Todos los artículos


Ransomware: qué es y cómo protegerse con copias de seguridad



Uno de los mayores riesgos de ciberseguridad para las empresas en los últimos años es la propagación masiva de virus “ransomware”, que abarcan desde nombres históricos como Cryptolocker, Locky, TeslaCrypt o Wannacry, hasta las amenazas más recientes de los últimos años:

  • LockBit: a pesar de algunas acciones policiales, LockBit siguió siendo uno de los grupos más activos durante gran parte del período, aunque su actividad parece haber disminuido en la segunda mitad de 2024.
  • RansomHub: surgido en 2024, RansomHub se ha convertido rápidamente en uno de los grupos RaaS más destacados por cantidad de ataques reclamados.
  • Juego: Este grupo es conocido por su agresividad y explotación de vulnerabilidades.
  • Akira: Se cree que tiene vínculos con el extinto Grupo Conti y ha mostrado una actividad significativa.
  • Black Basta: Otro grupo con posibles vínculos con Conti, sigue activo.
  • Qilin (también conocido como Agenda): apareció en 2022, aumentó su actividad en 2024.
  • Medusa: Conocida por sus tácticas de extorsión y presencia en los medios.
  • Clop: Si bien desaceleró su actividad después de una serie de ataques de alto perfil en 2023 (como los relacionados con MOVEit), siguió siendo una amenaza.
  • Killsec: Un nuevo grupo surgió en 2024 con una actividad significativa.
  • BianLian: Un grupo conocido por la extorsión sin cifrado.

La amplia difusión de estos virus se debe a algunos factores clave simples , a saber, la capacidad de engañar a los usuarios con sitios, correos electrónicos o mensajes que parecen perfectamente legítimos (pero que contienen el virus como un archivo adjunto disfrazado de factura u otro documento) y la dificultad de los antivirus para detectar a tiempo la actividad sospechosa realizada por estos malware, debido también a la continua aparición de nuevas variantes del mismo y de nuevas organizaciones criminales.

La escalada del fenómeno ransomware en los últimos años se ha visto impulsada significativamente por la proliferación de estructuras criminales que ofrecen el llamado “Ransomware-as-a-Service” (RaaS) . Este modelo operativo permite a los afiliados, a menudo con experiencia técnica limitada, aprovechar infraestructuras de ransomware preexistentes desarrolladas y operadas por grupos criminales más experimentados. En la práctica, los creadores de ransomware proporcionan el código malicioso, pasarelas de pago y asistencia para llevar a cabo los ataques, a cambio de un porcentaje del rescate pagado por la víctima. Esta “democratización” de los ciberataques ha reducido las barreras de entrada para los ciberdelincuentes, lo que ha provocado un aumento exponencial del número de ataques y la propagación de amenazas cada vez más sofisticadas.

¿Qué hace un virus ransomware?

Pero ¿qué hacen exactamente los ransomware como Lockbit? ¿Y por qué se han definido como devastadores para la seguridad y la retención de datos de empresas y usuarios privados?

En el nivel básico, estos virus hacen algo muy simple : cifran, y por lo tanto hacen inaccesibles (ya no se pueden “abrir”, por así decirlo), casi todos los archivos de una computadora , y especialmente todos los archivos que pueden ser importantes, como archivos de Excel, documentos (.doc, .docx, etc.), imágenes JPEG (es decir, todas las imágenes y fotos), PDF, archivos Zip, etc.

Una vez que el virus haya cifrado estos archivos, ya no podrá abrirlos de ninguna manera a menos que conozca la contraseña de cifrado y utilice un software específico que pueda realizar el descifrado. Una vez completada la infección, el ransomware mostrará una ventana en la pantalla advirtiendo al usuario de que todos sus archivos han sido cifrados y que para recuperarlos tendrá que pagar un rescate dentro de un plazo determinado. A continuación se muestra una ventana de ejemplo:

Si todos nuestros archivos se han vuelto inaccesibles debido al ransomware, la situación en este punto puede ser realmente desesperada. Es un hecho bien conocido que muchas empresas deciden pagar el rescate (lo que, sin embargo, solo en algunos casos puede permitirles recuperar sus archivos), pero esta solución siempre es desaconsejable por varias razones.

No pague el rescate: Por qué ceder a las exigencias de los ciberdelincuentes es un grave error

No, bajo ninguna circunstancia debes pagar el rescate ni intentar negociar con los criminales responsables del ataque.

Si bien hemos visto que algunos gobiernos estatales y locales de EE. UU. ceden a las demandas de los ciberdelincuentes, siguen siendo la excepción: solo un pequeño porcentaje ha pagado para recuperar sus datos de los ataques de ransomware.

Lo más probable es que su pago financie el desarrollo y lanzamiento de nuevas variantes de ransomware, así como potencialmente otras actividades delictivas. Al negarse a pagar, puede ayudar a otras víctimas potenciales a evitar ataques futuros. Además, no tienes garantía de que recuperarás tus archivos: en algunos casos, los piratas informáticos enviaron claves de descifrado inútiles, en otros no enviaron nada en absoluto. Si bien prefieren mantener una reputación “honorable” para inspirar confianza en sus víctimas, no existe honor entre los ladrones cibernéticos.

Qué hacer si ha sido víctima de un ataque de ransomware

Lo mejor es confiar en una empresa especializada en la posible recuperación de archivos o empresas que ya hayan tenido casos similares y por tanto sepan cómo actuar.

Como sabemos actualmente, con muchas de las primeras variantes de ransomware, puede confiar en servicios que le permitan descifrar y recuperar sus archivos con un costo mínimo. Casi todas las empresas antivirus ofrecen herramientas de descifrado de archivos y eliminación de ransomware, como:

Kaspersky: https://noransom.kaspersky.com/

Trendmicro: https://success.trendmicro.com/en-US/solution/KA-0006362

Las  pautas a seguir cuando te das cuenta de que has sido infectado por un ransomware como Lockbit son las siguientes:

  1. Si nota que algunos archivos se han vuelto inaccesibles, pero aún no ha aparecido ninguna ventana de rescate, le recomendamos que apague inmediatamente su computadora, la desconecte de la red y retire cualquier disco externo u otros dispositivos de almacenamiento de datos para evitar una vulneración total. Así que recurramos a personal experto para limpiar el sistema antes de reiniciarlo.
  2. Si la infección ya se ha producido y ha aparecido la ventana de rescate, tomamos nota de los enlaces proporcionados por el virus para pagar el rescate (como último recurso) y luego procedemos a eliminar el virus. Nuevamente, desconectamos cualquier dispositivo de red o discos externos u otros discos que pudieran ser alcanzados y comprometidos por el virus. También desconectamos el ordenador de la red. Usaremos una memoria USB para copiar cualquier herramienta de eliminación, limpieza y recuperación.
  3. Procedemos a la eliminación del virus y al intento de recuperar los archivos con las herramientas que proporciona el antivirus.

Luego se puede realizar un análisis y eliminación adicional con cualquier antivirus actualizado.

A continuación, protejámonos inmediatamente de posibles reinfecciones utilizando herramientas de monitorización más “agresivas” de posibles actividades maliciosas como las típicas del ransomware. Todos los antivirus recientes proporcionan este tipo de protección en tiempo real, como Avast: https://www.avast.com/c-how-to-prevent-ransomware

El mejor remedio: tener siempre una copia de seguridad a la que no pueda acceder el ransomware

Hasta ahora hemos hablado del peor escenario posible, es decir, cuando todos nuestros archivos se pierden (“temporalmente”) y no tenemos copias de seguridad de ellos. Esto nos coloca en la tesitura de tener que recurrir a expertos en recuperación de datos, o en todo caso de tener que utilizar herramientas específicas para la eliminación del virus ransomware y el descifrado de los archivos. Finalmente, si todo esto no funciona, nuestro único recurso es pagar un rescate y esperar que los cibercriminales que crearon el virus todavía estén “alcanzables”, que no hayan sido arrestados o los sitios bloqueados (en cuyo caso es una buena idea averiguar sobre cualquier operación policial reciente, que de alguna manera pueda haber obtenido acceso a las fuentes del virus y, por lo tanto, a las claves de descifrado).

En este artículo, sin embargo, también queremos hablar de  la prevención , es decir, de las formas de protegernos de Cryptolocker, Wannacry, Lockbit y todos los demás ransomware para que un posible ataque no bloquee nuestra empresa y no nos haga perder todos nuestros datos personales. Las pautas básicas a seguir son obviamente la instalación de software antivirus y/o firewall, y, como nos enseñó el caso Wannacry, mantener siempre el sistema operativo actualizado con los últimos parches de seguridad . Además de eso, la mejor forma de escapar ileso de una infección de ransomware es tener una estrategia de respaldo de datos exhaustiva y efectiva planificada con anticipación. En esta segunda parte del artículo daremos algunos consejos sobre cómo realizar un backup de la mejor manera con Iperius Backup .

Pensamos explicarlo de forma clara y esquemática a través de las siguientes preguntas y respuestas:

  • ¿Qué tipos de copias de seguridad se recomiendan para recuperar archivos después de un ataque de ransomware?
     En primer lugar, las copias de seguridad externas , es decir, las copias de seguridad online en la nube y en FTP, porque a estos destinos el virus no puede acceder. Por ello, las copias de seguridad en medios extraíbles externos , como discos USB y cartuchos RDX, que pueden reemplazarse de forma rotatoria mensual, desconectarse físicamente y llevarse a una ubicación fuera de la empresa, también son útiles en caso de robo o desastres ambientales ( air-gap backup ). Siempre elegimos dos o más destinos para nuestro backup, con diferentes operaciones y horarios . Iperius puede realizar copias de seguridad en línea en Google Drive, Dropbox, OneDrive, Amazon S3, Azure Storage y cualquier servidor FTPS/SFTP. Finalmente, Iperius admite copias de seguridad inmutables mediante Object Lock en Amazon S3 . Todas estas estrategias, también conocidas como el método 3-2-1, te brindan la seguridad de tener siempre una copia restaurable de tus datos. Iperius Backup también proporciona un espacio seguro para el almacenamiento en la nube compatible con GDPR en la Unión Europea: Iperius Storage . Para obtener más información sobre las copias de seguridad en la nube, lea los tutoriales relacionados .
  • ¿Con qué frecuencia debo programar copias de seguridad?
     La recomendación básica es crear varias operaciones de backup, con diferentes programaciones . Debe haber una copia de seguridad diaria, pero también semanal y mensual. Esto es para evitar que las copias de seguridad anteriores se sobrescriban inadvertidamente con copias cifradas de los archivos en caso de una infección (lo que le da un margen de tiempo para notar la infección). Tenga cuidado con las copias de seguridad realizadas los domingos, ya que a veces pueden producirse infecciones automáticas los fines de semana.
  • ¿Qué modo de backup debo utilizar?
     El consejo es realizar copias de seguridad diarias con el modo Completo + Incremental o Completo + Diferencial (para tener un histórico de archivos modificados), y copias de seguridad semanales y mensuales que inicialmente realicen una copia de seguridad completa y posteriormente actualicen esta copia de seguridad solo con los archivos nuevos o modificados. Este tipo de copia de seguridad se puede realizar en destinos FTP/SFTP, unidades externas, RDX, NAS, servidores o computadoras en red. También se recomiendan las copias de seguridad en cintas LTO (incluso con casetes WORM, que solo se pueden escribir una vez y que hacen que las copias de seguridad sean efectivamente inmutables ), especialmente en entornos corporativos y de servidores, ya que se encuentran en un tipo de dispositivo al que no pueden acceder estos virus.
    Por último, es absolutamente recomendable realizar también una copia de seguridad de imagen (imagen de disco) , es decir, una copia de seguridad completa de todo el disco con una frecuencia semanal o mensual, tanto porque nos permite restaurar rápidamente todo el sistema a su estado previo a la infección, sin tener que rehacer configuraciones ni reinstalar programas. Esto es muy importante para la continuidad del negocio y para poder volver a funcionar lo más rápido posible. Lea los tutoriales para realizar copias de seguridad y restaurar imágenes de disco .
  • Sé que el virus también puede llegar a las carpetas de red y comprometer las copias de seguridad. ¿Cómo protejo el NAS donde realizo copias de seguridad?
     La pregunta es muy importante. Hay varias formas de proteger un NAS de ser infectado por un virus ransomware como Cryptolocker o Lockbit. Por ejemplo, puede elegir no compartir ninguna carpeta del NAS en la red y, en su lugar, utilizar su servidor FTP o S3. Con Iperius es posible configurar un backup FTP o S3 en NAS que soporten estos protocolos (casi todos). De esta manera el NAS no será accesible para el virus de ninguna manera.
    O bien, si desea conservar los recursos compartidos de la red NAS, deberá asegurarse de que solo un usuario específico pueda tener permisos de escritura en sus carpetas. Luego puede crear una cuenta específica para realizar copias de seguridad en Windows (o en Active Directory para las computadoras que estén en un dominio) y luego usar esta cuenta para ejecutar el servicio Iperius (o para suplantar el proceso Iperius), que es responsable de ejecutar las copias de seguridad programadas. De esta forma sólo Iperius tendrá acceso de escritura a las carpetas del NAS (donde obviamente le habremos dado derechos de escritura a las carpetas compartidas sólo a ese usuario).

Una opción para proteger las copias de seguridad del ransomware

Como medida de seguridad adicional para evitar casos de corrupción de copias de seguridad anteriores después de una infección de ransomware, Iperius proporciona una opción específica que le permite detectar la presencia de archivos dañados o cifrados por virus ransomware antes de realizar copias de seguridad de archivos y carpetas en destinos locales, de red o en la nube. Este escaneo inteligente protege las copias de seguridad anteriores para que no sean sobrescritas por copias comprometidas de archivos, protegiéndolas así de ataques de virus. En la imagen de abajo vemos cómo habilitar esta opción:

En esta opción también puedes excluir algunas extensiones del escaneo, en caso de que ocurran falsos positivos.

Consideraciones sobre el robo y difusión de datos sensibles

Lamentablemente, existe otro peligro en los últimos ataques de ransomware y es que la copia de seguridad no puede ser la única solución. De hecho, las campañas de ransomware modernas han evolucionado sus tácticas y van más allá del simple cifrado de datos como única forma de coerción. Cada vez más, los operadores de ransomware están adoptando una estrategia de “ doble extorsión ”: además de hacer que los archivos sean inaccesibles mediante el cifrado, exfiltran una cantidad significativa de datos confidenciales antes del ataque. Esta medida agrega una capa adicional de presión sobre las víctimas, ya que la amenaza ya no es sólo la pérdida de operaciones debido a sistemas bloqueados, sino también la posible divulgación pública de información confidencial, lo que resulta en daños a la reputación, sanciones regulatorias y pérdida de confianza de los clientes y socios . El ataque a Foxconn en México en 2022 es un claro ejemplo de ello, donde el compromiso de datos y la amenaza de difusión se convierten en un arma poderosa en manos de los cibercriminales: https://www.bleepingcomputer.com/news/security/foxconn-confirms-ransomware-attack-disrupted-production-in-mexico/

Conclusiones

En conclusión, frente a la amenaza persistente y sofisticada del ransomware, una estrategia de defensa eficaz no puede ignorar un sistema de respaldo robusto y resistente. La adopción de soluciones como Iperius Backup para implementar backups inmutables, aprovechando tecnologías como Object Lock en Amazon S3 y el archivado en WORM LTO Tape, junto con la creación de copias Air-Gap en medios físicamente extraíbles, representa un baluarte fundamental contra la pérdida de datos y la interrupción del negocio. Sin embargo, es fundamental destacar que la copia de seguridad es solo un elemento de una estrategia integral de ciberseguridad. La prevención, a través de la capacitación de los empleados en ciberseguridad y la implementación de antivirus avanzados, firewalls correctamente configurados y la adopción de herramientas de seguridad adicionales, sigue siendo la primera línea de defensa para reducir significativamente el riesgo de ser víctima de ataques de ransomware. Solo un enfoque sinérgico que combine una sólida estrategia de respaldo y recuperación ante desastres con medidas de prevención proactivas puede garantizar una verdadera resiliencia digital para las organizaciones.

Más información sobre el ransomware: https://www.crowdstrike.com/en-us/cybersecurity-101/ransomware/



Para cualquier pregunta o duda sobre este artículo, Contáctanos