parallels-awingu

Corel adquiere Awingu para acelerar su oferta de espacio de trabajo remoto seguro. Leer más

¿Qué son los ataques de ransomware y por qué están aumentando?

El número de ciberataques aumenta cada día. Sobre todo, Los ataques de ransomware aumentan continuamenteNo pasa un día sin que se mencione en la prensa un nuevo ataque de ransomware y una violación de datos. Pero, ¿qué es exactamente el ransomware y qué tipos hay? ¿Cómo se producen estos ataques de ransomware y qué se puede hacer para prevenirlos? En esta entrada del blog, formularemos una respuesta a todas estas preguntas.

Usuario de ransomware hackeado
Una solicitud de pago por parte de un ransomware - es un mensaje que no quieren ver.

¿Qué son los ataques de ransomware?

El ransomware es un tipo de software malicioso (malware), que es utilizado por los ciberdelincuentes para encriptar una (parte de) los datos de un dispositivo, haciéndolos inaccesibles. Para recuperar el acceso, los delincuentes exigirán un gran pago de rescate antes de dar la clave de descifrado o desactivar la pantalla de bloqueo. Pero, por supuesto, es mejor mitigar las posibilidades de ser atacado para empezar, en lugar de pagar el rescate.

Para presionar más a las víctimas en cuanto a la petición de rescate, los hackers pueden utilizar un software específico de ransomware para no sólo cifrar los archivos, sino también para buscar datos sensibles y enviar esta información al hacker. Durante este tipo de ataque de malware, Los grupos de ransomware suelen pasar mucho tiempo desapercibidos en el sistema operativoMientras busca los datos más valiosos para explotarlos. Si las organizaciones no quieren pagar el rescate, el atacante del malware suele amenazar con publicar los datos robados en Internet, lo que tiene consecuencias desastrosas.

¿Quiénes son los objetivos de los ataques de ransomware?

En general, cualquiera puede ser objeto de ataques de ransomware. Sin embargo, si se observan las violaciones de datos más recientes sólo en 2022, está claro que los hackers se centrarán en organizaciones que trabajan con muchos archivos personales y datos sensibles, grandes grupos de usuarios y, posiblemente, pequeños equipos de TI (como en la educación o la sanidad). Además, también suelen dirigirse a los actores industriales, ya que las interrupciones en sus procesos informáticos suponen problemas importantes para la cadena de suministro de la empresa.

¿Qué tipos de ataques de ransomware existen?

Se utiliza una amplia gama de variantes de ransomware, pero echemos un vistazo a las más comunes:
  • Criptomateriales o "encriptadores: Este tipo de malware es quizás el más famoso. Un ciberdelincuente encripta los archivos y para quedarse con la clave de descifrado, por la que hay que pagar un rescate. Ejemplos notables son CryptoLocker, GoldenEye, WannaCry, ...
  • El ransomware Locker: Esta variante del ransomware bloqueará las funciones básicas de tu ordenador. No tendrás acceso a tu dispositivo y solo verás una pantalla de bloqueo o una ventana emergente con el mensaje de que tus archivos y aplicaciones son inaccesibles y que necesitas pagar una determinada cantidad de dinero antes de volver a tener acceso.
  • El susto: Un tipo de malware diseñado para asustar o manipular a las personas para que visiten páginas web o descarguen software infectado con malware. Para ello se utilizan tácticas de ingeniería social y anuncios emergentes. El objetivo es hacer creer a los usuarios que necesitan comprar o descargar un software (que en realidad es malicioso). Algunos ejemplos de scareware son: PC Protector, SpySheriff, Antivirus360, ...
  • Doxware: Con este término nos referimos específicamente al ransomware que se utiliza para obtener datos personales. Comprometen la privacidad de los empleados consiguiendo acceso a fotos y archivos sensibles, tras lo cual amenazan con liberar los datos. A menudo los atacantes se dirigen deliberadamente a víctimas específicas para este tipo de ataque.
  • Ransomware como servicio (RaaS): Se trata de un modelo de negocio para los ciberdelincuentes. Cualquiera, incluso sin saber codificar, puede comprar herramientas en el mercado negro y utilizarlas para llevar a cabo ataques de ransomware. Las herramientas son alojadas y mantenidas por colectivos de hackers. Los proveedores de RaaS más conocidos son REvil, DarkSide, Maze, ...
Ordenador bloqueado por un ransomware
El objetivo del ransomware es bloquear tus datos y conseguir que pagues por la clave.

¿Cómo se producen los ataques de ransomware?

Los operadores de ransomware intentan acceder a la red o al sistema de la empresa mediante diferentes técnicas. Muy a menudo, tratarán de hacerlo a través de personas de la organización, pero también pueden intentar infectar los sistemas directamente. La siguiente lista destaca algunas de las formas más comunes de los ataques de ransomware.

  • Phishing: Los delincuentes envían a los empleados de su organización un correo electrónico que contiene un enlace malicioso o archivos adjuntos maliciosos. Puede ser que el enlace vaya a un sitio web que aloje un archivo o código hostil, o que el archivo adjunto tenga incorporada una función de descarga. Si una de las personas de la empresa hace clic o abre el contenido de los correos electrónicos de phishing, podría instalarse un software malicioso y el ransomware infecta los sistemas.
  • Red insuficientemente protegida: Si actúa de forma proactiva en la protección de su red, los ciberdelincuentes pueden intentar explotar múltiples vulnerabilidades y vectores de ataque para entrar y dejar que su software malicioso haga lo suyo.
  • Abre el RDP: El uso de RDP sin ninguna medida de seguridad es algo que gusta a los ciberdelincuentes, ya que pueden aprovechar sus debilidades. Así consiguen acceder al sistema de la empresa. Los investigadores encontraron 25 vulnerabilidades (!) en algunos de los clientes RDP más populares (FreeRDP, el cliente RDP integrado de Microsoft, ...) utilizados por las empresas en 2020.
  • Conexiones VPN inseguras: Túneles VPN directamente desde los dispositivos de sus empleados a su red. Junto con RDP, el Centro Nacional de Ciberseguridad del Reino Unido identificó la VPN como uno de los mayores factores de riesgo para un ataque de ransomwarePorque el software malicioso del dispositivo del cliente puede entrar en su red corporativa de forma remota.

Ejemplos de grandes ataques de ransomware en 2022

Cada día, otra organización importante es víctima de un ataque de ransomware. Algunas víctimas recientes fueron:

  • Sistemas de gobierno en Costa Rica (mayo de 2022): El ciberataque se dirigió a sistemas que van desde la recaudación de impuestos hasta los procesos de importación y exportación a través de la agencia de aduanas. Además, también consiguieron acceder al sistema de recursos humanos de la agencia de la seguridad social y del Ministerio de Trabajo. El cártel de Conti ha exigido mucho dinero por el ataque. Mientras tanto, han empezado a publicar la información robada, ya que estaban cansados de esperar el rescate.
  • Universidad Internacional de Florida (abril de 2022): Violación de datos que afectó a la información sensible de estudiantes y profesores. BlackCat estaba detrás del ataque.
  • Asociación Escocesa para la Salud Mental (marzo de 2022): La organización sanitaria fue objetivo de una banda de ransomware que afectó a los sistemas informáticos. Se filtraron más de 12 GB de datos personales y confidenciales en línea. Detrás del ataque estaba la banda de ransomware RansomEXX.
  • KP Snacks (febrero de 2022): Los piratas informáticos de la banda Conti consiguieron robar muchos documentos sensibles, como muestras de extractos de tarjetas de crédito, hojas de cálculo que incluían datos personales de los empleados, y acuerdos confidenciales, ... Publicaron incluso más de estos datos en línea tras no recibir el rescate a tiempo.
  • Moncler (enero de 2022): A principios de año, el gigante de la moda italiana de lujo fue víctima de una violación de datos tras un ataque de la banda de ransomware BlackCat. Posteriormente, la empresa explicó que varios datos se habían visto afectados. Los datos no sólo se referían a clientes, sino también a empleados actuales y anteriores, así como a proveedores y socios comerciales.


Estos son sólo un puñado de los miles de ejemplos (públicamente conocidos). Los ataques de ransomware no se limitan a determinados sectores o países. Sin las medidas de seguridad adecuadas, todo el mundo puede ser víctima de un ransomware.

Banda de ransomware Conti
El conocido colectivo de hackers Conti Group está detrás de muchos de los ataques de ransomware del año pasado.

¿Por qué están aumentando los ataques de ransomware?

Cambio al trabajo híbrido y a distancia

Los ataques de ransomware van en aumento, ya que los grupos de ransomware siguen adaptando sus técnicas en este cambiante mundo digital. Con la aceleración del trabajo remoto y el cambio al trabajo híbrido, los actores maliciosos no solo se centran en las organizaciones en general, sino que también se dirigen a los individuos para obtener acceso a los sistemas operativos, archivos y aplicaciones de las empresas.

Cada vez hay más personas que trabajan fuera de las redes de la oficina. Muchas empresas han puesto en marcha una solución de trabajo a distancia de forma rápida al verse sorprendidas por la pandemia mundial. Sin embargo, en múltiples casos las empresas eligieron soluciones inseguras para hacerlo (por ejemplo, abriendo puntos finales RDP o facilitando VPN "desnudas"). El resultado fue que crearon brechas en su defensa de ciberseguridad, lo que las convierte en un blanco fácil para el malware.

Beneficios financieros para el grupo de ransomware

Otra razón para el aumento es que más grupos criminales ven el beneficio de los ataques de ransomware, ya que las empresas tienden (en la mayoría de los casos) a pagar el rescate. Puede ser una ganancia rápida de dinero para ellos. Robar y amenazar con filtrar los datos ha funcionado bien para estas bandas de ransomware, por lo que vemos un claro cambio de la negación de datos a la extracción de datos. Echemos un vistazo a cómo puedes evitar hacerlos ricos.

Mejores prácticas para prevenir los ataques de ransomware y su propagación

Nadie quiere pagar el rescate ni quiere tener archivos y datos cifrados, ¿verdad? Entonces, ¿cómo pueden las organizaciones prevenir estos ataques de ransomware? ¿Cómo pueden defenderse? Hemos enumerado algunas de las mejores prácticas de protección contra el ransomware para usted:

  • Informe y forme a sus empleados:
    • Los administradores de TI no deben hacer clic en enlaces desconocidos ni abrir archivos adjuntos de correo maliciosos, y deben utilizar siempre contraseñas seguras con MFA activado.
    • Facilite la formación en materia de seguridad a sus empleados. Lo anterior es más difícil de aplicar a tus empleados, por lo que es fundamental que los conciencies y formes en higiene de ciberseguridad.
    • Los correos electrónicos de phishing y los ataques de ingeniería social siguen siendo técnicas muy populares entre los ciberdelincuentes para dirigirse a los individuos con el fin de convertirlos en el gateway en el sistema informático de la organización. Asegúrese de que sus empleados conozcan estas prácticas para que puedan reconocerlas y contrarrestarlas cuando se enfrenten a un intento.
  • Copia de seguridad de los datos:
    • Realice copias de seguridad de los archivos y aplicaciones con regularidad.
    • Asegúrese también de asegurar sus copias de seguridad de datos fuera de línea y compruebe que no están conectadas permanentemente a los ordenadores y redes de los que se hace la copia de seguridad.
  • Segmentación de la red:
    • Si tiene un sistema infectado, asegúrese de que el malware no pueda propagarse a otro sistema informático segmentando las redes de producción y de uso general.
    • De este modo, si alguien utiliza un ordenador infectado e infecta una de las redes más pequeñas, se puede intentar aislar el ransomware antes de que se extienda más.
    • Esto también da al equipo de TI más tiempo para eliminar el ransomware sin que se extienda por toda la organización.
  • Revise la configuración de los puertos:
    • Los puertos RDP abiertos son una de las formas más comunes de iniciar ataques de ransomware. Usar el puerto RDP 3389 "desnudo" para dar a los empleados acceso remoto es abrir la puerta a los hackers y decir: "¡Bienvenidos, por aquí, por favor!"
    • Otro puerto que suele ser objeto de ataques es el puerto 445 de bloqueo de mensajes del servidor.
  • Limitar los privilegios de acceso de los usuarios:
    • Para bloquear la entrada del ransomware, defina bien los permisos de los usuarios.
    • Establezca limitaciones a las aplicaciones, escritorios y archivos a los que tienen acceso.
    • Añada capas de seguridad en línea con el modelo Zero Trust, ya que no puede confiar en nadie, aunque sea un empleado autorizado. Asegúrate de tener control sobre lo que cada usuario o grupo de usuarios puede acceder o hacer.

Qué hacer si es víctima de un ataque de ransomware

¿Qué puede hacer si es víctima de un ataque de ransomware? Veamos las formas más comunes de recuperarse de una infección de ransomware.

  • Haga no hacer un pago de rescate: En primer lugar, mantenga la calma y no se apresure a pagar el rescate. Eso sólo animará a los delincuentes a seguir haciéndolo. (¿Y cómo puede estar seguro de que los atacantes del ransomware le devolverán sus datos después de haber pagado?)
  • Identificar el origen del ransomware: Intenta averiguar cuál fue el punto de entrada del ransomware. Habla con tus usuarios para saber quiénes experimentaron los primeros signos del ataque.
  • Aislar las máquinas infectadas: No siempre se sabe a qué velocidad podría extenderse el ransomware, pero desconecta todos los dispositivos de la red lo antes posible. Esto puede ayudar a reducir el impacto de una infección de ransomware en toda la empresa.
  • Denuncie la agresión a las autoridades: Se trata de un delito y debes denunciarlo a la policía. Ellos también podrían ayudarte, ya que tienen acceso a recursos más potentes para este tipo de delitos.
  • Restaura tus datos: Si ha estado haciendo copias de seguridad de sus datos con regularidad, puede utilizar esos archivos de copia de seguridad fuera del sitio o cloud para restaurar sus datos. Por ello, debería tener una estrategia de copia de seguridad de los datos para poder avanzar rápidamente sin perder demasiado tiempo. Sin embargo, tenga cuidado, ya que algunos ransomware pueden llevar meses en sus sistemas y, por tanto, también en sus copias de seguridad. Siempre debe ejecutar una solución antimalware en sus copias de seguridad para comprobarlo.

¿Cómo puede Awingu ayudar a prevenir el ransomware?

Awingu en dispositivos

Awingu es un espacio de trabajo unificado que permite a una empresa habilitar un acceso remoto seguro a servidores de archivos, aplicaciones y escritorios para sus empleados. Nuestros clientes lo utilizan como una capa de protección adicional para asegurar el RDP "desnudo", así como para proporcionar una alternativa segura a las VPN.

Los usuarios pueden acceder al espacio de trabajo a través del navegador y no es necesario instalar nada en el dispositivo. Por lo tanto, aunque utilicen un dispositivo infectado, no hay conexión directa con la red de la empresa, por lo que no hay que temer una infección por ransomware.

Awingu viene con varias capacidades de seguridad incorporadas que te ayudarán a asegurar el acceso:

  • Espacio de trabajo basado en el navegador
  • MFA integrado
  • Detección y supervisión de anomalías en el cuadro de mandos
  • Encriptación SSL
  • No hay datos locales en el dispositivo del usuario final
  • Control de uso granular
  • Conciencia del contexto


Si quiere saber más sobre cómo Awingu puede ayudarle a proteger su organización contra los ataques de ransomware, haga clic aquí!

  • https://www.globenewswire.com/news-release/2021/12/23/2357418/0/en/Mimecast-The-Rise-of-Ransomware-During-the-COVID-19-Pandemic.html
  • https://threatpost.com/cybersecurity-best-practices-ransomware/176316/
  • https://www.computerweekly.com/news/252504676/Ransomware-attacks-increase-dramatically-during-2021
  • https://www.pbs.org/newshour/nation/why-ransomware-attacks-are-on-the-rise-and-what-can-be-done-to-stop-them
  • https://www.upguard.com/blog/best-practices-to-prevent-ransomware-attacks
  • https://www.zdnet.com/paid-content/article/how-to-recover-from-a-ransomware-attack/
  • https://www.techtarget.com/whatis/definition/scareware
  • https://www.darkreading.com/attacks-breaches/ransomware-has-evolved-and-its-name-is-doxware
  • https://blog.malwarebytes.com/malwarebytes-news/2021/02/rdp-the-ransomware-problem-that-wont-go-away/
  • https://www.csoonline.com/article/3236183/what-is-ransomware-how-it-works-and-how-to-remove-it.html
  • https://www.blackfog.com/the-state-of-ransomware-in-2022/#January
Índice de contenidos
¿Quiere saber más sobre Awingu?
Este sitio web utiliza cookies. Lea nuestra transparencia política de cookies!