"AÑO DE LA UNIÓN, PAZ Y DESARROLLO"

CEGNE SANTA ANA LIMA

CURSO: METODOLOGÍA DE LA INVESTIGACIÓN

LOS ATAQUES DE RANSOMWARE Y FORMAS DE EVITARLOS

AUTOR:
PAJUELO ALEGRE, CAMILA
DOCENTE:
DEZA MONTERO, ROSARIO MARIA

Lima, 2023
INDICE
1. Introducción.................................................................................................................................
2. Historia del Ransomware...........................................................................................................
 2

2.1. Cronología....................................................................................................................
2.2. El desarrollo de las sofisticadas operaciones de rescate..............................................
3. Tipos De Ransomware.................................................................................................................
3.1. Ransomware De Cifrado...............................................................................................
3.2. Ransomware De Bloqueo.............................................................................................
4. Precaución Para Evitar El Ransomware......................................................................................
4.1. Sus Principales Víctimas...............................................................................................
4.2. Formas De Evitarlos.....................................................................................................
5. Conclusión....................................................................................................................................
Referencias Bibliográficas................................................................................................................

Los Ataques De Ransomware y Formas De Evitarlos

1. Introducción
El ransomware es un tipo de software malicioso que se utiliza para bloquear el acceso a
los archivos o sistemas de una computadora o red, y luego exigir un rescate para restaurar el
acceso. No es casualidad que el término “ransom” sea una palabra inglesa que signifique
“rescate”, así que por definición es un software extorsivo. Es una forma de extorsión digital que
puede causar graves daños a individuos y organizaciones.
Representa un riesgo para tus datos y tus dispositivos, por lo que es importante conocer
los tipos de ransomware y las formas de prevenirlos. Es importante recordar que pagar un
 3

rescate no garantiza la recuperación de los datos, así que la mejor forma de mantener tu
información segura es contar con sistemas y software actualizados, además de otras formas de
prevenir el robo de datos.
Actualmente, representa un riesgo para las empresas digitales, tomando en cuenta que
en el último siglo la tecnología ha tomado un gran protagonismo en la historia, lo que significa
que el ransomware es un peligro para todas las empresas. Esto nos lleva a la pregunta ¿Qué es el
ransomware y cómo podemos evitarlo?, el tema principal de este trabajo académico. La
respuesta a esta pregunta se encuentra en este documento y explica como seguir las pautas para
evitar el ransomware puede prevenirnos problemas significativos.
El objetivo principal de este trabajo de investigación es explicar a las personas
interesadas el origen, la historia, significado, tipos y formas de evitar el ransomware para
prevenir daños y pérdidas.
Este trabajo de investigación se ha estructurado en tres apartados, el primero contiene 3
capítulos que explican la historia del ransomware, la cronología y el desarrollo de las
operaciones de rescate. El siguiente apartado habla de los dos tipos de ransomware y el último
apartado habla de la prevención a ataques, que se divide en las principales víctimas y las pautas
a seguir para evitar sufrir un ataque de ransomware.
 4

2. Historia del Ransomware

Los ataques de ransomware son mucho peores hoy en día. Se envían online y de forma
masiva. Además, los rescates suelen solicitarse en criptomonedas, lo que dificulta mucho más la
localización de los atacantes. Conocer su historia evolutiva revela muchas de sus características
básicas.

2.1. Cronología:
El primer ransomware de todos, cuyo nombre es PC Cyborg, AIDS o AIDS Trojan, se
creó a fines de la década de 1980. Este ransomware, del tipo cifrado, encriptaba todos los
archivos y luego solicita a los usuarios que renueven su licencia enviando $ 189 por correo
postal a la PC Cyborg Corp. El cifrado utilizado era bastante fácil de descifrar, por lo que era una
amenaza menor. Aparecieron variantes durante los siguientes 10 años, pero no fue hasta 2004
que surgió una verdadera amenaza de ransomware, cuando GpCode usó un cifrado RSA débil
para secuestrar archivos a cambio de un rescate.
En 2007, WinLock dio lugar a la aparición de un nuevo tipo de ransomware que, en lugar
de cifrar archivos, bloquea el ordenador de sobremesa del usuario. Este malware se apoderaba
de la pantalla de la víctima y mostraba imágenes pornográficas para luego exigir un rescate.
Con el desarrollo de la familia de programas ransomware Reveton en 2012, surgió una
nueva forma de ransomware: el ransomware policial falso. El ransomware afirmaba que los
usuarios habían cometido delitos como piratear computadoras, descargar archivos ilegales o
incluso poseer pornografía infantil. La mayoría de ransomware policiales requerían el pago de
una multa que oscila entre $ 100 y $ 3,000.
 5

Como afirman otros autores:

Los usuarios de a pie no sabían cómo actuar y realmente pensaban que estaban siendo objeto de
una investigación por parte de un organismo policial. Esta táctica de ingeniería social,
actualmente conocida como culpa implícita, hace que el usuario se cuestione su propia inocencia
y, en lugar de declarar una actividad de la que no se siente orgulloso, prefiere pagar el rescate y
pasar página. (Noah 950., 2019, https://es.malwarebytes.com/ransomware/)

Es decir que los usuarios habituales no sabían cómo comportarse y realmente pensaban
que estaban siendo investigados por un departamento de policía. Ahora conocida como culpa
implícita, lo que hace es originar un sentimiento de haber cometido un delito lo que hace que
cuestione su inocencia así mismo y, en lugar de anunciar una acción de la que no está orgulloso,
prefiere pagar el rescate y olvidarse del asunto.

En 2013, CryptoLocker reintrodujo el ransomware de cifrado en el mundo; pero esta vez

mucho más peligroso. CryptoLocker utiliza encriptación de grado militar y almacena las claves
necesarias para desbloquear archivos en un servidor remoto. Hace que sea casi imposible para
los usuarios recuperar sus datos a menos que paguen un rescate.
Este tipo de ransomware de cifrado sigue usándose hoy en día y ha demostrado ser una
herramienta increíblemente eficaz para conseguir dinero para los ciberdelincuentes. Los brotes de
ransomware a gran escala, como WannaCry en mayo de 2017 o Petya en junio de 2017,
emplearon el ransomware de cifrado para hacer caer en la trampa a usuarios particulares y
empresas de todo el mundo. (Noah 950., 2019, https://es.malwarebytes.com/ransomware/)

Entonces, actualmente se sigue utilizando este tipo de ransomware de cifrado y ha

demostrado ser un medio muy efectivo para extorsionar a los ciberdelincuentes. Hay brotes de
ransomware a gran escala que están utilizando ransomware de cifrado para atraer a usuarios
domésticos y empresariales a nivel global, como WannaCry en mayo de 2017 o Petya en junio de
2017.

2.2. El desarrollo de las sofisticadas operaciones de rescate:

 6

Hoy en día los sofisticados ataques de operaciones de rescate o RansomOps son más
parecidas a las operaciones sigilosas tipo APT (amenaza avanzada persistente) que a las
campañas de spam masivo que informaban a las víctimas de que solo podrían recuperar el
acceso a sus archivos enviando dinero. Y en estas operaciones sigilosas utilizan técnicas de
piratería continuas y avanzadas para acceder y permanecer en un sistema durante un período de
tiempo prolongado y potencialmente destructivo.
También es esencial reconocer la gran economía del ransomware en funcionamiento,
como los brókeres de acceso inicial (Initial Access Brokers o IAB), que sientan las bases para un
ataque de ransomware al infiltrarse en una red y moverse lateralmente para maximizar el
impacto potencial. Incluidos los operadores de ransomware como servicio (RaaS), que también
ofrecen infraestructura de ataque a los autores de los ataques. Como menciona Redacción y
Redacción (2022) “Este nivel de compromiso pone a los atacantes de RansomOps en una
posición en la que pueden exigir rescates aún mayores”
(https://www.computing.es/seguridad/evolucion-de-los-ataques-de-ransomware-moderno/).
Lo que significa que, con todas estas facilidades económicas, los atacantes de RansomOps
pueden reclamar rescates más costosos. Y adicional a esto, las técnicas de las operaciones de
rescate suelen implicar múltiples técnicas de extorsión, esto significa una táctica de doble
extorsión.
Otros van incluso más lejos, como la banda de ransomware Grief, que amenaza con
eliminar la clave de descifrado de la víctima si ésta decide contratar a alguien para que la ayude
a negociar una petición de rescate menor. Esta forma nació después de que el grupo
RagnarLocker amenazara con publicar los datos de la víctima si notificaba al FBI o a la
autoridad local.
Aunque estas parecen amenazas indestructibles, si hay algo que podemos hacer al
respecto. Con las herramientas adecuadas, las empresas pueden defenderse contra el
ransomware y RansomOps en las primeras etapas de un ataque. Tampoco olvidar que la
solicitud de rescate es la última parte de un ataque de RansomOps, por lo que es posible
detectarlas en semanas o incluso meses de actividad, tiempo en el que se puede frustrar un
ataque antes de un impacto importante.
 7

Para detener los ataques de ransomware, lo que necesitamos hacer es reducir el tiempo
que pasa desde que un ataque de RansomOps se filtra en nuestra red hasta que el equipo de
seguridad lo detecta y lo detiene. Ya no se puede confiar en las tecnologías antiguas que se basan
en información sobre amenazas que ya se conocen. Por eso, muchas empresas están usando
soluciones que pueden identificar ataques que son únicos y muy específicos, basándose en
señales de comportamiento más sutiles. Así, pueden detectar estos ataques en una etapa
temprana. A medida que estas soluciones sean más efectivas, será interesante ver cómo los
atacantes se adaptan y cambian sus herramientas y estrategias para seguir siendo una amenaza.

3. Tipos De Ransomware
Existen dos tipos de ransomware, como señala Kaspersky (2023) “el tipo de malware
importa no solo por lo que hace, sino también porque afecta el modo de identificarlo y de
contrarrestar sus efectos.” (https://latam.kaspersky.com/resourcecenter/threats/ransomware),
quiere decir que identificar el tipo de malware es importante para saber no sólo por lo que hace,
sino también porque influye en cómo se identifica y se mitiga su impacto, por lo que hay que
prestar atención al identificar un malware.

3.1. Ransomware De Cifrado:

También conocido como ransomware criptográfico, este tipo de ransomware cifra los
archivos de la víctima y exige un rescate para proporcionar la clave de descifrado. Un ejemplo de
ransomware de cifrado lo proporciona IBM (2023) “Leakware/Doxware es un ransomware que
roba o exfiltra datos confidenciales cifrándolos y amenaza con hacerlos públicos.”
(https://www.ibm.com/mxes/topics/ransomware#:~:text=Hay%20dos%20tipos%20generales
%20de,el%20dispositivo%20 de%20la%20v%C3%ADctima.) Es decir que existen ransomwares
que roban o filtran datos confidenciales cifrándolos y amenazando con revelarlos como lo hace
el Leakware/Doxware, y así existen otros ejemplos de ransomware de cifrado que generalmente
tienen las mismas características.

3.2. Ransomware De Bloqueo:

 8

Este tipo de ransomware bloquea el acceso a los sistemas de la víctima y exige un rescate
para restaurar el acceso. Ejemplos de ransomware de bloqueo incluyen Jigsaw y PewCrypt. Es
importante tener en cuenta que los atacantes pueden utilizar diferentes técnicas y herramientas
para llevar a cabo los ataques de ransomware, y que estos ataques pueden evolucionar con el
tiempo a medida que los atacantes desarrollan nuevas estrategias.
Malware Bytes habla sobre los bloqueadores de pantalla:
Si un ransomware que bloquea la pantalla llega a su ordenador, le impedirá el uso de su
PC por completo. Al encender el ordenador aparece una ventana que ocupa toda la
pantalla, a menudo acompañada de un emblema de aspecto oficial del FBI o del
Departamento de Justicia de los Estados Unidos, que le indica que se han detectado
actividades ilegales en su ordenador y que debe pagar una multa. Sin embargo, el FBI no
actuaría nunca así ni le exigiría ningún pago por la realización de una actividad ilegal. En
caso de que sospecharan que usted comete piratería, o que está en posesión de
pornografía infantil o por cualquier otro delito informático, el FBI seguiría los canales
legales adecuados. (Noah 950., 2019, https://es.malwarebytes.com/ransomware/).

En otras palabras, si su computadora recibe un ransomware que bloquea su pantalla,

inhabilitará por completo su capacidad para usarla. Cuando encienda su computadora,
aparecerá una ventana de pantalla completa, a menudo acompañada por un logotipo de
apariencia oficial del FBI o del Departamento de Justicia de los EE. UU., que le informarán que
supuestamente se ha detectado actividad ilegal en su computadora y que debe pagar una multa.
Sin embargo, el FBI nunca hará esto y no le exigirá que pague por actividades ilegales. Si
sospechan que usted ha cometido piratería informática, posesión de pornografía infantil o
cualquier otro delito informático, el FBI tomará las medidas legales correspondientes.

4. Precaución Para Evitar El Ransomware

Según Rodríguez, A. (2021) “Es muy común no detectar su existencia hasta que ya ha
acabado de ejecutar sus acciones. No obstante, también puede ser que los sistemas de seguridad
6 (aunque sean rudimentarios) detecten la actividad del ciberataque antes de que haya
terminado de robar datos.” (https://www.clubdelemprendimiento.com/blog/pymes/las-
 9

pymesprincipales-victimas-de-los-ciberataques/) Mejor dicho, comúnmente no se reconoce su

existencia hasta que no se complete la ejecución del programa. Sin embargo, los sistemas de
seguridad también pueden detectar actividad de ciberataque (incluso rudimentaria) antes de
que se complete el robo de datos, esto significa que se pueden tomar medidas simples pero
inmediatas para evitar el robo de más datos, algunas acciones simples como desactivar el
internet y las interfaces inalámbricas: para evitar la propagación por otros dispositivos o
elementos; comprobar si el malware sigue actuando localmente en el ordenador en cuestión. Si
esto ocurre, se podrá apagar la máquina directamente. Después de eso se debe consultar a un
especialista en el área.

4.1. Sus Principales Víctimas

Los ataques de ransomware han afectado a organizaciones de alto perfil en todo el
mundo, incluyendo organizaciones gubernamentales, municipios, centros de salud y otros
objetivos potencialmente de alto riesgo. Varias familias de programas de ransomware de éxito,
como SamSam, BitPaymer y CrySiS, se centran en servidores RDP para iniciar un ataque. Por lo
tanto, es importante que las organizaciones en todos los sectores tomen medidas de seguridad
proactivas para protegerse contra los ataques de ransomware.
Otros autores plantean:
Las pymes, empresas pequeñas o medianas que, en cuanto a volumen de ingresos, valor
del patrimonio y número de trabajadores, cuentan con sistemas de ciberseguridad menos
desarrollados y sofisticados. Además, algunas investigaciones de la Policía y la Guardia
Civil hablan de que hasta un 70% de los casos de ciberataques se producen contra las
pymes. (Rodríguez A., 2021,
https://www.clubdelemprendimiento.com/blog/pymes/laspymes-principales-victimas-
de-los-ciberataques/).

O sea, las pequeñas o medianas empresas denominadas pymes, poseen sistemas de

ciberseguridad menos avanzados en cuanto a ingresos, activos y personal, enfrentan un alto
riesgo de ser víctimas de ciberataques, por esto, según informes de la policía y la Guardia Civil,
que sugieren que hasta el 70% de los incidentes de este tipo se dirigen hacia ellas.
 10

Siendo empresas pequeñas, no toman tantas medidas de seguridad, pues piensan

erróneamente que no son blancos de interés para quienes operan los ransomware, según
Rodríguez, A. (2021) “Es muy común no detectar su existencia en los equipos informáticos de
una pyme hasta que ya ha acabado de ejecutar sus acciones.”
(https://www.clubdelemprendimiento.com/blog/pymes/las-pymes-principales-victimas-de-
los-ciberataques/). Eso significa que es frecuente que no se detecte su presencia en las
computadoras de una pequeña empresa hasta que ha completado sus operaciones.
Un ciberataque es difícil de prever y mucho más complicado de solucionar. Por tanto, es
recomendable proteger la empresa y su sistema informático con medidas preventivas antes de
que pueda llegar a ser víctima de un ataque.

4.2. Formas De Evitarlos

Existen varias estrategias mitigación que se pueden utilizar para prevenir los ataques de
ransomware, incluyendo:
1. Implementar la gestión robusta de vulnerabilidades e instalación de parches.
2. Implementar programas de filtro de contenido para filtrar documentos adjuntos
no deseados, mensajes de correo electrónico con contenido malintencionado, correo basura y
tráfico de red no deseado.
3. Instalar protección en computadoras y laptops con programas antivirus, y
bloquear la ejecución de archivos (p. ej., bloquear la ejecución en la carpeta de archivos
temporales).
4. Usar políticas para controlar los dispositivos externos y la accesibilidad de los
puertos.
5. Usar listas blancas para evitar que ejecutables desconocidos se ejecuten en los
dispositivos.
6. Invertir en el aumento de la concienciación de los usuarios en materia de
ransomware, especialmente en lo que se refiere al uso seguro de los programas navegadores.
7. Mantener copias de seguridad fiables que sigan la regla 3-2-1 (al menos tres
copias, en dos formatos distintos y una en otra ubicación).
 11

8. Invertir en una póliza de seguros que cubra los daños por ataques de
ransomware.
9. Usar segmentación de la red, cifrado de datos, control de acceso y refuerzo de
políticas para garantizar una exposición mínima de los datos.
10. Utilizar métodos como el de monitorización para identificar las infecciones con
rapidez.
11. Monitorizar el acceso y el estado de la infraestructura pública utilizada.
12. Crear un centro de operaciones de seguridad con personal experto en seguridad
dentro de cada organización o empresa.
13. Usar las herramientas adecuadas y actualizadas para la prevención de los ataques
de ransomware.
14. Definir exactamente e implementar el nivel mínimo de derechos de acceso a datos
para minimizar el impacto de los ataques.
5. Conclusión
Mi conclusión es que nivel de usuario es importante tener un software antivirus
actualizado y en funcionamiento en su dispositivo. Además, es importante tener precaución al
abrir correos electrónicos y archivos adjuntos de remitentes desconocidos o sospechosos.
También es importante mantener actualizado el sistema operativo y todas las aplicaciones
instaladas en el dispositivo. Si nota que sus archivos han sido cifrados o si aparece una nota de
rescate en su pantalla, es posible que haya sido víctima de un ataque de ransomware. En este
caso, es importante no pagar el rescate y buscar ayuda de un experto en seguridad informática
para recuperar sus archivos.
 12

Referencias Bibliográficas

El ransomware: qué es, cómo se lo evita, cómo se elimina. (2023, 19 abril).

latam.kaspersky.com. https://latam.kaspersky.com/resource-
center/threats/ransomware
¿Qué es el ransomware? | IBM. (s. f.-b). https://www.ibm.com/mx-
es/topics/ransomware#:~:text=Hay%20dos%20tipos%20generales%20de,el%20disposit
ivo%20de%20la%20v%C3%ADctima.
Ransomware: qué es y cómo eliminarlo. Malwarebytes. (2019)
https://es.malwarebytes.com/ransomware/
Rodríguez, A., Las Pymes: principales víctimas de los ciberataques. Blog Club del
Emprendimiento. (2021, 20 octubre).
https://www.clubdelemprendimiento.com/blog/pymes/las-pymes-principales-victimas-
de-los-ciberataques/

Redacción, & Redacción. (2022, 16 enero). Evolución de los ataques de ransomware moderno.

https://www.computing.es/seguridad/evolucion-de-los-ataques-de-ransomware-moderno/

¿Qué es una amenaza avanzada persistente (APT)? (2023, 19 abril). latam.kaspersky.com.

https://latam.kaspersky.com/resource-center/definitions/advanced-persistent-threats