EFE / La Voz de Michoacán El ‘ransomware’ es un tipo de programa malicioso que “secuestra” los dispositivos o datos de los usuarios u organizaciones, bloqueándolos por medio de un cifrado e impidiendo el acceso a éstos, y solicitando un rescate (en inglés ‘ransom’) económico a cambio de permitirles acceder de nuevo al sistema informático e información secuestrados. Este tipo de ataque está creciendo de forma exponencial debido a que es muy rentable para los delincuentes, causando en las empresas pérdidas temporales o permanentes de información, interrupciones de la actividad normal, pérdidas económicas y daños de reputación, según el Instituto Nacional de Ciberseguridad de España (INCIBE) español. “Las primeras variantes de ‘ransomware’ se crearon al final de la década de 1980, y el pago debía efectuarse por correo postal. Hoy en día los creadores de ‘ransomware’ piden que el pago se efectúe mediante criptomonedas o tarjetas de crédito”, informan desde la firma de seguridad informática Malwarebytes. Además, conforme las organizaciones comenzaron a implementar sistemas de respaldo para sus datos importantes, los piratas informáticos han agregado sofisticadas funciones o ‘capas’ extorsivas a sus ciberataques, según explica a EFE José Rosell, socio-director de S2 Grupo ( https://s2grupo.es), firma especializada en ciberseguridad y gestión de sistemas críticos. Ataque de ransomware: seria amenaza para una empresa. Foto: S2 Grupo. Explica que en 2019 nació el ataque de `ransomware´ de doble extorsión, cuando los ciberdelincuentes encontraron una segunda forma de persuadir a las víctimas para que pagasen el rescate de sus datos, a pesar de que la organización atacada tuviera copias de seguridad de sus sistemas en un servidor de respaldo o pudiera restaurar la red vulnerada. En este tipo de ataque “los ciberatacantes hacen una copia de los datos secuestrados para poder usarlos en las negociaciones. Así, amenazan a la víctima con hacer públicos o vender en el mercado negro, los datos confidenciales robados, si se niega a pagar un rescate, explican desde S2 Grupo. “Últimamente, los ciberdelincuentes se han reinventado, creando un nuevo método de perjuicio: el ransomware de triple extorsión”, según explica Miguel A. Juan, socio-director de S2 Grupo. SECUESTRO DE DATOS Y PEDIDO DE RESCATE “En este tipo de ataque no sólo se busca dinero de la empresa vulnerada, sino que también se extorsiona a terceros que puedan verse afectados por la divulgación de los datos extraídos o se sigue presionando a la empresa perjudicada para que acabe pagando”, asegura este especialista. “El primer ransomware de triple extorsión ocurrió en 2020 cuando una clínica de psicoterapia finlandesa sufrió el ciberataque a sus servidores y los ciberdelincuentes extorsionaron a sus clientes amenazándolos con divulgar la información de sus sesiones de psicoterapia”, explica. El problema de este tipo de ransomware es que no sólo utiliza una nueva ‘capa’ (o forma de extorsión) consistente en persuadir a terceros para lograr su objetivo, sino que los ciberdelincuentes pueden seguir atacando a la misma organización, añade. Mensaje característico de un ataque de ransomware. Foto: S2 Grupo. Por ejemplo, si una empresa ha recuperado con éxito los datos de las copias de seguridad y no se muestra dispuesta a negociar, los atacantes pueden ejercer más presión sobre la empresa, lanzando un ataque de denegación de servicio distribuido o DdoS. Un ataque DdoS consiste en bloquear e inhabilitar un sistema informático saturándolo con una cantidad masiva de conexiones o peticiones, desde un gran numero de ordenadores o direcciones IP, simultáneamente y hacia el mismo servicio objeto del ataque. “El ransomware de triple extorsión es una extensión del ataque de doble extorsión añadiendo un punto o capa de presión adicional para que su víctima pague”, según los expertos de S2 Grupo. Además del cifrado de datos (primera capa) y la amenaza de fuga de datos importantes (segunda capa), el ciberdelincuente puede agregar otra táctica de extorsión (tercera capa), que puede ser cualquier tipo de técnica que logre que la empresa vulnerada o un tercero pague por los datos secuestrados, explican. De esta manera, “a medida que las tecnologías y estrategias de ataque se adaptan y transforman, los incidentes modernos pueden convertirse en una cadena de ransomware con un número de víctimas extorsionadas cada vez mayor”, advierten. RANSOMWARE DE EXTORSIÓN MÚLTIPLE "Por ejemplo, una táctica empleada en la tercera capa comentada anteriormente, también puede ser empleada para activar otras capas adicionales de extorsión”, según explica José Rosell a EFE. Explica que podría ocurrir que un actor malicioso cifre los datos de una organización y pida una recompensa por descifrarlos (primera capa), después amenace a dicha entidad con filtrar sus datos (segunda capa), seguidamente lance ataques de denegación de servicios contra sus sistemas para generar presión (tercera capa) y por último amenace a las personas cuya información se vería vulnerada si fuera exfiltrada (cuarta capa). Joven activando el acceso a su ordenador. Foto: DCStudio/Freepik. Para Rosell “es muy probable que los ciberdelincuentes utilicen cada vez más personas, colectivos u organizaciones para añadirlos a la cadena de extorsión y así aumentar progresivamente la probabilidad de éxito”. Siguiendo el ejemplo anterior, el ciberdelincuente podría continuar la cadena de extorsión amenazando a un ser querido de una persona afectada por la información que va a ser exfiltrada (quinta capa) y atacando a una empresa que tenga una gran relación comercial con la organización vulnerada en primer lugar para que esta segunda compañía presione a la primera para que pague para que cesen los ataques (sexta capa), señala Rosell. El ciberdelincuente podría añadir una séptima capa de extorsión, estudiando los datos robados para encontrar información sensible sobre filiales o compañías con un acuerdo comercial importante, y amenazarlas para que presionen en masa a la empresa originalmente atacada o paguen en su lugar, según este experto. Para estar protegido ante los ataques más básicos, el INCIBE español ofrece una guía con recomendaciones y prácticas eficaces contra el ransomware destinada al empresario, que puede descargarse desde: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf.