Qué es ransomware y cómo funciona - CREINSA servicios informáticos

Ciberseguridad para no informáticos I

Ransomware qué es y cómo funciona

Entendemos como ransomware un programa informático realizado con fines delictivos cuyo funcionamiento básico se basa en la encriptación de los ficheros de la víctima con un algoritmo robusto las claves del cual solo son conocidas por el atacante. Es una forma de secuestro digital mediante el que se pide un rescate o se extorsiona a la víctima y lleva ya unos años conviviendo entre nosotros, causando daños económicos y en algunos casos graves, provocando cierres de empresa que no han podido paliar las consecuencias de los ataques.

En estos últimos años, más concretamente desde la aparición de la actividad delictiva del secuestro de datos basado en ransomware, la ciberseguridad está en boca de todos.

Ha pasado de ser un término asociado a grandes corporaciones y gobiernos a formar parte de las preocupaciones y del día a día de las pequeñas y medianas empresas.

Venimos de un modelo anterior en el que el porcentaje de digitalización de las empresas era muy bajo, en el que la informática era algo necesario, pero no imprescindible. Y ahora, nos hemos metido de lleno en un modelo en el que aquellas empresas que no están digitalizadas pierden competitividad a marchas forzadas y “se quedan fuera”.

Este cambio se ha producido a una velocidad muy elevada, que no ha dejado margen de maniobra en muchos casos produciéndose una gran brecha entre la “necesidad actual” y el “estado actual”, siendo que muchas empresas no tienen ni los medios ni el conocimiento, ni la estructura necesaria para afrontar con garantías un cambio tan veloz. Y en contadas ocasiones, aun contando con esos recursos, carecen de la cultura de empresa necesaria sobre el campo de la ciberseguridad.

En resumen, la ciberseguridad a entrado por la puerta grande sin preguntar planteando un desafío muy grande para las PYMES.

Ataques de ransomware

¿Por qué tanta prisa justo ahora? La era digital y el ransomware

Se ha producido un cambio radical en el “lado oscuro” y para entenderlo hay que situarse en el punto de vista del atacante. Un hacker se enfrenta a dos problemas básicos para tener éxito en su actividad cuando esta se orienta a obtener beneficios económicos:

Dificultad técnica del ataque: hay que acceder a algún dispositivo de la víctima, ya sean ordenadores convencionales o servidores centrales, y esto es complejo según el tipo de infraestructura a la que se enfrentan.
Dificultad de cobrar el pago: Si finalmente obtiene algún tipo de beneficio económico, lo ha de poder cobrar evitando a los cuerpos de seguridad de los distintos países y esto, desde luego, no es nada sencillo.

Cómo prevenir el ransomware

¿Cómo minimizan la dificultad técnica? La ingeniería social

Hay 3 factores fundamentales que juegan alineados actualmente.

Como primer factor, un acceso masivo de personas a la red y la digitalización de las empresas, ha provocado que el eslabón más débil, el usuario, sea el blanco perfecto para minimizar la dificultad técnica. Mediante métodos de engaño basados en ingeniería social, los hackers consiguen un punto de entrada a las estructuras de las empresas de forma más sencilla y de ahí, saltan internamente aprovechando los privilegios sobre el sistema que tiene la víctima o saltando a otra con más privilegios una vez están dentro, hasta llegar al punto central de la estructura.

La clave en este punto es que la cantidad de usuarios que acceden a la red ha crecido exponencialmente. A más usuarios más puntos potenciales sobre los que probar suerte en un ataque.

Como segundo factor, hay dos componentes que van de la mano, la velocidad de acceso a internet y de las redes en general, y la potencia de procesamiento de los terminales. Estos dos conceptos se alinean facilitando los ataques online por una parte y ejecutando software malicioso de gran potencia en la víctima por otra, lo cual permite sofisticar los ataques con tecnología vanguardista debido a que los medios usados soportan la exigencia de la misma.

Como tercer factor, y consecuencia directa del segundo, nace el ransomware. Este tipo de aplicación maliciosa, se nutre de los estándares de encriptación más robustos, de la potencia de cálculo de los terminales que infecta y de la conexión rápida a internet que tienen los mismos para acabar siendo la herramienta perfecta para el atacante.

Cómo funciona ransomware?

La herramienta perfecta

Para entender cómo funciona el ransomware, hay que comprender los principios básicos de la criptografía de clave asimétrica.

Querido lector, no sufras, lo voy a tratar de explicar de forma sencilla.

Se denomina de “clave asimétrica” porque se compone de dos claves, una clave pública y otra privada que forman un par único y se relacionan entre ellas también de forma única. Este estándar se usa activamente para “cifrar datos” y para “autenticar datos”.

Fundamentalmente, estas dos claves se pueden usar entre ellas para cifrar un mensaje con una y descifrarlo con la otra y viceversa. Además, su forma de generación garantiza que son únicas.

Hay mucha más contenido en la red que amplía esta información, por ahora con esta base es suficiente para avanzar en este artículo.

Hasta aquí, si yo quisiera cifrar un documento con criptografía de clave asimétrica y mandarlo a otra persona necesito tener un par de claves (las mías) y que la otra persona tenga otro par de claves (las suyas).

Ambos conocemos la clave pública del otro, pues como su nombre dice es pública, pero no conocemos su clave privada. Para mandar un mensaje solo tengo que coger la clave pública del destinatario, cifrarlo y mandarlo.

Él y solamente él, es capaz de descifrar ese mensaje con su clave privada porqué el mensaje está cifrado con su clave pública y como hemos comentado anteriormente, estas se relacionan de manera única entre ellas.

Ni qué decir tiene que, el cifrado que se usa es suficientemente robusto para ser matemática y computacionalmente invulnerable a los intentos de ruptura del mismo.

Supongamos ahora que nuestro atacante accede al terminal de la víctima y genera sus dos pares de claves, su clave pública y su clave privada.

Accede de forma ilícita al ordenador de la víctima y cifra con su clave pública los datos. En ese momento, los datos están cifrados y él y solamente él es capaz de descifrarlos con su otra clave, la privada.

La víctima no puede leer sus archivos ni tampoco descifrarlos. En adelante, sus ficheros están secuestrados hasta que el atacante, con su clave privada, los descifre.

Todo esto es posible porque el ordenador de la víctima tiene potencia suficiente para cifrar todos los datos de manera rápida y en cuestión de minutos el ordenador queda inutilizado.

Además, el hacker solo tiene que conseguir ejecutar el virus y quedarse con la clave privada, tarea fácil una vez ha conseguido entrar en el sistema.

Esta es una aproximación muy sencilla, pero hay que destacar que al ser ataques muy rentables (luego explicaremos porqué) los hackers desarrollan cada día formas nuevas de sofisticar más y más este tipo de actividad perfeccionándola sistemáticamente.

Como dato de interés, en sus inicios, el ransomware apuntaba a “cualquiera” porque las campañas de infección se realizaban de forma masiva, afectando a usuarios de empresas pequeñas y grandes sin discriminación.

Con el tiempo, los hackers han visto que las empresas pequeñas y usuarios de a pie no tienen capacidad de pago o sencillamente deciden no pagar y por ello, la tendencia ha cambiado. Los ataques se han especializado en objetivos más concretos y estudiados para afectar a empresas críticas que llegado el momento, no tengan más remedio que pagar (hospitales, ayuntamientos, grandes corporaciones) cantidades enormes de dinero.

Ransomware. La doble extorsión

¿y si además de cifrar la información me la envío?

Ricemos el rizo. Imaginemos que nuestro hacker accede al terminal de la víctima y antes de cifrar los datos, de forma sigilosa, identifica los ficheros que encuentra y se guarda una copia de una base de datos o de archivos confidenciales.

Con las conexiones de fibra óptica que existen hoy en día, no es nada extraño que consiga enviarse una gran cantidad de información en un periodo corto de tiempo. Una vez los tiene, cifra y realiza el secuestro de los mismos

Lamentablemente, se han dado casos en que un atacante extorsiona de forma doble a la víctima exigiéndole el pago por descifrar los ficheros y además amenazándola con publicar información sensible.

Obtener el pago

Y el rescate

Ahora que hemos visto de forma básica cuánto daño puede hacer y porqué el ransomware es la herramienta estrella de un hacker, si deseas entender cómo se enfrentan los atacantes al segundo gran problema de “obtener el pago” y cómo lo resuelven consulte este artículo.

software cálculo de pensiones prestaciones

Infraestructura tecnológica

Seguridad, control y prevención para pequeñas y medianas empresas. Adaptamos los proyectos a las necesidades del cliente.

Más información

Cookie	Duración	Descripción
_GRECAPTCHA	5 months 27 days	El servicio recaptcha de Google establece esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
cookielawinfo-checkbox-advertisement	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Analíticas".
cookielawinfo-checkbox-functional	1 year	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-non-necessary	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "No necesarias".
cookielawinfo-checkbox-others	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otros".
cookielawinfo-checkbox-performance	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".

Cookie	Duración	Descripción
_ga	2 years	La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe de análisis del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer visitantes únicos.
_gat_gtag_UA_73370443_1	1 minute	Establecido por Google para distinguir a los usuarios.
_gcl_au	3 months	Proporcionado por Google Tag Manager para experimentar la eficiencia publicitaria de los sitios web que utilizan sus servicios.
_gid	1 day	Instalada por Google Analytics, la cookie _gid almacena información sobre cómo los visitantes usan un sitio web, al mismo tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar establece esta cookie para detectar la primera sesión de vista de página de un usuario. Este es un indicador de Verdadero / Falso establecido por la cookie.
_hjFirstSeen	30 minutes	Hotjar establece esta cookie para identificar la primera sesión de un nuevo usuario. Almacena un valor verdadero / falso, que indica si fue la primera vez que Hotjar vio a este usuario.
_hjid	1 year	Esta es una cookie de Hotjar que se establece cuando el cliente llega por primera vez a una página utilizando el script Hotjar.
_hjIncludedInPageviewSample	2 minutes	Hotjar establece esta cookie para saber si un usuario está incluido en el muestreo de datos definido por el límite de páginas vistas del sitio.
_hjTLDTest	session	Para determinar la ruta de la cookie más genérica que debe usarse en lugar del nombre de host de la página, Hotjar establece la cookie _hjTLDTest para almacenar diferentes alternativas de subcadena de URL hasta que falle.

Cookie	Duración	Descripción
IDE	1 year 24 days	Las cookies de Google DoubleClick IDE se utilizan para almacenar información sobre cómo el usuario utiliza el sitio web para presentarle anuncios relevantes y de acuerdo con el perfil del usuario.
test_cookie	15 minutes	Test_cookie lo establece doubleclick.net y se utiliza para determinar si el navegador del usuario admite cookies.

Qué es ransomware

Ciberseguridad para no informáticos I

Ransomware qué es y cómo funciona

Ataques de ransomware

¿Por qué tanta prisa justo ahora? La era digital y el ransomware

Cómo prevenir el ransomware

¿Cómo minimizan la dificultad técnica? La ingeniería social

Cómo funciona ransomware?

La herramienta perfecta

Ransomware. La doble extorsión

¿y si además de cifrar la información me la envío?

Obtener el pago

Y el rescate

Infraestructura tecnológica

Píldoras recientes

Secciones

Nosotros

Empresa

Servicios

Infomación

Newsletter