El ransomware es un tipo de malware. Restringe el acceso al sistema informático que infecta o a los datos que almacena (a menudo utilizando técnicas de cifrado), y exige el pago de un rescate al creador o creadores del malware. Esto es para que se elimine la restricción. Algunas formas de ransomware cifran los archivos del disco duro del sistema. Otras pueden simplemente bloquear el sistema y mostrar mensajes destinados a persuadir al usuario para que pague.

El ransomware se hizo popular por primera vez en Rusia. Ahora el uso de estafas de ransomware ha crecido a nivel internacional. En junio de 2013, McAfee dijo que había recogido más de 250.000 muestras únicas de ransomware en los tres primeros meses de 2013. Esta cifra es más del doble que la del año anterior. CryptoLocker, un gusano de ransomware que surgió a finales de 2013, había recaudado unos 3 millones de dólares antes de ser retirado por las autoridades.

En mayo de 2017, un ransomware llamado WannaCry se extendió por todo el mundo. Duró cuatro días y afectó a más de 200.000 ordenadores en 150 países. Solo se llegó a pagar unos 130.000 dólares (USD) de rescate, pero el ataque afectó a muchas grandes empresas y organizaciones. El Servicio Nacional de Salud del Reino Unido (NHS) se vio muy afectado por WannaCry. Los hospitales no pudieron acceder a sus archivos, por lo que se cancelaron muchas cirugías y se tuvo que rechazar a los pacientes. El NHS estaba especialmente en riesgo porque utilizaba una versión del sistema operativo Windows llamada Windows XP que Microsoft ya no soportaba. Esto significaba que Microsoft no había enviado actualizaciones de seguridad para esta versión de Windows, dejándola expuesta al virus WannaCry. Otros sistemas se vieron afectados a pesar de que ejecutaban versiones más nuevas de Windows, porque sus usuarios aún no habían instalado las actualizaciones de seguridad más recientes. Aunque no estaba diseñado para dañar realmente los ordenadores o sus archivos, WannaCry provocó una gran pérdida de tiempo y dinero, demostrando lo vulnerable que sigue siendo el mundo a los ataques de ransomware.

Tipos y cómo funciona el ransomware

Existen varias formas de ransomware, pero las más comunes son:

  • Crypto-ransomware: cifra archivos del usuario (documentos, fotos, bases de datos) y pide rescate a cambio de la clave de descifrado.
  • Locker-ransomware: bloquea el acceso al sistema operativo o a la interfaz de usuario, impidiendo usar el dispositivo aunque los archivos no estén cifrados.
  • Scareware: falsas alertas que simulan tener control del sistema y piden pago para “eliminar” el supuesto problema.

Modos habituales de infección:

  • Adjuntos maliciosos o enlaces en correos electrónicos de phishing.
  • Descarga de software pirata o archivos de fuentes no fiables.
  • Explotación de vulnerabilidades en servicios expuestos (por ejemplo, SMB en el caso de WannaCry).
  • Acceso mediante credenciales débiles o herramientas de administración remota comprometidas.

Ejemplos notables

  • WannaCry (mayo de 2017): explotó una vulnerabilidad conocida como EternalBlue en SMBv1 (vulnerabilidad puesta en evidencia por filtraciones relacionadas con la NSA). WannaCry se propagó de forma masiva por redes no parcheadas y pudo contenerse en parte gracias a la activación de un "kill switch" por un investigador de seguridad. Afectó especialmente a organizaciones con sistemas sin actualizar, como varios centros del NHS.
  • CryptoLocker (2013-2014): uno de los primeros en gran escala que cifraba archivos y exigía pago en criptomoneda.
  • Otros ejemplos recientes incluyen familias como NotPetya (con efectos destructivos que iban más allá del rescate), Ryuk, Sodinokibi/REvil, SamSam, entre otros.

Indicadores de infección

  • Mensajes de rescate en pantalla o archivos de texto con instrucciones para pagar.
  • Extensiones de archivos cambiadas misteriosamente (p. ej. .encrypted, .locked).
  • Imposibilidad de abrir archivos que antes funcionaban.
  • Actividad inusual en red o procesos que consumen muchos recursos.

Cómo protegerse (medidas preventivas)

Para individuos y organizaciones, la prevención es la estrategia más eficaz. Recomendaciones clave:

  • Copias de seguridad regulares: mantener backups periódicos y verificarlos; almacenarlos offline o en ubicaciones que no puedan ser alcanzadas por el ransomware (copias “air-gapped” o versiones inmutables).
  • Actualizar y parchear: instalar actualizaciones del sistema operativo y de aplicaciones tan pronto como estén disponibles (WannaCry explotó sistemas sin parchear).
  • Antivirus/EDR y soluciones de seguridad: usar y mantener actualizado un antivirus/EDR de buena reputación que detecte comportamientos sospechosos.
  • Segmentación de red y principio de menor privilegio: limitar el acceso entre distintas partes de la red y garantizar que los usuarios tengan solo los permisos necesarios.
  • Formación y concienciación: entrenar a usuarios para identificar correos de phishing, enlaces sospechosos y señales de ingeniería social.
  • Desactivar servicios inseguros: como SMBv1, RDP sin VPN o sin autenticación adecuada; proteger accesos remotos con MFA (autenticación multifactor).
  • Políticas de contraseñas y MFA: contraseñas robustas y autenticación multifactor para cuentas críticas.
  • Pruebas y planes de respuesta: preparar y ensayar planes de recuperación y respuesta a incidentes, incluyendo restauración desde backups.

Qué hacer si su equipo u organización está infectada

  • Desconectar inmediatamente: aislar la máquina afectada de la red para evitar propagación (desconectar cable de red, Wi‑Fi, etc.).
  • No reiniciar innecesariamente: en algunos casos apagar puede complicar la recuperación; consulte a un profesional en incidentes si no está seguro.
  • Preservar evidencia: tomar nota de mensajes, extensiones, direcciones de pago y conservar copias forenses si es posible.
  • No pagar el rescate automáticamente: pagar no garantiza la recuperación de datos y fomenta a los atacantes. Evalúe con especialistas y autoridades.
  • Contactar a las autoridades: denunciar el incidente a la policía o a la autoridad nacional competente en ciberseguridad.
  • Recuperación desde backups: si dispone de copias limpias, restaurar desde ellas después de asegurarse de que el entorno esté limpio y parcheado.
  • Consultar expertos: si el alcance es grande, contactar a un equipo de respuesta a incidentes o a proveedores de ciberseguridad.

Consideraciones sobre el pago del rescate

El pago suele realizarse en criptomonedas y no garantiza la devolución de los datos ni la ausencia de puertas traseras. Además, pagar puede implicar riesgos legales y financieros, y fomenta más ataques. Las agencias de seguridad y la mayoría de expertos recomiendan evitar el pago y priorizar recuperación a partir de copias de seguridad y medidas forenses.

Buenas prácticas específicas para organizaciones

  • Inventario de activos y clasificación de datos críticos.
  • Implementar soluciones centralizadas de gestión de parches.
  • Realizar pruebas periódicas de restauración de backups.
  • Monitorizar la red para detectores de intrusiones y actividad lateral.
  • Tener acuerdos con proveedores de respuesta a incidentes y seguros cibernéticos si procede.

Resumen: el ransomware sigue siendo una amenaza seria pero evitable en gran medida. Mantener sistemas actualizados, realizar copias de seguridad fiables, formar a los usuarios y disponer de un plan de respuesta son las mejores defensas para minimizar el riesgo y el impacto de un ataque.