. Este ransomware se ha usado para dirigirse a sectores de infraestructura críticos, incluidos los servicios gubernamentales y financieros.
  • El grupo detrás del ransomware Hive, que estuvo activo entre junio de 2021 y enero de 2023, empleó una extorsión doble y normalmente se dirigió a instituciones públicas e infraestructura crítica, incluidas las instalaciones sanitarias. En una lucha importante contra el ciberdelincuencia, el FBI se infiltró la red de Hive en 2022, capturó claves de descifrado y evitó más de 130 millones de USD en demandas de rescate. 
  • El ransomware akira es un malware sofisticado que ha estado activo desde principios de 2023 y tiene como destino sistemas Windows y Linux. Los actores malintencionados usan Akira para obtener acceso inicial a través de vulnerabilidades en los servicios VPN, especialmente aquellos que no tienen autenticación multifactor. Desde su aparición, Akira ha afectado a más de 250 organizaciones y ha logrado aproximadamente 42 millones de dólares en ganancias por ransomware.
 
Prevención

Estrategias de prevención y protección contra ransomware

Proteja sus puntos de conexión y nubes

La mejor forma de protección es la prevención. Muchos ataques de ransomware se pueden identificar y bloquear con una solución de detección y respuesta de puntos de conexión de confianza, como Microsoft Defender para punto de conexión. Las soluciones de detección y respuesta extendidas (XDR), como Microsoft Defender XDR, van más allá de la protección de puntos de conexión para ayudarle a proteger sus dispositivos, correo electrónico, aplicaciones de colaboración e identidades. Y con tanto negocio realizado en la nube, es importante proteger toda su infraestructura y aplicaciones en la nube con una solución como Microsoft Defender para la nube.

Realizar sesiones de formación frecuentes

Mantenga a los empleados informados sobre cómo detectar los signos de phishing y otros ataques de ransomware con formaciones frecuentes. Para reforzar los aprendizajes e identificar oportunidades de aprendizaje adicional, realice simulaciones de suplantación de identidad periódicas. Esto ayudará a los empleados a aprender prácticas más seguras para el trabajo y también a usar sus dispositivos personales de un modo seguro.

Adoptar un modelo de Confianza cero

Un modelo de Confianza cero presupone que todas las solicitudes de acceso, incluso las procedentes de dentro de la red, son una amenaza potencial. Los principios de Confianza cero incluyen la comprobación explícita a través de la autenticación continua, la aplicación del acceso con privilegios mínimos para minimizar los permisos y la asunción de infracciones mediante la implementación de medidas de contención y supervisión sólidas. Este examen adicional reduce la probabilidad de que una identidad o dispositivo malintencionados accedan a los recursos e instalen ransomware.

 Unirse a un grupo de información compartida

Los grupos que comparten información, que suelen estar organizados por sector o ubicación geográfica, fomentan que aquellas organizaciones con estructuras similares colaboren para obtener soluciones de ciberseguridad. Los grupos también ofrecen a las organizaciones diferentes ventajas, como respuesta a incidentes y servicios de análisis forense digital, inteligencia sobre amenazas y la supervisión de intervalos y dominios ip públicas.

Mantener copias de seguridad sin conexión

Dado que algunos ransomware intentan encontrar y eliminar cualquier copia de seguridad online que tengas, es buena idea mantener una copia de seguridad sin conexión de los datos confidenciales actualizada en la que hagas pruebas frecuentes para garantizar que se puede restaurar si alguna vez sufres un ataque de ransomware.

Mantener el software actualizado

Además de mantener actualizadas las soluciones antimalware, asegúrese de descargar e instalar cualquier otra actualización del sistema y revisiones de software tan pronto como estén disponibles. Esto ayuda a minimizar las vulnerabilidades de seguridad que podría aprovechar un ciberdelincuente para obtener acceso a su red o dispositivos.

Crear un plan de respuesta ante incidentes

Un plan de respuesta a incidentes le proporcionará los pasos necesarios en diferentes escenarios de ataque para que pueda volver a funcionar con normalidad y seguridad lo antes posible.

Responder a un ataque de ransomware

Si se encuentra como víctima de un ataque de ransomware, hay opciones para la eliminación y eliminación.

Aislar los datos infectados
Tan pronto como puedas, aísle los datos en peligro para evitar que el ransomware se difunda a otras áreas de la red.

Ejecutar un programa antimalware
Una vez que haya aislado los sistemas infectados, use un programa antimalware para quitar el ransomware.

Descifrar archivos o restaurar copias de seguridad
Si es posible, use las herramientas de descifrado proporcionadas por los organismos de seguridad o los investigadores de seguridad para descifrar archivos sin pagar el rescate. Si no es posible el descifrado, restaure los archivos de las copias de seguridad.

Denunciar el ataque
Póngase en contacto con las agencias policiales locales o estatales para denunciar el ataque. En Estados Unidos, estas son la oficina de campo local del FBI, IC3 o el Servicio secreto. Aunque este paso seguramente no solucionará ninguna de sus preocupaciones inmediatas, es importante porque estas autoridades siguen y supervisan de forma activa distintos ataques. Proporcionarles detalles sobre su experiencia podría ser útil en sus esfuerzos por encontrar y denunciar a un ciberdelincuente o un grupo de ciberdelincuentes.

Tener cuidado con el pago de un rescate
Aunque pagar el rescate pueda ser tentador, no hay ninguna garantía de que los ciberdelincuentes mantengan su palabra y le concedan acceso a sus datos. Los expertos en seguridad y los organismos policiales recomiendan que las víctimas de ataques de ransomware no paguen los rescates solicitados, porque hacerlo puede llevar a que las víctimas se vean expuestas a futuras amenazas y estarían apoyando de forma activa las actividades criminales.
RECURSOS 

Explorar Seguridad de Microsoft

Proteja su organización frente a ransomware complejos con soluciones unificadas de protección contra amenazas basadas en inteligencia artificial y procedimientos recomendados probados.
Una mujer con una camiseta verde mirando un equipo.
Solución

Protegerse frente al ransomware

Exponga y responda a ciberataques sofisticados en su entorno multiplataforma multinube.
Más información
Un hombre sentado en un escritorio con un portátil.
Solución

Supere las amenazas con SecOps unificada y con tecnología de inteligencia artificial

Obtenga XDR y Administración de eventos e información de seguridad: todo en una sola plataforma.
Más información
Un portátil en una mesa.
Producto

Proteja toda la empresa con Microsoft Defender XDR

Defienda sus puntos de conexión, identidades, aplicaciones en la nube y datos de ciberataques.
Más información
Un hombre con gafas y barba sosteniendo documentos delante de un portátil.
Producto

Proteja su pequeña empresa con Microsoft Defender para Empresas

Ayude a protegerse contra ataques sofisticados de ransomware en todos los dispositivos con antivirus de próxima generación y con detección y respuesta de puntos de conexión con tecnología de inteligencia artificial de nivel empresarial.
Más información
Una mujer y un hombre mirando un portátil.
Portal de protección contra amenazas

Noticias sobre ciberseguridad e inteligencia artificial

Descubra las últimas tendencias y procedimientos recomendados en la protección de ciberamenazas y la inteligencia artificial de seguridad.
Obtener los recursos más recientes
Volver a la sección RECURSOS

Preguntas más frecuentes

  • El ransomware es un tipo de malware que cifra datos valiosos y exige un pago de rescate a cambio de descifrarlos.
  • Por desgracia, prácticamente todo el mundo que tenga presencia online puede verse afectado por un ataque de ransomware. Los dispositivos personales y las redes empresariales suelen ser objetivos frecuentes de ciberdelincuentes.
  • Los ataques de ransomware tradicionales se producen cuando se engaña a una persona para que interactúe con contenido malintencionado, como abrir un correo electrónico infectado o visitar un sitio web dañino, que instala ransomware en su dispositivo.
    En un ataque de ransomware controlado por humanos, un grupo de atacantes establece como objetivo y vulnera los datos confidenciales de una organización, normalmente mediante credenciales robadas.
    Con frecuencia, tanto en el ransomware de ingeniería social como en el controlado por humanos, la víctima u organización recibirá un aviso de ransomware que detalla los datos que se robaron y el coste de recuperarlos. Sin embargo, pagar el rescate no garantiza que los datos se devolverán o que se evitarán futuras vulneraciones.
  • Los efectos de un ataque de ransomware pueden ser devastadores. Tanto a nivel individual como de la organización, las víctimas pueden verse obligadas a pagar rescates elevados sin garantía de que recuperarán sus datos o que no se producirán ataques adicionales. Si un ciberdelincuente filtra la información confidencial de una organización, su reputación puede verse afectada y el público podría desconfiar de ella. Y, dependiendo del tipo de información que se filtre y del tamaño de la organización, cientos de personas podrían estar en riesgo de convertirse en víctimas de robo de identidad o de otros cibercrímenes.
  • Los ciberdelincuentes que infectan los dispositivos de víctimas con ransomware quieren dinero. Tienden a establecer rescates en criptomoneda debido al anonimato que proporcionan y la dificultad de realizar un seguimiento. Cuando un individuo es el objetivo, el rescate podría ser de cientos o miles de dólares estadounidenses. Las campañas de ransomware operadas por personas a menudo exigen millones de dólares estadounidenses.
  • Las víctimas deberían denunciar los ataques de ransomware a las fuerzas policiales locales o estatales. En Estados Unidos, estas son la oficina de campo local del FBI, IC3 o el Servicio secreto. Los expertos en seguridad y las fuerzas policiales recomiendan que las víctimas no paguen los rescates; si ya ha pagado, contacte de inmediato con su banco o las autoridades locales. Es posible que su banco pueda bloquear el pago si se hizo con una tarjeta de crédito.

Seguir a Seguridad de Microsoft