En estos últimos años las técnicas utilizadas por los actores de amenaza durante sus ciberataques han evolucionado. El objetivo de estos ciberdelincuentes es principalmente el beneficio económico. Una de las amenazas más lucrativas son los ataques de ransomware, dónde los atacantes cifran los contenidos de los sistemas afectados y demandan una cuantía económica a cambio de su recuperación.
Según el CERT del Centro Criptológico Nacional (CCN-CERT), el ransomware se define cómo: “un código malicioso para secuestrar datos, siendo una forma de explotación en la cual el atacante encripta los datos de la víctima y exige un pago por la clave de descifrado.”
Fuente: https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401-glosario_abreviaturas/index.html?n=index.html
Aunque mucha gente no conocía este tipo de ataques antes de llegar los titulares, cabe destacar que el primer ataque de ransomware se registró en 1989. La tecnología en aquella época era muy diferente a la de ahora y utilizó cómo vector de entrada los disquetes. Se distribuyeron hasta 20.000 disquetes en una conferencia acerca del sida liderada por la Organización Mundial de la Salud (OMS). Una vez infectado el sistema, el ataque se ejecutaba tras 90 reinicios del sistema. Solicitaba a los usuarios afectados un único pago de $378 (+-$962 hoy en día), que debían enviar a un apartado postal en Panamá.
Desde entonces, los ataques de ransomware y sus vectores de entrada han evolucionado drásticamente. Últimamente los atacantes buscan un pago rápido y para conseguirlo extorsionan a sus víctimas. Estas extorsiones también han evolucionado, surgiendo ataques de doble, triple e incluso cuádruple extorsión . Hacen todo lo posible para obligar a las víctimas a realizar el pago.

- Ataques de ransomware tradicionales: En los ataques de ransomware tradicionales, los atacantes accedían a los sistemas de las víctimas, encriptaban todos los sistemas y demandaban un pago para recuperar los archivos.
- Ataques de ransomware de doble-extorsión: Además de cifrar los archivos, los atacantes utilizan diferentes técnicas para exfiltrar información sensible y amenazan con filtrar públicamente si no se paga el rescate en un periodo de tiempo.
- Ataques de ransomware de triple-extorsión: Además del cifrado y el robo de datos, los atacantes pueden interrumpir servicios o sistemas críticos de la víctima, como los servidores web, las aplicaciones comerciales o el acceso a la red, lo que aumenta aún más la presión para pagar. Para conseguir la triple extorsión, los atacantes suelen utilizar ataques de denegación de servicio (DoS) o ataques de denegación de servicio distribuidos (DDos).
- Ataques de ransomware de cuádruple-extorsión: La última variante incluye todos los ataques mencionados anteriormente y amplía la extorsión contactando con clientes y socios de la víctima. A estos se les notifica del éxito del ciberataque sobre los sistemas de la víctima y de la obtención de datos sensibles relacionados con sus empresas, amenazando con publicar estos datos en Internet (habitualmente la DarkWeb). A estas “víctimas colaterales” se les anima a ponerse en contacto con la organización afectada para presionarlos a pagar el rescate y proteger su información.

Recomendaciones:
1. Mantén tus sistemas y aplicaciones actualizados:
Asegúrate de tener siempre instaladas las últimas actualizaciones de seguridad para tus sistemas operativos y aplicaciones. Los atacantes explotan vulnerabilidades conocidas que ya han sido corregidas en versiones más recientes.
2. Realiza copias de seguridad regulares y seguras:
Haz copias de seguridad frecuentes de tus datos importantes y almacenarlas en un lugar seguro, preferentemente desconectado de la red.
3. Utiliza un software antivirus y antimalware:
Instala y mantén actualizado un software de seguridad que pueda detectar y bloquear el ransomware. Un EDR/XDR es la solución ideal frente a este tipo de amenazas,ofrece una protección más avanzada que un antivirus. No solo detecta y bloquea amenazas conocidas (capacidades actuales de un antivirus comercial), sino que también monitorea y responde a comportamientos sospechosos, proporciona visibilidad en tiempo real y permite una respuesta más proactiva ante ataques .
4. Desconfía de correos electrónicos y enlaces sospechosos:
No abras correos electrónicos ni hagas clic en enlaces o archivos adjuntos de fuentes desconocidas o que te parezcan sospechosos, ya que suelen ser el principal método de propagación del ransomware.
5. Segrega y limita los accesos a tus archivos y red:
Implementa el principio de “mínimo privilegio”, limitando el acceso a archivos y recursos únicamente a las personas que realmente lo necesiten. Esto ayuda a contener la propagación del ransomware en caso de un ataque.
Tácticas, Técnicas y Procedimientos (TTPs) de MITRE habituales:

¿Cómo podemos apoyar a tu empresa desde Libisec-Tec?
Desde Libisec-Tec, la seguridad de tu empresa es nuestra prioridad, para ello ofrecemos una amplia variedad de servicios de ciberseguridad:
- Prevención de amenazas con nuestro servicio de gestión de vulnerabilidades. Nuestro objetivo es preparar las medidas necesarias que permitan eliminar o mitigar aquellos riesgos más perjudiciales.
- Auditorías de ciberseguridad para conocer el estado actual y la resiliencia cibernética de tu empresa. Realizamos evaluaciones exhaustivas para identificar posibles brechas, vulnerabilidades y áreas de mejora en tu infraestructura digital.
- Monitorización activa de tu infraestructura con tecnología de EDR/XDR líder en el mercado.
- Servicio de gestión de incidentes en caso de que tu empresa haya sufrido cualquier tipo de ciberataque.
- Gestión de copias de seguridad para estar listo ante cualquier anomalía contando con nuestra tecnología de recuperación ágil y rápida. Respaldamos tu información más valiosa de forma segura.
- Servicio de Next Generation Firewall para la mejor protección perimetral de tu empresa.
- Formación y concienciación a usuarios. Cada empleado es un eslabón crucial en la ciberseguridad. Para ello buscamos mejorar sus conocimientos y buenas prácticas que todos deben seguir en su día a día para evitar los ciberataques.
- Certifica tu empresa para las certificaciones que está demandando el mercado (ENS, ISO-27001, etc).