Inicio Quienes somos Revista online Newsletter Videos Webinars
vimeo twitter Facebook linkedin

CIBERSEGURIDAD, BIGDATA Y DIGITALIZACIÓN

Ransomware, la principal amenaza de las pymes

15/01/2025

CATEGORíA: General MARCA: INCIBE


Cada vez son más comunes este tipo de ataques que ponen en jaque a empresas de todos los tamaños y sectores y su información, así como la de sus clientes y proveedores.


El ransomware es un tipo de software malicioso o malware diseñado para cifrar los datos de una empresa, haciéndolos inaccesibles para los usuarios legítimos. De esta forma, la información se vuelve inutilizable para la empresa y los ciberdelincuentes exigen un rescate económico para devolverla a su estado original.

 

¿Por qué atacan los ciberdelincuentes a las pymes?

Aunque pueda llegar a parecer que los datos de las pequeñas y medianas empresas no son tan valiosos como los de las grandes organizaciones, en realidad, las pymes son uno de los principales objetivos de los ciberdelincuentes para realizar ataques de ransomware.

 

Las pymes no siempre cuentan con sistemas de seguridad avanzados y suelen tener menos recursos dedicados a la ciberseguridad, lo que las convierte en objetivos más fáciles que las grandes empresas. 

Además, aunque sean pequeñas, estas empresas a menudo manejan información sensible, de gran valor para los ciberdelincuentes, es decir, las pymes son un blanco perfecto para el ransomware.

 

¿Cuáles son las estrategias de ataque más comunes?

El correo electrónico es una herramienta que la mayoría de pequeñas y medianas empresas utilizan en su día a día. Casi todos sus empleados tienen acceso al correo electrónico y, en ocasiones, no son conscientes de los peligros que acarrea por falta de concienciación.

 

Los correos electrónicos fraudulentos, de tipo phishing, son una amenaza latente para este tipo de empresas. Estos correos están diseñados para engañar y manipular a las víctimas, haciéndoles proporcionar información confidencial o descargar archivos maliciosos. Estos archivos pueden instalar el ransomware en el dispositivo, haciendo que se propague inmediatamente a través de la red empresarial.

 

Asimismo, las vulnerabilidades en el software no actualizado pueden permitir a los ciberdelincuentes infiltrarse en los sistemas y hacerse con el control de estos, infectándolos con ransomware para, posteriormente, extorsionar a la empresa.

 

Visitar sitios web comprometidos que descarguen el software malicioso sin el conocimiento ni consentimiento de la víctima, malvertising (publicidad maliciosa), la descarga de software y aplicaciones piratas, un USB infectado y otras técnicas de ingeniería social pueden llevar a las empresas a sufrir un ataque de ransomware y poner en riesgo la información empresarial y la continuidad del negocio.

 

Ransomware más frecuentes

Según el informe de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en su Threat Landscape Report 2023, el número de ataques de tipo ransomware han seguido aumentando en los últimos años significativamente, siendo LockBit3 el más común. LockBit es un tipo de malware que, en los últimos años, los ciberdelincuentes han utilizado para extorsionar a sus víctimas y que ha destacado por su sofisticación y efectividad. Además, este ransomware es capaz de cifrar no solo los datos locales de la víctima, sino también las copias de seguridad almacenadas en la nube.

 

Esta versión opera bajo un modelo de negocio llamado RaaS, Ransomware as a Service, en el que los ciberdelincuentes pueden vender o alquilar sus servicios y herramientas maliciosas a otros ciberdelincuentes, obteniendo un porcentaje del rescate como beneficio.

 

Aunque a principios de 2024 se informó sobre el desmantelamiento de uno de los principales grupos afiliados a LockBit, a día de hoy, esta familia de ransomware sigue siendo responsable de gran parte de los incidentes reportados.

 

Todos estos ataques, y otros menos comunes, suponen una gran amenaza para pequeñas y medianas empresas, ya que las consecuencias de sufrirlos pueden llegar a la interrupción de las operaciones y la pérdida de datos sensibles. Otros nombres conocidos en el mundo del ransomware son los siguientes:

  • Ryuk: aunque este tipo de ransomware se enfoca principalmente en las grandes organizaciones, también ha afectado a pequeñas y medianas empresas. Se propaga a través de correos electrónicos maliciosos y explota vulnerabilidades en la red. Además, este ransomware deshabilita la opción de restauración de los sistemas operativos Windows, dificultando a las víctimas recuperar sus sistemas si no pagan el rescate. 
  • Sodinokibi: este ataque se propaga principalmente a través de vulnerabilidades en el software y correos electrónicos maliciosos. Amenaza con filtrar datos si no se paga un rescate sustancialmente alto. El hecho de que pueda proliferar por las redes sin intervención humana lo convierte en una amenaza altamente efectiva. También conocido como REvil, fue descubierto por primera vez en 2019 y se desarrolla mediante RaaS. Para infectar los sistemas, Sodinokibi utiliza diversas técnicas de ofuscación, basadas, principalmente, en criptografía, que dificulta su análisis y la identificación de sus firmas por parte de antivirus o sistemas de detección de intrusos. La capacidad de eludir controles de seguridad lo hace más peligroso y capaz de pasar desapercibido ante medidas de protección estándar.
  • Dharma: se propaga a través de protocolos de escritorio remoto (RDP)  que no cuentan con las medidas de seguridad  adecuadas. RDP es una herramienta que permite a un usuario conectarse de forma remota, desde cualquier ubicación, a otro dispositivo y controlarlo como si estuviese delante de él. Sin embargo, cuando no se implementan medidas de protección efectivas, los ciberdelincuentes pueden aprovechar esta vulnerabilidad para acceder a la red de la víctima y cifrar su información. Dharma utiliza criptografía asimétrica para cifrar los archivos de sus víctimas, es decir, genera una clave pública y una privada. Solo los ciberdelincuentes poseen la clave privada, necesaria para descifrar los archivos, dificultando la recuperación de los datos si no se paga un rescate. 
  • Maze: además de cifrar la información, los ciberdelincuentes la roban y amenazan con hacerla pública si no se paga el rescate. Esta táctica, conocida como doble extorsión, es común en muchas variantes de ransomware actuales, como REvil (Sodinokibi), JSWorm (Nemty/Nefilim) y CL0P. Este tipo de ransomware no solo afecta a la integridad de los datos, sino que también implica una posible filtración de datos y vulneraciones de privacidad, ante la posibilidad de exposición de información sensible de la víctima. La táctica de doble extorsión aumenta la presión sobre las empresas, ya que las consecuencias, además de la pérdida de acceso a la información, podrían implicar la divulgación pública.

 

¿Cómo proteger mi empresa frente al ransomware?

  • En primer lugar, es fundamental capacitar a los empleados sobre buenas prácticas en ciberseguridad e invertir en su formación y concienciación para convertirse en una empresa segura.
  • Realizar copias de seguridad de los datos importantes de forma periódica asegura la posibilidad de recuperar la información en caso de que la empresa sea atacada. Estas copias de seguridad deben cifrarse para proteger los datos ante cualquier vulnerabilidad y al menos una debe almacenarse en un lugar aislado de la red empresarial.  
  • Mantener el software actualizado ayuda a evitar vulnerabilidades que pueden convertirse en una puerta de entrada para los ciberdelincuentes. 
  • Además, implantar firewalls, antivirus y sistemas de detección de intrusiones aumentará la seguridad de la red empresarial, protegiéndola de ciberataques.
  • Monitorizar de forma continua la red empresarial ayudará a detectar actividades sospechosas y responder rápidamente ante cualquier amenaza.
  • Implementar políticas de seguridad y revisarlas de forma regular protegerá la información de accesos no autorizados.

 

Fuente: https://www.incibe.es

Foto de Bermix Studio en Unsplash

 




Volver al listado Volver al listado





vimeo twitter facebook linkedin


Financiado por la Unión Europea Next GenerationEU Plan de Recuperación, Transformación y Resilencia