Qué es un ransomware y cómo funciona

La ciberseguridad es un campo al que las empresas y las organizaciones dan cada vez mayor importancia. Y la razón está en los daños lesivos o irreparables que pueden ocasionar algunos ciberataques. Por ello, en Linkia FP te contamos todo lo que debes saber sobre el ransomware, qué es y cómo funciona, pues se trata de una de las mayores amenazas a las que se enfrentan los usuarios. Además, explicamos algunas formas que existen para combatirlo.

Ransomware: qué es y cómo funciona

Como ya esbozamos en nuestra entrada sobre qué es un ciberataque, el ransomware es un tipo de malware, malicious software o software malintencionado. A diferencia de un virus tradicional, que tiene por objetivo alterar el correcto funcionamiento del equipo, el ransomware no trata de dañar el equipo, sino tomar el control sobre él. Funciona de la siguiente manera:

• El atacante aprovecha un punto débil en la seguridad de un equipo informático y accede a él de manera remota.
• Una vez dentro, procede a encriptar los archivos del equipo, especialmente los de carácter más sensible.
• Cuando ha logrado esa encriptación, entra en contacto con el propietario del equipo para solicitarle un rescate, normalmente en forma de dinero real o virtual.

Por tanto, para definir qué es un ransomware no solo se debe hacer referencia a su componente informático, que suele responder a la tipología de troyano, sino que también hay resaltar su naturaleza de delito económico.

El ejemplo de WannaCry

Ejemplos de ransomware hay muchos, pues se trata de un ciberataque que lleva ya varias décadas poniendo en riesgo a empresas, organizaciones y particulares. Pero el más famoso de todos es probablemente WannaCry, debido a su enorme alcance mundial. Surgió en mayo de 2017 y atacó a equipos con sistemas operativos Windows de Microsoft, en los que detectó una importante vulnerabilidad.

Se difundía tanto por ordenadores aleatorios conectados a Internet como por los equipos de la misma red del equipo infectado. Ese fue uno de los factores que propició su gran alcance. A continuación mostramos algunos datos elocuentes para entender su magnitud:

• Se difundió por unos 150 países, repartidos por todos los continentes.
• Infectó a unos 200.000 ordenadores, según estimaciones de la Interpol.
• Tomó el control de sistemas informáticos de compañías y organismos tan importantes y vitales como el Servicio Nacional de Salud británico (NHS), el gigante automovilístico Nissan Motor o la compañía ferroviaria alemana Deutsche Bahn.
• En España, una de las compañías más afectadas fue Telefónica.
• En solo unas pocas horas, se contabilizaron 238 pagos de rescate, por un valor total de más de 70.000 dólares, según algunas fuentes.

Cómo hacer frente a un ransomware 

Tras entender lo básico del ransomware, qué es y cómo funciona, lo siguiente es conocer cómo hacerle frente. Y, como en todo mal, se puede abordar de dos maneras: la prevención y la curación (en caso de la informática, sería la restitución del equipo a su estado anterior).

Prevención 

En lo que respecta a la prevención, hay una serie de recomendaciones generales que son adecuadas para evitar cualquier ciberataque, incluido un ransomware:

• Máxima precaución a la hora de descargar archivos a un ordenador. Que sean solo de fuentes conocidas y de confianza.
• Antes de abrir un archivo, someterlo al escáner de un antivirus.
• Contar con un buen antivirus en el equipo, correctamente actualizado, que se encargue no solo de analizar los archivos descargados sino también de proteger cualquier otro aspecto del sistema.
• Realizar copias de seguridad con asiduidad para, en caso de daño irreparable, poder restituir los datos con la menor pérdida posible.
• Utilizar solo software original y con licencia, sin parches ni atajos que podrían ser una puerta de entrada a este tipo de ciberataques.

Curación

Más difícil y compleja es la fase de ‘curación’, es decir, la restitución de los archivos o del equipo una vez se haya producido el ataque. Y, aunque se logre esa restitución, la sola intrusión de un delincuente en el sistema habrá supuesto un problema en sí, por ejemplo por una posible sustracción de información confidencial, revelación de patentes o robo de contraseñas, aunque eso se encuadre ya en la categoría de spyware.

En cualquier caso, para restituir un equipo que sufre este ciberataque se necesita la intervención de alguien que conozca a nivel profesional bien qué es un ransomware y cómo funciona. Existen empresas especializadas que tienen esos conocimientos y los saben poner en práctica, en ocasiones gestionadas por hackers éticos (en el siguiente enlace te contamos qué es un hacker ético). En otras ocasiones son estos especialistas los que trabajan de manera individual, contratados o no por la propia compañía.

Para la restitución del equipo deberán buscar, a su vez, las debilidades del ciberataque, los pasos que haya podido dar en falso el delincuente cibernético y que le hayan podido dejar las espaldas al descubierto: rutas de acceso, interfaces usadas para perpetrar el ciberataque, bases de datos utilizadas para duplicar los archivos encriptados…

En el caso de WannaCry, fue un experto informático (Marcus Hutchins, con seudónimo @MalwareTech) el que descubrió la vulnerabilidad: un hard code situado en su mismo código, algo así como un botón de apagado que, al activarse, detuvo la propagación de WannaCry.

En ocasiones, el descubrimiento puede ser un golpe de suerte, pero en la mayoría es fruto de una labor compleja y solo apta para profesionales con gran experiencia y conocimientos. El primer paso para adentrarse en ese campo tan importante como apasionante es la formación técnica mediante el FP Superior en Ciberseguridad de la familia de fp informática que impartimos en la fp a distancia, donde enseñamos qué es un ransomware en informática, así como otros tipos de malware y ciberataques.