Tiempo de lectura: 6 minutos y 40 segundos | Publicado: 10 de marzo de 2025

Ransomware ¿Qué es ransomware?
El ransomware es un tipo de ciberataque diseñado para obtener acceso a un sistema y cifrar los archivos alojados en el mismo. Los archivos no podrán descifrarse sin una clave privada, que los delincuentes solo entregarán previo pago de un rescate.


¿Cómo se resuelven los ataques de ransomware?
Los atacantes a menudo exigen un rescate a cambio de una clave de descifrado. Por desgracia, los delincuentes raras veces entregan la clave para descifrar los datos aún cuando se realiza el pago del rescate, privando a las víctimas tanto del importe del rescate como de sus datos.
El coste medio de la recuperación ante ransomware (sin incluir el pago del rescate) para las organizaciones es de 2,73 millones de dólares.
¿Por qué los ataques de ransomware son cada vez más frecuentes?
El ransomware es una preocupación siempre presente para las organizaciones. Según un estudio de ESG, el 75 % de las organizaciones ha experimentado algún ataque de ransomware en los últimos 12 meses, con un 10 % de ellas enfrentándose a ataques diarios.
El ransomware es un gran negocio. Muchos de los que perpetran este tipo de ataques se tratan de grupos de crimen organizado. Como industria, el ransomware tenía un valor aproximado de 14 mil millones de dólares hace tan solo unos años.
Ejemplos de ransomware
Algunos ataques de ransomware se inician cuando se incita a un usuario a abrir un archivo; con frecuencia se trata de un adjunto a un correo electrónico que, una vez abierto, descarga código malicioso que se propaga por toda la red. Otros aprovechan los puntos débiles de los sistemas operativos, las debilidades en los sistemas de seguridad físicos o las vulnerabilidades del software para obtener acceso a una red e instalarse en el sistema.
La primera gran amenaza de ransomware a gran escala comenzó en septiembre de 2013 con la aparición de CryptoLocker, un troyano que engañaba a los usuarios para que descargasen un archivo que, acto seguido, infectaba todos los sistemas y escaneaba la red en busca de sistemas y archivos adicionales que cifrar. En mayo de 2014, fruto de una operación conjunta entre agencias de seguridad y cuerpos de seguridad del estado, se logró acabar con el troyano CryptoLocker. No obstante, algunas imitaciones todavía siguen en activo.
Desde la desactivación de CryptoLocker, se han desarrollado otras muchas familias de ransomware. Entre las más frecuentes figuran Conti, Maze (Egregor), Sodinokibi (REvil), TorrentLocker, WannaCry, Petya (NotPetya), Ryuk y MegaCortex. Sea cual sea su nombre, su objetivo es el mismo: obtener dinero de sus víctimas mediante extorsión a cambio de la clave para descifrar sus datos archivos.
Los nuevos esquemas de ransomware como servicio (RaaS), que permiten que cualquiera con conocimientos informáticos básicos y acceso a Internet pueda acceder al negocio del ransomware, están contribuyendo a un crecimiento significativo de este tipo de ataque. El autor del ransomware pone recursos, como las herramientas de cifrado, la comunicación con las víctimas y el cobro del rescate, a disposición de otros ciberdelincuentes a cambio de un porcentaje del importe del rescate.
¿Qué puedes hacer para protegerte de los ataques de ransomware?
Muchos de los ataques de ransomware actuales son difíciles de detectar porque, en gran medida, logran permanecer ocultos de administradores de sistemas y la protección de extremos. De este modo, los delincuentes logran mantenerse en el dispositivo durante mucho tiempo y, por tanto, tienen la capacidad para provocar daños a voluntad. La persistencia media de un ataque de ransomware es de 24 días, por lo que los delincuentes disponen de tiempo y oportunidades suficientes para acceder a los datos de una organización y manipularlos a su antojo.
Basta con que un usuario gestione sus contraseñas de manera inadecuada o haga clic en un enlace de un correo electrónico de phishing para poner en riesgo toda la red de una empresa. Un paso importante para reducir el riesgo de entrada de ransomware en las redes de las empresas es poner en marcha cursos de formación sobre concienciación en seguridad dirigidos a los empleados. Esta formación deberá repetirse de forma periódica para estar al día de los avances en las técnicas empleadas para llevar a cabo los ciberataques.
La mejor manera de protegerse frente al malware que explota las vulnerabilidades de software es mantener los sistemas operativos y las aplicaciones cruciales perfectamente actualizados y con todas las reparaciones instaladas. La supervisión de la red, la protección de contraseñas, la autenticación multifactorial (MFA) y las medidas de seguridad para puntos de conexión son tácticas y tecnologías de gran utilidad para reducir el perfil de amenazas de una organización.
Si bien el descubrimiento del cifrado de datos y la solicitud de rescate pueden ser los signos más visibles del ransomware, estos se producen al final de un ataque. Si las organizaciones son capaces de detectar indicios de un ataque de ransomware de forma temprana, pueden tener la posibilidad de detener el ataque y prevenir daños mayores. Utiliza sistemas de detección y prevención de intrusiones (IDS/IPS) para controlar los flujos de tráfico de red entrante y saliente y bloquear actividades maliciosas y sospechosas. Si se detecta actividad de amenazas potenciales, las herramientas IDS/IPS pueden enviar información sobre las amenazas a todo el ecosistema de seguridad para tomar acciones de protección adicionales.
Puesto que resulta imposible eliminar por completo la amenaza de un ataque de ransomware, contar con una sólida estrategia de copia de seguridad puede ayudar a acelerar la recuperación de una organización víctima de un ataque, con una interrupción mínima de las operaciones. Estas copias de seguridad deben residir en una ubicación al margen de la red para evitar el acceso de malware, puesto que la mayoría del ransomware intentará cifrar también las copias de seguridad.
¿Cómo se propaga el ransomware?
Muchos de los ataques de ransomware actuales son difíciles de detectar porque, en gran medida, logran permanecer ocultos de administradores de sistemas y la protección de extremos. De este modo, los delincuentes logran mantenerse en el dispositivo durante mucho tiempo y, por tanto, tienen la capacidad para provocar daños a voluntad. La persistencia media de un ataque de ransomware es de 24 días, por lo que los delincuentes disponen de tiempo y oportunidades suficientes para acceder a los datos de una organización y manipularlos a su antojo.
Basta con que un usuario gestione sus contraseñas de manera inadecuada o haga clic en un enlace de un correo electrónico de phishing para poner en riesgo toda la red de una empresa. Un paso importante para reducir el riesgo de entrada de ransomware en las redes de las empresas es poner en marcha cursos de formación sobre concienciación en seguridad dirigidos a los empleados. Esta formación deberá repetirse de forma periódica para estar al día de los avances en las técnicas empleadas para llevar a cabo los ciberataques.
La mejor manera de protegerse frente al malware que explota las vulnerabilidades de software es mantener los sistemas operativos y las aplicaciones cruciales perfectamente actualizados y con todas las reparaciones instaladas. La supervisión de la red, la protección de contraseñas, la autenticación multifactorial (MFA) y las medidas de seguridad para puntos de conexión son tácticas y tecnologías de gran utilidad para reducir el perfil de amenazas de una organización.
Puesto que resulta imposible eliminar por completo la amenaza de un ataque de ransomware, contar con una sólida estrategia de copia de seguridad puede ayudar a acelerar la recuperación de una organización víctima de un ataque, con una interrupción mínima de las operaciones. Estas copias de seguridad deben residir en una ubicación al margen de la red para evitar el acceso de malware, puesto que la mayoría del ransomware intentará cifrar también las copias de seguridad:
- Phishing por correo electrónico: un vector frecuente de ransomware es el phishing por correo electrónico. Los delincuentes envían a sus víctimas potenciales mensajes de correo electrónico que parecen proceder de una fuente de confianza. Por norma general, estos mensajes intentan que el destinatario introduzca algún tipo de credencial personal en una página web falsificada o descargue un archivo que contiene malware.
- Protocolo de escritorio remoto (RDP): es un protocolo de Microsoft que permite a los usuarios conectarse de forma remota a un sistema y ejecutar comandos en el mismo. Por desgracia, la seguridad del RDP depende en gran manera de que los usuarios tengan unas contraseñas exclusivas y sólidas, lo que, en la práctica, no suele ser el caso. Los delincuentes pueden descifrar con facilidad las credenciales del RDP o comprar nombres de usuarios y contraseñas pirateados en la Dark web para acceder a un sistema.
- Vulnerabilidades de software: representan otro método frecuente para la entrada del ransomware. El software que no se ha actualizado crea lagunas en las arquitecturas de seguridad y abre a la puerta al malware. Estas vulnerabilidades son un objetivo relativamente sencillo para los delincuentes pues no necesitan robar, piratear ni obtener credenciales de ninguna otra forma.
¿Cómo puede HPE protegerte contra los ataques de ransomware?
Desafortunadamente, incluso los mejores sistemas y prácticas de seguridad no nos protegen totalmente frente a los ataques de ransomware. Contar con una estrategia de seguridad por capas y un plan integral de copia de seguridad y recuperación de datos son elementos fundamentales para detectar y defenderse en las primeras fases de un ataque, restaurar las operaciones y minimizar la posible pérdida de datos en caso de que se produzca un ataque.
Una solución hiperconvergente HPE SimpliVity consolida la infraestructura de TI y simplifica tanto la estrategia de protección de datos como el proceso de recuperación, en especial para aquellas empresas que cuentan con diversas oficinas remotas. Estas soluciones incorporan funciones, como protección de datos integrada, para ayudar a reducir la carga y brindar una protección más eficaz en toda la empresa, tanto en las oficinas locales como remotas (ROBO). Unas prácticas de datos eficientes permiten la realización de copias de seguridad más frecuentes para obtener una protección de datos casi continua, mayores periodos de retención y una recuperación más rápida. Incluso en caso de una infección por ransomware, una máquina virtual y todos sus datos pueden restaurarse de forma sencilla y ágil, minimizando el tiempo de inactividad, las interrupciones del negocio y la pérdida de ingresos.
HPE StoreOnce es un dispositivo (o máquina virtual) de copia de seguridad específica que incluye almacenes HPE StoreOnce Catalyst para aislar de manera eficaz los datos críticos de los ataques de ransomware. Como resultado de ello, los delincuentes no podrán tener acceso a los datos sin recurrir a interacciones físicas directas que, en última instancia, destruyen de forma total o parcial el propio hardware. Incluso aunque se destruya el hardware en una única ubicación, bien por causa de un ataque de malware o un desastre natural, la avanzada implementación de almacenes HPE StoreOnce Catalyst (distribuida) protegería los datos para tareas cruciales mediante un aislamiento eficaz de las líneas de comunicación y los conjuntos de comandos tradicionales de los que se aprovechan los autores de los ataques de ransomware.
HPE Zerto Software proporciona protección de datos continua (CDP) y recuperación inigualable basada en registros para tus aplicaciones y datos virtualizados y contenedorizados, del extremo a la nube. La plataforma HPE Zerto Software proporciona flexibilidad con protección integral para todo tipo de nubes, ya sean nubes privadas, públicas o implementaciones nativas de la nube. Su arquitectura con escalabilidad horizontal puede proteger PB de datos y miles de máquinas virtuales. La solución basada únicamente en software copia cada cambio en los datos, con independencia del hardware subyacente, sin ralentizar los sistemas de producción.
Las redes HPE Aruba Networking, que priorizan la seguridad y están impulsadas por IA, proporcionan una base de confianza cero común que los equipos de seguridad y redes pueden usar para poner en marcha iniciativas empresariales de uso de IoT e IA, sin tener que sacrificar la protección de ciberseguridad.
HPE Aruba Networking Central supervisa la red para detectar actividad maliciosa, usando firmas de inteligencia de amenazas IDS/IPS para inspeccionar el tráfico de la red y detectar patrones que coincidan con la cadena de eliminación del ransomware, generar eventos de amenaza y (si los administradores de seguridad lo habilitan) descartar paquetes de datos maliciosos. Estas capacidades proporcionan una capa adicional de protección que analiza activamente la red, proporciona avisos y toma medidas en tiempo real basadas en reglas sobre los flujos de tráfico para prevenir amenazas como el ransomware. Los webhooks en HPE Aruba Networking Central también se pueden configurar con el fin de enviar una notificación a HPE Zerto Software para que tome medidas preventivas.
Para combatir los ataques basados en malware antes de que puedan propagarse, una función de espacio aislado dentro de HPE Aruba Networking SSE permite a las organizaciones probar archivos sospechosos en un entorno virtual seguro y destruir archivos maliciosos antes de que causen daños.
