Ransomware: ¿qué es y cómo funciona este archivo malicioso?

¡Compártelo!
Facebook
Twitter
LinkedIn

El secuestro de datos o ransomware es uno de los tipos de delitos informáticos más comunes y ha experimentado un auge generalizado desde 2010. El pasado año, el coste promedio por incidente de ransomware fue de 380 mil dólares (352 mil euros), según datos de SafetyDetectives.

En vista de lo anterior, no sorprende que las empresas inviertan parte de su presupuesto en sistemas de protección contra esta amenaza. De hecho, en 2020 se unieron una veintena de organizaciones y entidades públicas (Microsoft, Citrix, McAfee, etc.) para desarrollar el grupo ‘Ransomware Task Force’ (RTF), dedicado a combatir los diferentes ransomwares que acechan en Internet.

Atendiendo a la definición de ransomware de la compañía Kaspersky, «el término abarca todos los tipos de aplicaciones malignas que pueden comprometer la seguridad de un dispositivo. Los virus y los troyanos son, de este modo, dos clases de malware». Más precisa en la descripción del Instituto Nacional de Seguridad (Incibe), según el cual es «un tipo de malware que toma por completo el control del equipo bloqueando o cifrando la información del usuario para, a continuación, pedir dinero a cambio de liberar o descifrar los ficheros del dispositivo».

El anglicismo ransomware está formado por las palabras «ransom» (rescate) y «ware» (secuestro de datos), y existen al menos dos versiones de esta ciberamenaza:

Ransomware Lockscreen, que afecta especialmente a tabletas y teléfonos móviles con sistema operativo Android y que neutraliza su uso mediante un bloqueo de pantalla, que sólo puede liberarse accediendo al chantaje de los hackers.

Criptoransomware, el tipo de ransomware más extendido, pone el punto de mira en las extensiones de archivos más utilizadas (multimedia, ofimática, datos), encriptándolas e inutilizándolas hasta la recepción del pago exigido por los secuestradores. En muchos casos, para aumentar la urgencia y reducir la capacidad de maniobra de las víctimas, se establece una cuenta atrás que elimina los archivos a medida que pasan las horas.

Son muchos los ejemplos de ransomware que se han propagado con el paso de los años: Locky y Jigsaw en 2016, WannaCry en 2017, Ryuk en 2018, etcétera. Los ataques de ransomware en España se producen año tras año, y empresas como Telefónica, a raíz de un chantaje sufrido a manos de WannaCry, desarrolló la herramienta ‘WannaCry File Restore’ para el restablecimiento de archivos afectados por este malware.

Cómo funciona un ransomware, la ciberamenaza más temida

El funcionamiento de ransomware comienza con su distribución, realizada frecuentemente por medio de archivos adjuntos en correos maliciosos y enlaces de descargar de programas de aspecto inofensivo (Word, Paint, Safari, etcétera). Cuando estos se ejecutan, el usuario concede permisos de administrador, desconociendo que así entrega la ‘llave’ de su dispositivo a los hackers. Superado este escollo, los delincuentes pueden alterar la seguridad del sistema operativo, acceder a la estructura del sistema, instrumentalizar protocolos como RDP y, finalmente, activar el ransomware propiamente.