UNIVERSIDAD PRIVADA ANTENOR ORREGO

FACULTAD DE CIENCIAS ECONÓMICAS

ESCUELA PROFESIONAL DE CONTABILIDAD

AUDITORIA DE TECNOLOGIAS DE INFORMACION APLICADA A LA CONTABILIDAD

RANSOMWARE- WANNA CRY, UN RIESGO EN LA INFORMACIÓN FINANCIERA

AUTORES:
CORREA RUESTA, MARÍA FERNANDA
DEL ROSARIO MOGOLLÓN, ARIANA
GONZALES CEVALLOS, ESTEFANY KATERINE
ZUÑIGA RIVERA, AARON

DOCENTE:
  EDME MARTHA GARCÍA MANDAMIENTOS

Perú - 2022

1
 ÍNDICE
DEDICATORIA 4
AGRADECIMIENTO 5
INTRODUCCIÓN 6
CAPÍTULO I: CONCEPTOS GENERALES 7
1.1 ¿Qué es un Ransomware? 7
1.2 ¿Qué es un Wanna Cry? 7
1.3 ¿Cuál es el origen del Ransomware-WannaCry? 7
1.4 ¿Cómo opera el Ransomware? 7
CAPÍTULO II 8
2.1 ¿Cómo afecta el Ransomware? 8
2.2 ¿Cómo pide el rescate el Ransomware? 8
2.3 ¿Qué hacer en caso de Ransomware? 8
CAPÍTULO III 9
3.1. ¿CÓMO EVITAR EL RANSOMWARE? 9
3.2. ¿DEBERÍA PAGAR POR EL RESCATE? 10
3.3 ¿CÓMO PROTEGERSE DEL RANSOMWARE? 10
3.4.¿CÓMO AFECTA EL VIRUS A LA INFORMACIÓN? 11
3.5. VARIANTES DE RANSOMWARE 11
3.5.1 AvosLocker: 11
3.5.2 Hive: 12
3.5.3 LockBit: 12
CAPÍTULO IV 13
4.1 CIFRADO DE DATOS 13
4.2 PARA DISPOSITIVOS MÓVILES 14
CAPITULO V 14
5.1 Ataques de ransomware en Perú 14
5.2 Casos de ataques Ransomware en Perú 15
5.2.1 Extorción con los datos de la empresa: 15
5.2.2 Phishing bancario y gobierno: 15
5.3 Suplantación de Identidad a través de robo de WhatsApp 15
CONCLUSIONES 16
BIBLIOGRAFÍA 17

2
Bibliografía 17

3
 DEDICATORIA

Dedicamos esta monografía a Dios, a nuestros padres por apoyarnos todo el tiempo,
por los valores inculcados en nuestra persona, y por la motivación que siempre nos han
brindado a diario para poder lograr nuestros objetivos trazados.

A toda la familia que han sido y serán siempre la motivación que uno tiene para poder
salir adelante, porque a pesar de las adversidades, siempre han estado ahí presentes
con su apoyo incondicional.

4
 AGRADECIMIENTO

Agradecemos a nuestros padres por su ejemplo de ser perseverante y a nuestras

familias por ser la inspiración y el impulso para alcanzar mis metas.

A Dios por la fortaleza que nos ha otorgado, siendo necesario y la que necesitamos
para permitirnos ser mejor persona y profesional cada día.

5
 INTRODUCCIÓN

Como bien se sabe, en los últimos años, a medida que el ransomware se desarrolla
continuamente. El ransomware es un tipo de malware el cual restringe o bloquea el
acceso a determinados componentes o archivos del sistema infectado. También se ve
afectado a empresas, gobiernos, infraestructuras críticas e incluso a usuarios
domésticos.
El siguiente trabajo monográfico se va a permitir reconocer y entender por qué ocurren
este tipo de ataques, cómo se desarrollan y cómo encuentran a sus víctimas
potenciales; además de soportar el diseño de procedimientos de prevención y defensa
valiosos para aquellas organizaciones que aún no están seguras de cómo proceder
ante la posibilidad de ser tocado por el Ransomware donde desarrollaremos una
investigación profunda respecto al tema, para lo cual haremos uso de diferentes fuentes
de información como: libros, páginas web, informes, entre otros. Esto nos permitirá
proponer alternativas de solución
El objetivo que se propone esta monografía es proporcionar una fuente de información
confiable y relevante para organizaciones de cualquier tamaño o actividad económica,
sobre la naturaleza de la amenaza Ransomware.

6
CAPÍTULO I: CONCEPTOS GENERALES
1.1 ¿Qué es un Ransomware?
Según (panda security, 2020) nos menciona que el Ransomware es un software
malicioso que encripta nuestro perfil quitándonos el control de toda la información y
datos almacenados, luego de ello secuestra esta información y nos pide una tarifa de
rescate a cambio para que el sistema vuelva a funcionar correctamente.
1.2 ¿Qué es un Wanna Cry?
(Avast, s.f.) nos indica que el Wanna cry es un virus de criptografía, ellos entran
a tu computadora, laptop o cualquier otro dispositivo, cifran todo el disco lo encriptan y
luego te piden bitcoins o PayPal o básicamente te piden pagar una cantidad de dinero a
cambio de que des encriptar el disco a cambio de descifrar el cifrado del disco y si en el
caso no se paga los archivos se pierden.
1.3 ¿Cuál es el origen del Ransomware-WannaCry?
(Wikipedia, 2022), el Ransomware proviene de la combinación de Ramson que
significa rescate y ware que es el acortamiento del software de ahí viene la palabra
ransomware que es el secuestro de datos en español.
(EL PAÍS, 2017) nos narra que el mes de abril del 2017 un grupo de hackers conocidos
como Shadow brokers filtran en exploits que habían robado a la NSA y en mayo fue
utilizado en el ataque mundial de ransomware con Wanna Cry. Esta vulnerabilidad fue
catalogada con el código CVE 2017 01 44 y utilizan directamente un exploit conocido
como eterna blue el cual se aprovecha de una vulnerabilidad en la implementación del
protocolo SMB (server message block) el cual permite compartir archivos, compartir
impresoras entre equipos de una red de computadores que utilizan los sistemas
operativos de Microsoft en su versión 1. En este punto los atacantes pueden ejecutar
código remoto del envío de ciertos paquetes específicos asociados al puerto 445.

1.4 ¿Cómo opera el Ransomware?

“Ransomware - Definición.” Trend Micro, mayo 2017 nos menciona que
últimamente los Ransomware de tipo encriptadores tienen como
objetivo .doc, .xls, .jpg, .zip, .pdf, y otros archivos de uso común para encriptar.
Cibercriminales han incluido recientemente un número de otros tipos críticos
para el negocio, como archivos de bases de datos, archivos web, archivos SQL,
archivos de declaración de impuestos, archivos CAD.
Este virus se camufla dentro de otros archivos o programas como por ejemplo archivos
adjuntos en correos electrónicos, vídeos de páginas de dudoso origen, actualizaciones
de sistemas en programas fiables como Windows o adobe flash.
Una vez camuflado en el ordenador se activa y provoca el bloqueo de todo el sistema
operativo pidiendo un rescate generalmente de manera virtual, los ataques que no son
nada nuevo llevan décadas usándose, normalmente con el cifrado del disco duro de la
máquina víctima.

7
CAPÍTULO II
2.1 ¿Cómo afecta el Ransomware?
El Ransomware afectan con pequeños ficheros que se instalan aprovechando un
tipo de fallo, en diversas carpetas de fallo, en diversas claves del sistema, estos
ficheros a su vez se conectan a un servidor controlado por el cibercriminal y obtienen la
clave que cifra el contenido del disco duro. El inconveniente es que hay variantes que
no solo cifran con una única clave todos los datos, sino que crean pequeños archivos,
pequeños archivos de datos que cifran con diferentes claves.
2.2 ¿Cómo pide el rescate el Ransomware?
Quienes se ven afectados por el Ransomware, ven como se pide un rescate para
poder acceder a su propia información y es que una de las particularidades en que los
atacantes no se esconden y dejan patente que ha pasado y cómo proceder para
solventar el problema.
Esto se realiza a través de un correo electrónico o página web donde facilitan un
contacto o incluso la cantidad que habría que pagar para rescatar los datos.
2.3 ¿Qué hacer en caso de Ransomware?
● Aísla tu computadora y desconéctala de cualquier red, esto minimiza la
posibilidad de que el ataque se propague a otras computadoras en la red local.
● El Ransomware es ilegal y no hay garantía de que liberen tus datos después de
pagar la cantidad que te piden.
Nunca pagues un rescate para así no fomentar esta actividad.
● Utiliza herramientas antivirus y de seguridad para identificar las amenazas. En
muchos casos puedes eliminar o enviar a cuarenta de manera segura las
amenazas.
● Cuando hay seguridad de estar fuera de peligro, se debe restaurar tu información
de la nube o el disco duro externo.

8
 CAPÍTULO III
3.1. ¿CÓMO EVITAR EL RANSOMWARE?

Un programa que brinde protección en tiempo real que reconozca frustrar los ataques
con malware avanzado, como pueda ser el ransomware. Asimismo, se puede indagar
características que salvaguarden los programas más vulnerables frente a futuras
amenazas, un ejemplo sería tener una tecnología anti-exploits y la vez que impidan que
el ransomware secuestre los archivos, esto sería un componente anti-ransomware.

(Stander, 2021), Es especialmente transcendental saber cómo resguardar tu información

y equipos del ransomware. Estos sencillos consejos te pueden ayudar a corregir tu
seguridad online y reducir los riesgos:

 Aprende a identificar el phishing, ya que es la forma de infección más habitual.

 Mantente alerta cuando navegues por Internet y no hagas clic en nada inseguro
(banners, enlaces, pop-ups…).
 Elije contraseñas robustas y de ningún modo las repitas.
 Descarga programas exclusivamente de páginas web oficiales y de confianza.
 Maneja antivirus resistentes para resguardar tus sistemas.
 Mantén el software actualizado en todos tus dispositivos.
 Ejecuta copias de seguridad con frecuencia.

2. Estate preparado para actuar

Si has estado infectado con ransomware, no pagues el rescate y mantén estos pasos
para reducir el impacto:

   -Si tienes un administrador de IT, notifícale de inmediato lo ocurrido y continúa sus

instrucciones. De lo contrario, desconecta de la red los dispositivos infectados para
evitar que se trascienda.

   -Solicita a un especialista en informática que te ayude a formatear el disco duro

infectado, reinstalar el sistema operativo y restaurar tu información desde una copia de
seguridad o desde archivos recuperados con la ayuda de NoMoreRansom.

Para ello:

 Visita la web nomoreransom.org / Crypto Sheriff.

 Carga 2 de los archivos cifrados, la nota de ransomware y otros detalles que puedan
ayudar a identificar el tipo de ransomware que te está afectando.
 Si la información proporcionada concuerda con alguna de las soluciones de descifrado
disponibles, podrás descargarla sin ningún coste. (Stander, 2021)

9
3.2. ¿DEBERÍA PAGAR POR EL RESCATE?
(Tren Micro, 2020), Este artículo nos menciona que el FBI se oponen que se
pague el rescate a cambio de la información secuestrada ya que esto no nos
asegura que nos entreguen la información completa. Los investigadores de
ciberseguridad no están de acuerdo sobre si debiera pagar o no. Algunas víctimas
pagan y consiguen acceso a sus archivos, otras pagan y en ningún tiempo reciben
una clave. En el caso de Petya, los desarrolladores han creado un software en el
que no hay un método para descifrar los datos.
En lo habitual, los especialistas proponen que se restrinjan las pérdidas y que no se
pague el rescate. Aun así, la pérdida de datos puede tener un impacto garrafal en su
organización y la cuantía de rescate que piden los hackers está ampliando. Los
desarrolladores originalmente pidieron 300 dólares en bitcoins. (Tren Micro, 2020).
Las últimas versiones de ransomware piden cientos de miles de dólares en
criptomonedas. El modelo de negocio del ransomware existe porque se continúa
pagando a los agentes maliciosos que están detrás de esto. Si el pago dejase de
estar sobre la mesa, el modelo de negocio del ransomware colapsaría. Al realizar el
pago por el rescate no asegura que se pueda se vaya a recibir una clave privada
para recuperar sus datos. En lugar de ello, resguarde sus archivos manejando
medidas de protección en sus operaciones diarias. En el viable caso de ataque, se
podría devolver los archivos a su estado original, esta es la razón por la que las
copias de seguridad son muy transcendentales para recuperarse de un ataque.
Medidas de protección:
● Copias de seguridad
● Formación del usuario
● Poner en cuarentena emails sospechosos
● Filtrado de contenido
3.3 ¿CÓMO PROTEGERSE DEL RANSOMWARE?
(Kapersky, s.f.) , Es muy usual que las empresas se vean afectadas por este tipo de
malware y no solo se habla de las grandes empresas sino también desde las
corporaciones hasta las empresas más pequeñas. Las pymes suelen ser blanco de
ataque porque, en general, sus sistemas de seguridad son menos robustos. A
continuación, enumeramos algunos factores que toda empresa debe tener en
cuenta para mantenerse a seguro del ransomware.
❖ Salvaguardar el software operativo actualizado. Esta recomendación también
es efectiva para entornos corporativos. Si algo demostró WannaCry cuando
azotó en 2017 es que las empresas más vulnerables al ransomware son las que
desatienden las actualizaciones.

10
 ❖ Concientizar al personal. Las empresas deben tener un protocolo de seguridad
que les permita a los empleados determinar si un repertorio adjunto, un vínculo o
un correo electrónico que son de confianza.
❖ Tener todo preparado. La empresa debe mantener un para responder ante una
infección por el secuestro de información para así poder estar preparado ante
dicha situación.

❖ Pensar en el uso de tecnologías de nube. Es más arduo de explotar las

vulnerabilidades de un sistema que las de un sistema local. Asimismo, las
soluciones de almacenamiento en la nube permiten recuperar versiones antiguas
de los archivos que se cargan si aún no se las está aprovechando. Si la
información de la empresa finaliza cifrada en un ataque de ransomware, siempre
habrá una copia sin cambios favorable en la nube.

❖ Copias de seguridad. Es primordial que las empresas mantengan copias de

respaldo en un soporte externo. Asimismo, es fundamental que esté claro a
quién le concierne crear estas copias.
3.4.¿CÓMO AFECTA EL VIRUS A LA INFORMACIÓN?
Este virus afecta bloqueando el acceso a su sistema e interrumpe todas tus
operaciones. Los datos sólo se pueden recuperar al utilizar la clave de descifrado.
3.5. VARIANTES DE RANSOMWARE
Todos somos conscientes de que el ransomware se ha convertido en una de las
mayores amenazas cibernéticas y también es la principal preocupación de las
empresas involucradas en la seguridad cibernética. Sin embargo, no todas las
variantes de ransomware son iguales ni tienen los mismos efectos cuando se
exponen a un ciberataque.
3.5.1 AvosLocker:
Es parte de una nueva suite de ransomware-as-a-service (RAAS) que emite
"comunicados de prensa" para reclutar nuevos afiliados. Su sitio web filtrado tiene
víctimas en Bélgica, Líbano, España, Estados Unidos, Emiratos Árabes Unidos y
Reino Unido.

11
3.5.2 Hive:
Lanzado en junio, el sitio de fugas del ransomware de doble extorsión ha ganado
popularidad, con 28 víctimas en Australia, China, India, Países Bajos, Noruega,
Perú, Portugal, Suiza, Tailandia, Reino Unido y Estados Unidos.

3.5.3 LockBit:
El operador de servicios de ransomware establecido recientemente lanzó una
campaña de marketing inteligente para promocionar su nuevo software de
encriptación LockBit 2.0, que dice es el más rápido del mercado. Sus víctimas
incluyen organizaciones de Argentina, Australia, Austria, Bélgica, Brasil, Alemania,
Italia, Malasia, México, Rumania, Suiza, Estados Unidos y Reino Unido.

12
CAPÍTULO IV
4.1 CIFRADO DE DATOS
(CASTRO, 2021), en su tesis nos menciona que “ El ransomware criptográfico se
apodera de un sistema, una vez que haya sucedido comienza el cambio de los archivos
o las estructuras críticas del sistema de modo que solo se podrán volver a leer o utilizar
tras restaurarlos a su estado original. Esto requiere el uso de una contraseña o clave
conocida exclusivamente por los delincuentes que operan el malware.”
El cifrado asimétrico se basa en operaciones matemáticas sencillas en un sentido, pero
muy complejas en sentido inverso. Las claves pública y privada se crean en el mismo
momento y están conexas de tal forma que una es la llave de la otra, pero resulta
enormemente dificultoso determinar el tipo de relación por parte de la víctima del
cifrado.
La forma de operación que tiende a emplearse es utilizar el cifrado simétrico para
encriptar los archivos y el cifrado asimétrico para proteger la llave privada. De esta
manera, la llave pública puede venir incorporada en el malware o se obtiene desde un
servidor de comando y control, para que, una vez terminado el ataque, se proceda a
encriptar la llave privada utilizada y enviarla al atacante para su almacenamiento.

13
4.2 PARA DISPOSITIVOS MÓVILES
(CASTRO, 2021), Nos comenta que muchas veces los virus se disfrazan dentro de
aplicaciones que inducen a que pueda ser segura o versiones gratuitas de otras apps.
conocidas o supuestamente seguras. Estas apps inducen a todo tipo de trucos o juegos
ilimitados para así hacerte caer y llamar tu atención. En los dispositivos móviles, se
encuentra que los vectores de infección suelen proceder de sitios no oficiales de
descarga y foros.
El objetivo La clasificación que se ha visto es genérica y engloba las distintas
modalidades de ataque del ransomware. Pero, en resumen, su objetivo final no es más
que impedir a un usuario acceder a sus objetos digitales de valor sea que estos se
encuentren en un PC, en un servidor local, en un celular o incluso en la nube.
Las empresas, los servidores de almacenamiento de datos suelen estar situados allí,
mientras que los documentos y archivos multimedia suelen estar cifrados en los
ordenadores personales. Cada ataque está encaminado a un perfil de víctima
específico para conseguir el máximo beneficio posible en términos extorsivos.
También se ha descubierto que los autores de estos virus intentan ocultar su código
malicioso en el código fuente de la aplicación , haciéndolo indetectable por los controles
de la tienda de aplicaciones , para activar el virus una que los perpetradores instalado
en el dispositivo de la víctima .de estos virus intentan ocultar su código malicioso en el
código fuente de la aplicación , haciéndolo indetectable por los controles de la tienda de
aplicaciones , para activar el virus una vez instalado en el dispositivo de la víctima .
El código oculto puede incluso estar encriptado, lo que hace que sea extremadamente
difícil de detectar por sistemas automatizados o software antivirus. Por lo tanto, siempre
es recomendable evitar el uso de aplicaciones que no son necesarias y que no
provienen de fuentes confiables, incluso si parecen ser útiles para el usuario.
CAPITULO V
5.1 Ataques de ransomware en Perú
Según (Farro, 2020) nos comenta que uno de los países más afectados en
Latinoamérica por el aumento de los ataques cibernéticos fueron México, Brasil, Perú,
en la tercera ubicación y Colombia.
Según los datos por FortiGuard Labs, el laboratorio de análisis e inteligencia de
amenazas de la compañía, más de 4.700 millones de intentos de ciberataques en el
primer semestre del año sufrió Perú. Igualmente, en América Latina hubo más de 91 mil
millones de intentos de ciberataques en el mismo periodo.

14
 5.2 Casos de ataques Ransomware en Perú
Son muchos los casos de Ransomware en Perú, por seguridad se mantienen los datos
personales, datos de la empresas e instituciones públicas afectadas en
confidencialidad.
5.2.1 Extorción con los datos de la empresa:
En su mayoría, Ransomware va dirigido a entidades privadas, como instituciones del
estado. Son más del 50% de incidentes reportados en Perú. (Farro, 2020)
5.2.2 Phishing bancario y gobierno:
El gobierno ha realizado diversas actividades para el covid-19 y los ciberdelincuentes
se aprovecharon de esto, atacaron con el cobro del bono universal o el cobro de la
AFP. Los perjudicados han sido bancos locales como Interbank, BBVA o Banco de la
Nación. (Farro, 2020)
5.3 Suplantación de Identidad a través de robo de WhatsApp
Se han identificado casos donde dueños de empresas grande y pequeñas en Perú
también han sido víctimas de robo de su cuenta de WhatsApp a través de reenvío de un
mensaje SMS.

15
 CONCLUSIONES

 Podemos afirmar que el ransomware es una de las modalidades más peligrosas

de software malicioso pues hay muchas probabilidades de que nuestro sistema
esté expuesto y una vez el virus ha entrado es casi imposible recuperar la
información de nuestro dispositivo o incluso de toda una red, dejándonos
completamente a merced de los cibercriminales sin acceso a los sistemas y a la
información que estos almacenan.
 Los principales objetivos de este tipo de ciberdelincuentes suelen ser empresas
sobre todo aquella pequeñas y medianas empresas cuyos sistemas no se
encuentran tan desarrollados y protegidos, esto con el fin de que una vez se
infiltren en el sistema de la empresa encripta todos los archivos y pidan un
rescate para liberarlos.
 Es una modalidad cada vez más común y extendida pues al involucrar un
rescate económico de por medio se ha popularizado pues las cantidades de
dinero solicitadas se han ido incrementando progresivamente, al ver esto los
cibercriminales han buscado más objetivos con el fin de seguir lucrando con
estas prácticas. Las maneras más comunes de que nuestros dispositivos se
infecten con ransomware son por medio de descargas en sitios no oficiales, por
correos spam o visitando páginas web de dudosa seguridad y procedencia.
 La única manera de protegerse de este tipo de ataques es invirtiendo en antivirus
y otros sistemas de seguridad más potentes que tengan la capacidad de detectar
este tipo de software antes de que se encripte nuestra información para así
eliminar la amenaza o neutralizar, en caso el virus haya actuado en nuestro
ordenador no tenemos manera de des encriptar por lo que otra alternativa es
realizar periódicamente copias de seguridad en la nube para que en caso
nuestros dispositivos sean intervenidos podamos resetearlos y restaurar la
información a su estado original.

16
Bibliografía
CASTRO, J. C. (26 de mayo de 2021). Repositorio. Obtenido de Repositorio:
https://repository.unad.edu.co/bitstream/handle/10596/42143/jcperezca.pdf?sequence=1

Kapersky. (s.f.). Obtenido de Kapersky: https://latam.kaspersky.com/resource-center/threats/how-to-

prevent-ransomware

Stander. (15 de 10 de 2021). Obtenido de Stander: https://www.santander.com/es/stories/como-

prevenir-y-actuar-frente-al-ransomware#:~:text=El%20ransomware%20es%20una%20de,y%20as
%C3%AD%20aumentar%20la%20presi%C3%B3n

Tren Micro. (2020). Obtenido de Tren Micro:

https://www.trendmicro.com/es_es/what-is/ransomware/how-to-prevent.html

17