¿Qué es el ransomware?
El ransomware es un tipo de software malicioso (malware) diseñado para bloquear de forma permanente el acceso a los recursos del ordenador o cifrar los datos hasta que se pague un rescate al atacante.
Entre los tipos más comunes de ransomware se encuentran:
- Ransomware criptográfico: también conocido como malware de cifrado, es el tipo más común de ransomware. El ransomware criptográfico cifra los datos y archivos de un sistema informático y exige un rescate a cambio de la clave de descifrado.
- Ransomware Locker: El ransomware Locker no utiliza cifrado. En su lugar, desactiva las funciones básicas del ordenador para impedir que el usuario utilice el dispositivo hasta que se pague el rescate.
- Scareware: Aunque no siempre se incluye en la categoría del ransomware, el scareware asusta a los usuarios haciéndoles creer que su ordenador está infectado con un virus y, a continuación, les insta a comprar un programa de limpieza con el objetivo de obtener beneficios económicos o comprometer el sistema.
- Doxware (o Leakware): el doxware cifra y sustrae información confidencial o personal, y amenaza con publicarla a menos que se pague un rescate.
Los ataques de ransomware pueden causar graves daños a organizaciones que gestionan infraestructuras críticas, como fabricantes, empresas, centros sanitarios y centros educativos, que deben mantener un funcionamiento ininterrumpido y proteger datos importantes.
Los pagos de rescates, en caso de efectuarse, pueden oscilar entre miles y millones de dólares por incidente. Las organizaciones que son víctimas de estos ataques también sufren un daño irreparable a su reputación y deben hacer frente a los costes de la reparación, lo que incluye el tiempo de inactividad de los sistemas, la recuperación de datos y la adquisición de nuevo hardware o software.
Además, los datos de las organizaciones corren peligro, ya que no hay garantía de que los atacantes entreguen la clave de descifrado una vez pagado el rescate. Incluso cuando los datos se descifran con la clave, a menudo están dañados y las organizaciones deben regenerarlos, si es posible.
Cómo funciona el ransomware
La creciente digitalización de la infraestructura de las organizaciones ha dado lugar a múltiples vectores de ataque para el ransomware. El método más habitual son los correos electrónicos de phishing, que se hacen pasar por remitentes legítimos y contienen enlaces o archivos adjuntos maliciosos. Los atacantes también difunden el ransomware a través de sitios web y aplicaciones dudosas, que pueden descargar automáticamente malware sin que el usuario se dé cuenta.
Las vulnerabilidades en la infraestructura del sistema pueden ser objeto de ataques de ransomware. Por ejemplo, los atacantes pueden infiltrarse de forma remota e infectar redes corporativas con ransomware a través de protocolos RDP (Remote Desktop Protocol) que no cuentan con la seguridad adecuada.
Una vez que los atacantes consiguen acceder al sistema, el ransomware se ejecuta en el equipo de la víctima, escanea la red en busca de archivos objetivo y trata de obtener privilegios más elevados para propagarse aún más. A continuación, cifra archivos valiosos, como documentos y registros. La mayoría de los programas de ransomware utilizan cifrado asimétrico, lo que significa que el ransomware cifra los datos mencionados con una clave pública, que solo podrá descifrarse con la clave privada (almacenada en el equipo del atacante).
Al perder el acceso a sus archivos y datos, las víctimas se encontrarán con una nota de rescate en la que se les exigirá el pago de una suma de dinero para recuperar sus activos cifrados o sustraídos.
Retos específicos en entornos de TI/TO
El ransomware puede afectar a los entornos de TI/TO de diversas maneras:
- En entornos de TI, el ransomware suele provocar la pérdida de datos o el bloqueo del acceso. En entornos de TO, el ransomware puede provocar fallos de funcionamiento, daños físicos y riesgos para la seguridad. Recientemente, una acería alemana sufrió graves daños en su alto horno cuando un ciberataque, iniciado mediante phishing, aprovechó vulnerabilidades desconocidas y eludió el procedimiento estándar de apagado.
- Debido a la interconexión entre los entornos de TI y de tecnología operativa (OT), los componentes de OT pueden verse afectados incluso si el ransomware se origina en el entorno de TI, y viceversa. Esto hace necesaria una línea de defensa integral que abarque todas las posibles superficies de ataque.
- Los sistemas de tecnología operativa (OT) de las infraestructuras críticas deben mantener un funcionamiento en tiempo real con una latencia mínima, como ocurre en las redes eléctricas, las instalaciones de tratamiento de aguas o las líneas de producción. Esto complica las medidas de respuesta ante los ataques de ransomware, ya que los retrasos en el apagado o el aislamiento de los componentes infectados pueden provocar una mayor propagación del ransomware y causar más daños.
- El posible impacto del ransomware en entornos interconectados de TI y TO es considerable. Un ataque de ransomware contra infraestructuras críticas, como las cadenas de suministro de petróleo, puede interrumpir la producción y la distribución de gasolina, lo que provocaría una perturbación generalizada de las actividades civiles e industriales.
12 estrategias de expertos para prevenir los ataques de ransomware
Con más de 20 años de experiencia en la protección de infraestructuras críticas y el respaldo de más de 1.700 organizaciones en todo el mundo, sabemos lo que hace falta para interponer una barrera entre los ataques de ransomware y la continuidad de su negocio. A continuación, le presentamos 12 estrategias de eficacia probada para combatir las amenazas de ransomware.


Estrategia integral de copias de seguridad
La estrategia de defensa preventiva más importante contra el ransomware consiste en realizar copias de seguridad periódicas de los datos críticos para protegerse contra su pérdida o deterioro. Los repositorios de copias de seguridad pueden almacenarse de forma segura sin conexión o en una red independiente y protegida, lo que permite recuperar los datos sin tener que pagar el rescate en caso de ataque. Este proceso esencial puede protegerse mediante el uso de una solución de pasarela de seguridad unidireccional, como MetaDefender Optical Diode.

Fomentar la concienciación sobre el ransomware
Cualquier estrategia de ciberseguridad debe proteger el eslabón más débil de la cadena de seguridad: el factor humano. Los cursos de formación obligatorios, las bases de conocimientos, las pruebas de phishing y las evaluaciones periódicas son métodos eficaces para fomentar una sólida concienciación frente a las tácticas de ingeniería social de los atacantes de ransomware. OPSWAT ofrece cursos de formación profesional y recursos que dotan a los alumnos de conocimientos, habilidades y experiencia exhaustivos en materia de ciberseguridad.

Corrección de vulnerabilidades
A medida que las organizaciones maduran, los sistemas y la infraestructura se vuelven más complejos. Es fundamental mantenerlos constantemente actualizados con las últimas actualizaciones de seguridad y versiones para reducir las vulnerabilidades que los atacantes de ransomware pueden aprovechar. Patch Management MetaDefender puede identificar las últimas actualizaciones disponibles para las aplicaciones de los terminales y aplicarlas automáticamente.

Endpoint sólida Endpoint
A medida que las organizaciones adoptan opciones de trabajo a distancia o más descentralizadas, también necesitan proteger y asegurar los dispositivos finales. Endpoint Deep Endpoint MetaDefender aplica políticas exhaustivas que van más allá de las políticas estándar para dispositivos finales, como comprobaciones a nivel del sistema operativo, software de seguridad, análisis de malware, gestión de vulnerabilidades y cifrado de discos.

Email Security
El ransomware también puede adjuntarse a correos electrónicos, enviados por los atacantes como parte de una estrategia de spear phishing o estafa. Los ataques sofisticados por correo electrónico pueden simular ser de remitentes legítimos y crear una sensación de urgencia para que el destinatario abra o descargue los archivos adjuntos. Los sistemas de correo electrónico corporativos deben integrar capacidades antimalware eficaces, como MetaDefender Email Security, que previene el phishing de día cero, las URL activadas al hacer clic, la recopilación de credenciales y de correos en copia, la fuga de datos y mucho más.

Media periféricos
Las organizaciones también deben protegerse contra las amenazas transmitidas a través de archivos procedentes de soportes periféricos y extraíbles, como USB y otros dispositivos de almacenamiento portátiles. Cualquier soporte que se introduzca debe analizarse y desinfectarse para evitar que cualquier contenido malicioso penetre en la infraestructura de la organización. Las soluciones Media periféricosOPSWAT pueden analizar la mayoría de los tipos de soportes, alcanzando una tasa de detección del 99,2 % y garantizando que los archivos y los sectores de arranque estén desinfectados y sean seguros antes de su uso.
Implementación Secure
Secure implica supervisar y controlar los puntos de entrada a la red, garantizando que todos los dispositivos o conexiones sean visibles en tiempo real. MetaDefender ofrece una visión global del estado de seguridad de todos los nodos de conexión, lo que permite garantizar el cumplimiento de las normas de seguridad cuando sea necesario.
Threat Intelligence
Aumente la eficacia de las operaciones de detección de amenazas mediante la adopción e integración Threat Intelligence de alta calidad. MetaDefender Threat Intelligence puede proporcionar detección y contextualización clave en todos los controles de seguridad con los que está integrado para impulsar la detección y el bloqueo de ransomware y otras ciberamenazas maliciosas.
Protección contra malware desconocido y de día cero
El malware desconocido y de día cero aprovecha vulnerabilidades aún por descubrir, lo que permite a los atacantes eludir las soluciones tradicionales. MetaDefender integra soluciones antimalware avanzadas que utilizan un análisis adaptativo de amenazas para detectar malware de día cero y analiza con éxito amenazas evasivas y sofisticadas que pueden dejar a los sistemas vulnerables ante el ransomware.
Instala Software antimalware
Una solución antimalware de confianza, dotada de motores potentes y eficaces, es esencial para cualquier estrategia de prevención contra el ransomware. Las organizaciones deben adoptar soluciones antimalware que combinen varios motores antivirus capaces de detectar y aislar archivos y actividades maliciosas en tiempo real. OPSWAT prestigioso Multiscanning de OPSWAT incorpora más de 30 motores antimalware líderes, lo que permite detectar casi el 100 % de las amenazas conocidas. Además, gestiona de forma eficiente las instancias y los resultados del análisis múltiple con MetaDefender Endpoint.
Aprovechar la prevención de pérdida de datos (DLP) contra el ransomware de doble extorsión
Hoy en día, muchos ataques de ransomware incluyen una doble extorsión, en la que los atacantes no solo cifran los datos, sino que también los roban y amenazan con filtrarlos a menos que se pague un rescate. Proactive DLPOPSWAT ayuda a prevenir esto al detectar y bloquear la transferencia no autorizada de datos confidenciales —como la información de identificación personal (PII), los registros financieros y la propiedad intelectual— antes de que salgan de la red. Con la comprobación de contenido en tiempo real de archivos y correos electrónicos, la clasificación basada en IA y el OCR para imágenes, las soluciones DLP reducen el riesgo de filtración y garantizan el cumplimiento de normas como PCI, HIPAA y el RGPD.
Defensa en profundidad
Una estrategia de defensa en múltiples capas resulta muy eficaz cuando se aplica a todas las posibles superficies de ataque de la infraestructura de TI/TO. La defensa en profundidad es un enfoque que superpone numerosas medidas defensivas para crear una fortificación alrededor de la información y los datos. Si falla una línea de defensa, quedan otras para impedir que los atacantes penetren y causen daños. Aprovechando la amplia gama de tecnologías y soluciones eficaces de MetaDefender OPSWAT, las organizaciones pueden construir una defensa robusta que proteja de forma integral todas las superficies de ataque, previniendo los ataques de ransomware en diversas etapas.
Mantenerse alerta ante futuras amenazas
El ransomware sigue siendo una amenaza cibernética inminente debido a los importantes beneficios económicos que reporta a los atacantes. Como consecuencia, los delincuentes que utilizan el ransomware idean constantemente nuevas tácticas y métodos para atacar cualquier componente vulnerable del sistema. Es fundamental proteger los recursos críticos ante posibles ataques mediante copias de seguridad de los datos, la segmentación de la red y el control de accesos. Y lo que es más importante, las organizaciones deben evaluar y supervisar constantemente su infraestructura para anticiparse a los riesgos y defenderse de los vectores de ataque generalizados.
