Ransomware amenaza empresarial: definición y defensa

El ransomware es un tipo de software malicioso que impide el acceso a sistemas o archivos hasta que se pague un rescate.

El ransomware se mantiene como la principal preocupación en ciberseguridad según el Global Cybersecurity Outlook del Foro Económico Mundial. En 2023, Cybersecurity Ventures anticipó que para 2031, una empresa será víctima de un ataque cada dos segundos. La escalada en la frecuencia e impacto de estos ataques obliga a las organizaciones a prestar atención urgente a sus estrategias de defensa.

La pregunta no es si una organización será atacada, sino cuándo. Las consecuencias pueden ser financieras, operativas y reputacionales. Frente a esta amenaza creciente, resulta imprescindible entender qué es el ransomware, cómo actúa y qué medidas pueden tomarse para reducir el riesgo de ser víctima.

Una definición que alerta

El ransomware es un tipo de software malicioso que impide el acceso a sistemas o archivos hasta que se pague un rescate. Funciona bloqueando el sistema operativo o cifrando la información, haciendo inaccesibles los datos críticos. Sus víctimas se ven forzadas a considerar el pago para recuperar la operatividad, en muchos casos sin garantía alguna de éxito.

Según IBM, se trata de un malware que ‘mantiene como rehenes los datos sensibles o el dispositivo de una víctima, amenazando con mantenerlos bloqueados -o peor- a menos que la víctima pague un rescate al atacante’. La amenaza, por tanto, no es sólo tecnológica, sino también psicológica: apela a la desesperación de las víctimas.

La puerta de entrada más usada

El canal más habitual de ingreso del ransomware sigue siendo el correo electrónico de phishing. Los atacantes se valen de mensajes diseñados para engañar al destinatario, llevándolo a hacer clic en enlaces maliciosos o descargar archivos infectados. En muchos casos, estos correos se camuflan como comunicaciones legítimas de proveedores o superiores.

Sin embargo, las amenazas no se limitan al phishing. También se identificaron como vías comunes de ingreso las contraseñas débiles, los accesos mal gestionados, las credenciales robadas y los sitios web comprometidos. Más aún, los cibercriminales están incorporando herramientas de inteligencia artificial que hacen estos ataques más precisos y difíciles de detectar.

Una amenaza que cuesta millones

Las consecuencias financieras de un ataque de ransomware pueden ser devastadoras. Según Cybersecurity Ventures, el costo promedio por incidente ronda los 4,54 millones de dólares, y la demanda media de rescate durante la primera mitad de 2024 superó los 5,2 millones. De mantenerse la tendencia, en 2031 los daños globales podrían superar los 265 mil millones de dólares anuales.

Algunos ataques ya marcaron precedentes por su escala e impacto económico. El caso de MOVEIt, vinculado al grupo Clop, generó pérdidas estimadas en 12.150 millones de dólares. LockBit, otro grupo notorio, provocó daños por 91 millones. WannaCry y NOTPETYA se convirtieron en nombres conocidos tras causar 4.000 y 10.000 millones de dólares en pérdidas, respectivamente.

Cómo se desarrolla un ataque

El ataque de ransomware comienza con una etapa de distribución, usualmente a través de un correo de phishing. Una vez dentro del sistema, el software establece contacto con servidores de los atacantes para recibir órdenes. Este paso es conocido como comando y control.

A continuación, el malware roba credenciales para moverse lateralmente por la red. Luego, los atacantes exfiltran y cifran datos valiosos, que son utilizados como moneda de cambio. Finalmente, se exige un pago para liberar los archivos, muchas veces bajo amenaza de divulgación.

Cómo responder con eficacia

La prevención y la planificación son esenciales para mitigar el impacto del ransomware. Una medida fundamental es contratar un seguro de responsabilidad cibernética que cubra este tipo de ataques. También es crucial realizar auditorías de seguridad frecuentes que evalúen tanto vulnerabilidades internas como externas, especialmente las asociadas a terceros.

Disponer de un Plan de Respuesta a Incidentes (IRP) permite actuar con rapidez y orden ante un ataque. Este plan debe estar respaldado por un equipo multidisciplinario que incluya perfiles legales, técnicos y de gestión. Asimismo, la implementación de soluciones de control de acceso y la gestión adecuada de identidades minimizan las posibilidades de intrusión.

Otro pilar es la copia de seguridad. Contar con una solución de respaldo confiable puede marcar la diferencia entre la recuperación total y el colapso. Según proveedores de servicios gestionados, el 96 % de las organizaciones que contaban con backups lograron recuperarse plenamente tras un ataque.

Finalmente, la formación del personal es indispensable. Enseñar a los empleados a identificar correos sospechosos o conductas inusuales puede evitar muchos incidentes. IBM recomienda que, ante un ataque, se aíslen las zonas afectadas, se documente el incidente, se colabore con las autoridades y se evalúe cuidadosamente la conveniencia de pagar el rescate.