¿Qué significa ransomware?
El ransomware es un tipo de programación maliciosa que infecta, bloquea o toma el control de un sistema para que a continuación, el atacante solicite un pago económico para deshacer la acción maliciosa.
Los atacantes de ransomware suelen cifrar archivos y exigir moneda digital a cambio de la clave de descifrado correcta. Si no se paga el rescate, el agresor puede amenazar con hacer públicos los datos filtrados o ponerlos a la venta en la web oscura.
El ransomware se distribuye a través de adjuntos de correo electrónico maliciosos, descargas infectadas y sitios web comprometidos. El atacante suele exigir el pago en una criptomoneda específica, como Bitcoin, para evitar ser detectado mediante los métodos convencionales de seguimiento del dinero utilizados por las fuerzas de seguridad.
El ransomware también puede denominarse criptovirus, criptotroyano o criptogusano.
Diccionario Techopedia: Qué es un ransomware
Los ataques de ransomware pueden afectar gravemente a las empresas y dejar a hospitales y municipios sin los datos que necesitan para operar y prestar servicios de vital importancia. Según el FBI, los incidentes de ransomware aumentaron en 2021, pero su impacto financiero todavía se ve empequeñecido por los ciberataques que se centran en el compromiso del correo electrónico empresarial (BEC) y los ataques a cuentas de correo electrónico.
El ransomware como servicio
Una variante de ransomware del grupo de ciberdelincuentes DarkSide es una de las más de 100 variantes de ransomware que el FBI está investigando actualmente. DarkSide ha sido noticia por ofrecer asociaciones de ransomware como servicio (RaaS) a afiliados criminales sin conocimientos técnicos que están dispuestos a compartir con los desarrolladores un porcentaje del rescate pagado.
Prevención del ransomware
Para prevenir las consecuencias negativas de un ataque de ransomware, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) recomienda lo siguiente:
- Mantener copias de seguridad cifradas y offline de los datos y probar continuamente los objetivos de los puntos de recuperación.
- Parchee y actualice regularmente todo el software y firmware.
- Realice análisis de vulnerabilidad de forma regular para limitar las posibles superficies de ataque.
- Asegúrese de que los dispositivos informáticos están configurados correctamente y de que las funciones de seguridad están activadas.
- Siga las mejores prácticas para los servicios de escritorio e impresión remotos.
- Aproveche los sistemas de detección de intrusiones (IDS) que pueden detectar señales de mando y control (C&C) y otras actividades maliciosas en la red que suelen producirse antes de un ataque.
- Cree proactivamente un plan de respuesta a incidentes que incluya procedimientos de notificación.