Ransomware: definición, ejemplos (WannaCry) y cómo protegerse

Descubre qué es el ransomware, cómo actuó WannaCry y aprende medidas prácticas para prevenir y recuperarte de ataques informáticos.

Autor: Leandro Alegsa

El ransomware es un tipo de malware. Restringe el acceso al sistema informático que infecta o a los datos que almacena (a menudo utilizando técnicas de cifrado), y exige el pago de un rescate al creador o creadores del malware. Esto es para que se elimine la restricción. Algunas formas de ransomware cifran los archivos del disco duro del sistema. Otras pueden simplemente bloquear el sistema y mostrar mensajes destinados a persuadir al usuario para que pague.

El ransomware se hizo popular por primera vez en Rusia. Ahora el uso de estafas de ransomware ha crecido a nivel internacional. En junio de 2013, McAfee dijo que había recogido más de 250.000 muestras únicas de ransomware en los tres primeros meses de 2013. Esta cifra es más del doble que la del año anterior. CryptoLocker, un gusano de ransomware que surgió a finales de 2013, había recaudado unos 3 millones de dólares antes de ser retirado por las autoridades.

En mayo de 2017, un ransomware llamado WannaCry se extendió por todo el mundo. Duró cuatro días y afectó a más de 200.000 ordenadores en 150 países. Solo se llegó a pagar unos 130.000 dólares (USD) de rescate, pero el ataque afectó a muchas grandes empresas y organizaciones. El Servicio Nacional de Salud del Reino Unido (NHS) se vio muy afectado por WannaCry. Los hospitales no pudieron acceder a sus archivos, por lo que se cancelaron muchas cirugías y se tuvo que rechazar a los pacientes. El NHS estaba especialmente en riesgo porque utilizaba una versión del sistema operativo Windows llamada Windows XP que Microsoft ya no soportaba. Esto significaba que Microsoft no había enviado actualizaciones de seguridad para esta versión de Windows, dejándola expuesta al virus WannaCry. Otros sistemas se vieron afectados a pesar de que ejecutaban versiones más nuevas de Windows, porque sus usuarios aún no habían instalado las actualizaciones de seguridad más recientes. Aunque no estaba diseñado para dañar realmente los ordenadores o sus archivos, WannaCry provocó una gran pérdida de tiempo y dinero, demostrando lo vulnerable que sigue siendo el mundo a los ataques de ransomware.

Tipos y cómo funciona el ransomware

Existen varias formas de ransomware, pero las más comunes son:

  • Crypto-ransomware: cifra archivos del usuario (documentos, fotos, bases de datos) y pide rescate a cambio de la clave de descifrado.
  • Locker-ransomware: bloquea el acceso al sistema operativo o a la interfaz de usuario, impidiendo usar el dispositivo aunque los archivos no estén cifrados.
  • Scareware: falsas alertas que simulan tener control del sistema y piden pago para “eliminar” el supuesto problema.

Modos habituales de infección:

  • Adjuntos maliciosos o enlaces en correos electrónicos de phishing.
  • Descarga de software pirata o archivos de fuentes no fiables.
  • Explotación de vulnerabilidades en servicios expuestos (por ejemplo, SMB en el caso de WannaCry).
  • Acceso mediante credenciales débiles o herramientas de administración remota comprometidas.

Ejemplos notables

  • WannaCry (mayo de 2017): explotó una vulnerabilidad conocida como EternalBlue en SMBv1 (vulnerabilidad puesta en evidencia por filtraciones relacionadas con la NSA). WannaCry se propagó de forma masiva por redes no parcheadas y pudo contenerse en parte gracias a la activación de un "kill switch" por un investigador de seguridad. Afectó especialmente a organizaciones con sistemas sin actualizar, como varios centros del NHS.
  • CryptoLocker (2013-2014): uno de los primeros en gran escala que cifraba archivos y exigía pago en criptomoneda.
  • Otros ejemplos recientes incluyen familias como NotPetya (con efectos destructivos que iban más allá del rescate), Ryuk, Sodinokibi/REvil, SamSam, entre otros.

Indicadores de infección

  • Mensajes de rescate en pantalla o archivos de texto con instrucciones para pagar.
  • Extensiones de archivos cambiadas misteriosamente (p. ej. .encrypted, .locked).
  • Imposibilidad de abrir archivos que antes funcionaban.
  • Actividad inusual en red o procesos que consumen muchos recursos.

Cómo protegerse (medidas preventivas)

Para individuos y organizaciones, la prevención es la estrategia más eficaz. Recomendaciones clave:

  • Copias de seguridad regulares: mantener backups periódicos y verificarlos; almacenarlos offline o en ubicaciones que no puedan ser alcanzadas por el ransomware (copias “air-gapped” o versiones inmutables).
  • Actualizar y parchear: instalar actualizaciones del sistema operativo y de aplicaciones tan pronto como estén disponibles (WannaCry explotó sistemas sin parchear).
  • Antivirus/EDR y soluciones de seguridad: usar y mantener actualizado un antivirus/EDR de buena reputación que detecte comportamientos sospechosos.
  • Segmentación de red y principio de menor privilegio: limitar el acceso entre distintas partes de la red y garantizar que los usuarios tengan solo los permisos necesarios.
  • Formación y concienciación: entrenar a usuarios para identificar correos de phishing, enlaces sospechosos y señales de ingeniería social.
  • Desactivar servicios inseguros: como SMBv1, RDP sin VPN o sin autenticación adecuada; proteger accesos remotos con MFA (autenticación multifactor).
  • Políticas de contraseñas y MFA: contraseñas robustas y autenticación multifactor para cuentas críticas.
  • Pruebas y planes de respuesta: preparar y ensayar planes de recuperación y respuesta a incidentes, incluyendo restauración desde backups.

Qué hacer si su equipo u organización está infectada

  • Desconectar inmediatamente: aislar la máquina afectada de la red para evitar propagación (desconectar cable de red, Wi‑Fi, etc.).
  • No reiniciar innecesariamente: en algunos casos apagar puede complicar la recuperación; consulte a un profesional en incidentes si no está seguro.
  • Preservar evidencia: tomar nota de mensajes, extensiones, direcciones de pago y conservar copias forenses si es posible.
  • No pagar el rescate automáticamente: pagar no garantiza la recuperación de datos y fomenta a los atacantes. Evalúe con especialistas y autoridades.
  • Contactar a las autoridades: denunciar el incidente a la policía o a la autoridad nacional competente en ciberseguridad.
  • Recuperación desde backups: si dispone de copias limpias, restaurar desde ellas después de asegurarse de que el entorno esté limpio y parcheado.
  • Consultar expertos: si el alcance es grande, contactar a un equipo de respuesta a incidentes o a proveedores de ciberseguridad.

Consideraciones sobre el pago del rescate

El pago suele realizarse en criptomonedas y no garantiza la devolución de los datos ni la ausencia de puertas traseras. Además, pagar puede implicar riesgos legales y financieros, y fomenta más ataques. Las agencias de seguridad y la mayoría de expertos recomiendan evitar el pago y priorizar recuperación a partir de copias de seguridad y medidas forenses.

Buenas prácticas específicas para organizaciones

  • Inventario de activos y clasificación de datos críticos.
  • Implementar soluciones centralizadas de gestión de parches.
  • Realizar pruebas periódicas de restauración de backups.
  • Monitorizar la red para detectores de intrusiones y actividad lateral.
  • Tener acuerdos con proveedores de respuesta a incidentes y seguros cibernéticos si procede.

Resumen: el ransomware sigue siendo una amenaza seria pero evitable en gran medida. Mantener sistemas actualizados, realizar copias de seguridad fiables, formar a los usuarios y disponer de un plan de respuesta son las mejores defensas para minimizar el riesgo y el impacto de un ataque.

Preguntas y respuestas

P: ¿Qué es el ransomware?


R: El ransomware es un tipo de software malicioso que restringe el acceso a un sistema informático o a sus datos, a menudo utilizando técnicas de encriptación, y exige que el usuario pague un rescate para que se elimine la restricción.

P: ¿Cómo se popularizó el ransomware?


R: El ransomware se popularizó por primera vez en Rusia, pero desde entonces su uso ha crecido a nivel internacional.

P: ¿Cuántas muestras únicas de ransomware recogió McAfee en 2013?


R: McAfee informó de la recogida de más de 250.000 muestras únicas de ransomware en los tres primeros meses de 2013.

P: ¿Cuál fue la cantidad estimada recaudada por CryptoLocker antes de ser retirado?


R: Según los informes, CryptoLocker había recaudado una cantidad estimada de 3 millones de dólares estadounidenses antes de ser desmantelado por las autoridades.

P: ¿Qué ocurrió durante el ataque WannaCry en 2017?


R: El ataque WannaCry se extendió por todo el mundo y afectó a más de 200.000 ordenadores en 150 países. Duró cuatro días y sólo se llegaron a pagar unos 130.000 dólares (USD) en concepto de rescate. El Servicio Nacional de Salud (NHS) del Reino Unido se vio especialmente afectado, ya que utilizaban una versión obsoleta de Windows a la que Microsoft ya no daba soporte con actualizaciones de seguridad.

P: ¿Por qué algunos sistemas seguían afectados a pesar de tener instaladas versiones más recientes de Windows?


R: Algunos sistemas seguían afectados a pesar de tener instaladas versiones más recientes de Windows porque sus usuarios aún no habían instalado las actualizaciones de seguridad más recientes.

P: ¿Qué efecto tuvo WannaCry en personas y organizaciones de todo el mundo?


R:El virus WannaCry provocó una gran pérdida de tiempo y dinero a personas y organizaciones de todo el mundo, demostrando lo vulnerables que somos a los ataques de ransomware.


Buscar dentro de la enciclopedia
AlegsaOnline.com - 2020 / 2025 - License CC3