Definición

El ransomware es un tipo de software malicioso diseñado para denegar el acceso a los sistemas o datos de un usuario cifrando los archivos. Una vez que el ransomware ha infectado un sistema, el atacante exige un rescate (normalmente en criptomonedas como Bitcoin) para proporcionar la clave de descifrado y devolver el acceso al usuario. Se trata de una de las principales técnicas utilizadas por los actores maliciosos para comprometer a las empresas y obtener un rédito económico, tanto por el rescate como por la posterior venta de los datos sensibles en foros de cibercriminales.

Vectores de entradas

Los ciberdelincuentes utilizan diferentes técnicas para infectar los ordenadores de una empresa. Los principales vectores son:

Ataques de Phishing

  • Phishing por correo electrónico. Los atacantes envían correos electrónicos que parecen legítimos, a menudo haciéndose pasar por entidades de confianza como bancos, agencias gubernamentales o incluso correos electrónicos internos de la empresa. Estos correos suelen contener archivos adjuntos maliciosos (como PDF o documentos de Word infectados) o enlaces a sitios de phishing.
  • Spear Phishing. Una forma más selectiva de phishing en la que los atacantes adaptan los correos electrónicos a individuos específicos dentro de la empresa, a menudo utilizando técnicas de ingeniería social para hacer que el mensaje parezca aún más creíble.

Phishing
El phishing es el principal vector de entrada

Explotación de vulnerabilidades del software

  • Software sin parchear: si una empresa no mantiene su software actualizado, los atacantes pueden explotar vulnerabilidades conocidas en sistemas operativos, aplicaciones ofimáticas, navegadores web o software de terceros (por ejemplo, Adobe Flash, Java).
  • Exploits de día cero: Se trata de vulnerabilidades que aún no son conocidas por el proveedor o la comunidad de seguridad. Una vez descubiertas, los atacantes pueden explotar estas vulnerabilidades para obtener acceso no autorizado a los sistemas.

Ataques al Protocolo de Escritorio Remoto (RDP)

  • Ataques de fuerza bruta: Los ciberdelincuentes pueden utilizar técnicas de fuerza bruta para adivinar las credenciales de inicio de sesión RDP y obtener acceso a la red interna de una empresa.
  • Contraseñas débiles: Si el RDP no está debidamente protegido, el uso de contraseñas débiles o predeterminadas aumenta el riesgo de que la explotación tenga éxito.

Amenazas internas

  • Insiders malintencionados: Los empleados o contratistas con acceso a datos o sistemas sensibles pueden abusar intencionadamente de sus privilegios para robar datos o introducir malware en la red de la empresa.
  • Insiders negligentes: Los empleados causan brechas involuntariamente al manejar mal la información sensible, caer en ataques de phishing o desconfigurar los ajustes de seguridad.

Ataques a la cadena de suministro:

  • Software de terceros: Los atacantes pueden comprometer software o hardware de proveedores de confianza (socios de la cadena de suministro) e insertar malware en sus productos, que luego se instala en los sistemas de la empresa cuando se actualiza o instala el software.
  • Actualizaciones de software: Si una empresa confía en las actualizaciones automáticas de software, los atacantes pueden comprometer el mecanismo de actualización, asegurándose de que el código malicioso se instala junto con las actualizaciones legítimas.

Ransomware
Ransomware

Conclusiones

Para entrar en detalle de cómo funciona este tipo de malware, puedes consultar nuestro blog: Ransomware Si por desgracia has sido victima de un ataque, puedes seguir los principales pasos de recuperación que recogemos en nuestro blog: Qué hacer en caso de Ransomware