El ransomware es una de las principales amenazas de ciberseguridad a la que nos tenemos que enfrentar. El objetivo de este tipo de ataques de ransomware son tanto en los usuarios domésticos como empresas, por lo que nadie se libra de esta amenaza que se encarga de encriptar o cifrar todo el contenido de los discos duros o unidades SSD del sistema operativo, esto tiene como objetivo que la víctima pague un rescate para poder recuperar sus archivos. Sin embargo, en los últimos meses están apareciendo unos nuevos ransomwares cuyo objetivo es impedir que el usuario o empresa pueda entrar en el sistema operativo, por lo que recuperar los datos se hace más complicado.
Funcionamiento de un ataque normal
Generalmente los ransomwares lo que hacen es infectar nuestro ordenador o servidor NAS, con el objetivo de encriptar o cifrar todos los archivos que están dentro de las diferentes carpetas, con el objetivo de poder pagar el rescate a través de criptomonedas como Bitcoin entre otras. De esta forma, si abrimos un ransomware en nuestro PC o explotan una vulnerabilidad y nos infectan, automáticamente empezará el proceso de encriptado o cifrado de todos los archivos, o solamente algunos de ellos.
El motivo de cifrar solamente algunos, es que los ransomwares no suelen cifrar los archivos ejecutables o imágenes ISO que tengamos, porque este proceso es más largo de lo normal y el usuario se podría dar cuenta de que algo raro ocurre. Primero el ransomware empieza por archivos pequeños, como documentos ofimáticos y PDF, fotografías y también vídeos de corta duración, con el objetivo de hacernos el mayor daño posible.
Los pasos que sigue cualquier ransomware a la hora de infectar un PC son los siguientes:
- Infección del PC a través de Phishing, debido a que nos hemos metido en webs de dudosa reputación y nos hemos descargado algún archivo etc.
- Una vez que ejecutemos el ransomware en nuestro PC, comenzará la infección y el proceso de encriptado o cifrado. Este proceso puede durar varias horas, y no darnos cuenta de ello a no ser que justamente accedamos a algún archivo de los que está cifrando.
- Nos dejará un archivo TXT indicándonos que hemos sido infectados, y nos dirá las instrucciones a seguir para recuperar los archivos si pagamos el rescate.
Tal y como podéis ver, en muy poco tiempo tras la infección, todos nuestros archivos estarán encriptados y no podremos tener acceso a ellos. Por este motivo son tan importantes las copias de seguridad 3-2-1, porque nos proporcionan un nivel de seguridad de la información muy elevados, teniendo varios backups y almacenados en diferentes ubicaciones.
Ransomware que bloquea tu PC
Existe una variante de este tipo de ataques que se encarga de bloquear por completo tu ordenador, con el objetivo de que ni siquiera arranque, por lo que no podrás utilizarlo. En estos casos, tendremos que pagar para recuperar el acceso a nuestro ordenador. Si tratamos de reiniciar nuestro ordenador, al arrancarlo veremos una simple nota de texto indicándonos de que tenemos que pagar el rescate para recuperar el ordenador, de lo contrario, seguirá bloqueado.
Este tipo de ransomwares generalmente no encripta todos los archivos de nuestro PC, por lo que podríamos acceder a ellos a través de métodos externos como conectar el disco duro en un dock y entrar con otro sistema operativo, no obstante, es posible que te haya afectado un ransom que haga las dos cosas: bloquear la pantalla de tu PC y que encripte los archivos de su interior.
Cuando nos hacen este tipo de ataque, lo más recomendable es identificar el tipo de ransomware que nos ha infectado, con el objetivo de saber si hay alguna forma de borrarlo o de recuperar nuestros archivos. En función del tipo, podríamos recuperar toda la información de nuestros discos de una forma sencilla, ya que existen programas que si los ejecutamos se encargarán de limpiar la amenaza y recuperarlos.
Por supuesto, nunca os vamos a recomendar pagar por el rescate. A menudo los ciberdelincuentes no cumplen con sus promesas, por lo que no vamos a poder descifrar nuestros archivos aunque paguemos por ello. Lo único que vamos a hacer al pagar por el rescate, es dar dinero al cibercrimen para que continúen delinquiendo y haciendo daño a más personas, por lo que nunca deberías pagar por ello.
Qué hacer para no ser víctima
Para no ser víctima de este tipo de ataques, debemos cumplir con cuatro medidas de seguridad muy básicas:
- No pinchar en cualquier enlace o link que nos llegue por email, tener sentido común y no «picar» en la trampa del phishing.
- Tener el sistema operativo actualizado con los últimos parches de seguridad, y con un antivirus en funcionamiento.
- Habilitar en el sistema operativo la protección antiransomware, Windows tiene un sistema que permite detectar y parar procesos que estén haciendo muchos cambios a los archivos del ordenador.
- Hacer copias de seguridad siguiendo el esquema 3-2-1 para proteger nuestros archivos y carpetas más valiosas.
Con estas cuatro recomendaciones básicas, estarás bastante protegido frente a este tipo de ataques, y en el caso de ser infectado, podrás recuperarlo todo gracias a los backups.