Segun la empresa de seguridad informática Sophos, durante 2022 los ataques de ransomware alcanzaron una preocupante tasa de éxito en el sector empresarial: 8 de cada 10 ataques cumplieron su cometido de secuestrar la información de las empresas. En Colombia el panorama no es distinto y quienes resultan más afectados por este tipo de ataque son las pequeñas empresas, principalmente por no estar preparadas para prever y contrarrestar un ciberataque como el ransomware, lo que conlleva a importantes pérdidas económicas que, según las estadísticas, llevan a la bancarrota a las PYMES.

Para entender en qué consiste un ataque de ransomware es importante entender primero qué es. El ransomware es un tipo de malware que bloquea los archivos de un computador o grupo de computadores de la víctima, impidéndole usarlos. Los primeros ataques de ransomware, o los más básicos, exigen un rescate a cambio del desbloqueo y así recuperar el acceso a los archivos afectados. Sin embargo, mas recientemente, los ataques de ransomware han evolucionado e incluyen ataques de doble y triple extorsión. Los ataques de doble extorsión añaden la amenaza de robar los datos de la víctima y publicarlos en internet a cambio de un pago adicional, mientras que los ataques de triple extorsión, adicionalmente amenazan con utilizar los datos robados para atacar a los clientes o socios comerciales de la empresa víctima.

Las 5 etapas de un ataque de ransomware

Generalmente un atque de ransomware estructurado toma en promedio 3 días desde el momento en que infecta un equipo en la red corporativa, analiza la red, busca otros equipos con información relevante para sus intereses, hasta el momento en que cifra los archivos y secuestra los datos. En este lapso se identifican 5 etapas:

1. Entrega o Acceso inicial
   Un primer dispositivo (computador) está comprometido, se “infecta”. Por lo general esta primera infección llega con un correo electrónico de phishing, o por la apertura de un archivo infectado (pdf, Excel, Word) que incluye código malicioso.
2. Toma del control
   Una vez dentro del equipo infectado, el ransomware establece conexión con el atacante para recibir instrucciones.
3. Acceso a credenciales
   Aún sin ser detectado, el malware continúa preparando el terreno para su ataque al robar credenciales de acceso a otros equipos y redes que le permitan acceder a más cuentas en la red e infectar más equipos.
4. Despliegue del lienzo
   El virus busca archivos para cifrar, tanto en la estación de trabajo local como en cualquier red a la que haya accedido mediante movimiento lateral gracias a las credenciales de acceso encontradas en la etapa 3.
5. Ejecución y extorsión
   Los ciberdelincuentes roban información y acto seguido cifran archivos locales y de red. El atacante exige un pago para desbloquear los archivos o para devolverlos a la empresa.

Estas estapas del flujo de un ataque de ransomware, describe las diferentes etapas de un ataque, y aunque para efectos de este artículo y mejor entendimiento de los lectores se simplifican los conceptos, es muy importante que los conozcamos y socialicemos dentros de las empresas, de esta manera sabremos identificar los puntos donde podemos mejorar las defensas e implementar controles y políticas sólidas.