Cómo protegerte de un Ransomware por tu cuenta

Qué hacer si tu empresa ha sido infectada por uno

1. El auge del Ransomware

En estos últimos años, los ataques por ransomware se han ido incrementando, atacando a empresas a través de todo el mundo.
Durante el 2021, se ha estimado que cada 11 segundos, se realizaba algún ataque de ransomware en alguna parte del mundo! Dos años antes, en 2019, había un ataque cada 14 segundos.
Según CyberEdge (see pic. 1), El porcentaje de organizaciones que han sido víctimas de un ransomware ha incrementado del 55,1% en 2018 a un 68,5% en 2021.

En nuestros previos artículos ya recalcamos como los ataques de ransomware han evolucionado tanto estos últimos años, a comparación de los primeros años de su aparición (entre 2013-2017).

A día de hoy, hay empresas de cibercriminalidad organizadas, equipadas con diferentes tipos de recursos, que producen malware. Su modelo de negocio se puede comparar con el de las mejores corporaciones y pueden realizar I+D para crear ransomware cada vez más sofisticados y agresivos.

Imagen 1 – Crecimiento de los ataques de ransomware en los últimos

Las técnicas de ataque han ido cambiando (TTP: tactics, techniques and procedures), cada vez más sofisticadas y similares a esos ataques de APT (Advanced Persistent Threat).
Hemos hablado de esto en nuestro artículo previo.
Por lo tanto, debemos considerar la posibilidad de que un ransomware pueda dar con nuestra empresa. Por eso, la duda no es si el ataque se dará, sino en qué momento se dará

Para cada empresa, la prevención no es lo único importante: Hemos hablado sobre esto en este artículo, También deben saber cómo protegerse de un ransomware, Una vez han logrado infectar y encriptar los datos de la empresa

2. Cómo protegerse de un Ransomware: medidas de remedio post-ataque

Si en la pantalla de nuestro ordenador aparece una imagen como esta, significa que un ransomware nos ha infectado y nos está presentando, como últimas palabras, una solicitud de rescate.Por lo tanto, cómo puedes protegerte de un ransomware? ¿Qué podemos hacer ahora, sin aterrorizarnos ni desesperarnos?

Cuando aparece este mensaje (Normalmente es un archivo de imagen o un archivo .txt), quiere decir que el ransomware ya ha terminado de encriptar todos nuestros datos.Una vez los datos han sido incautados ahora debes pensar que hacer. en el peor de los casos, tienes cuatro opciones válidas:

» Restaurar los archivos de una copia de seguridad: Esta es la mejor solución, y realmente, la única que debería considerarse de una empresa bien organizada
» Buscar un descifrador online para desencriptar los archivos.
» No hacer nada y perder todos tus datos.
» Pagar el ransom.

Vamos a profundizar en ellos.


>> Puede activar la protección FlashStart® Cloud en todos los routers y firewalls para garantizar la seguridad de sus dispositivos de sobremesa y móviles y de sus dispositivos IoT en redes locales


2.1 Restaurar los archivos de una copia de seguridad

Es la mejor solución y está disponible si hemos trabajado con prudencia y logrado un guardado de datos correcto cada cierto tiempo.Ciertamente, para poder restaurar los datos, es necesario tener una copia de seguridad:

» Disponibile,
» Reciente,
» Funcionando,
» Protegida (para que no pueda ser atacada por un ransomware).

Quiero recalcar que estos cuatro previos requisitos, ya que nos hemos encontrado frecuentemente en empresas que, en estado de emergencia, con los ordenadores bloqueados, no se tiene certeza del estado de las copias de seguridad hasta que se examinan, y después descubren que: está incompleta (algunas carpetas no se han copiado), no están actualizadas (en algún rato no se ha realizado la copia correctamente…) y otros casos como este, que desafortunadamente han pasado

Pero, hoy en día, el mayor riesgo es que el malware también puede encriptar las copias de seguridad.
Los ataques se han vuelto cada vez más precisos y sofisticados: Los cibercriminales son conscientes que, lo más probable, las víctimas hayan creado una copia de seguridad que hará que su ataque sea inefectivo. Es por esto que la última generación de ransomware, antes de encriptar todos los datos, analiza el sistema el cual pertenece a los datos que está encriptando. El objetivo es exactamente encontrar la copia de seguridad y encriptarla también, para privar a la víctima de la contramedida más importante

Llegados a este punto, la empresa afectada quedará indefensa antes que el ransomware,sin más herramientas de defensa.
Cómo puedes protegerte de un ransomware que también intenta encriptar tu copia de seguridad?
Obviamente, con la regla 3-2-1: 3 copias diferentes de todo lo que quieras preservar.
Of these: Guardar al menos dos copias en soportes distintos (HD, NAS, Cloud,…) y siempre una copia en un sitio remoto para que esté fuera de la empresa y offline (por ejemplo en unidades desconectadas de la red).
Y también, siempre configuré el proceso de las copias de seguridad para que no sean accesibles en línea, a excepción del software que se encarga de la copia de seguridad. Ningún usuario debe tener ningún tipo de acceso a la copia!

Si tienes disponible una copia de seguridad, antes de todo primero debes de limpiarlo ya que puede que ya esté infectado, antes de restaurar los datos. La restauración puede ser escaneada por un antivirus para asegurar que el software dañado sea borrado, pero no es suficientemente seguro, así que no lo recomendamos.
Para estar 100% seguros de que no hay ningún tipo de rastros ni malware, recomendamos un formateo completo de los ordenadores afectados. Solo así puedes proceder a realizar la restauración de datos de la copia de seguridad en una instalación limpia. Obviamente, esto requiere mucho tiempo y es la razón por la cual los ransomware causan inactividad y tiempo perdido en una empresa.


>> FlashStart le protege de una amplia lista de amenazas e impide el acceso a sitios web maliciosos → Comience su prueba gratuita ahora


2.2 Buscar un descifrador online para desencriptar archivos

La gran proliferación de las variedades del ransomware en los últimos años ha significado que la mayoría de vendedores de seguridad globales han intentado buscar “antídotos” efectivos frente a estos malware.Y en algunas ocasiones lo han logrado: para algunas versiones recientes de ransomware, o las más casuales, programas y herramientas (desencriptadores) se han vuelto disponibles de manera online que permiten recuperar archivos encriptados. Sin embargo, este proceso no es del todo eficiente ya que algunos ransomware que estén bien trabajados y hechos, seguramente sea inutil y no sirva para nada. Después de todo, los hackers mismos también leen blogs sobre seguridad en fotos y actualizan sus productos para hacerlos más invulnerables para los desencriptadores.

Vamos a mencionar algunos de los casos más populares: las primeras versiones de Petya tenían puntos débiles en su encriptación y esto permitía a sus víctimas recuperar la llave de desencriptación. En versiones posteriores, los hackers habían resuelto este defecto. También el ransomware de TeslaCrypt (uno de los que más se extendió en 2016) tenía vulnerabilidades que permitían a las víctimas recuperar la llave privada usando algunas herramientas específicas (TeslaDecoder, TeslaCrack, etc.). Desde la versión 3.0 de TeslaCrypt en adelante, este defecto fue borrado y la encriptación AES256 hizo que todo tipo de métodos de recuperación de la llave de desencriptación sea imposible
Tal que esta opción tiene bajas probabilidades de éxito (prácticamente ninguna si la encriptación está configurada con fuertes algoritmos como AES256 u otras) pero, sin embargo, vale la pena buscarlo en línea.
Ahora me gustaría presentarles la gran páginaNo More Ransom!
Fue creada en 2016 por la National High Tech Crime Unit de la policía de los Países Bajos (la famosa Politie), por el Centro Europeo de Ciberdelincuencia de Europol y por dos empresas de ciberseguridad, Kaspersky Lab y McAfee, con el propósito de ayudar a las víctimas de ransomware a recuperar su data encriptada sin pagar a los criminales. Hoy en día, cuenta con muchos partners cualificados.
A través de una búsqueda en la web, o subiendo dos de los archivos encriptados en la página Crypto Sherif, seremos capaces de obtener un desencriptador gratis (si existe!) para desencriptar el archivo.
También es posible, y lo recomendamos, de indicar la URL de la página web o la dirección bitcoin o .onion que aparece en la petición ransom.

Recomendamos de ninguna manera buscar un desencriptador en la web a través de otros canales: puedes acabar teniendo sorpresas desagradables! Hay sitios web online que prometen que pueden recuperar documentos que han sido encriptados por ransomware, pero realmente te lo encriptan por segunda vez, y después preguntan a un ransom para que le proporcionen la “herramienta de desencriptar”. Se aprovechan de la necesidad de las personas para atacarlos, confirmando que en los ataques cibercriminales no existe ningún tipo de ética.
Un caso famoso es ZORAB, el cual prometía ofrecerte una solución para parar el ransomware Djvu, pero realmente te encriptaba de nuevo los archivos y los cambiaba a una extensión .ZRB.

2.3 No hacer nada y perder todos tus datos

Definitivamente no es la mejor opción y tampoco nunca es el camino a seguir, especialmente en una empresa, a menos que los datos encriptados sean de menor importancia. Incluso si tomamos esta opción, recomendamos que:

» Extraer el disco con los archivos afectados y hacerlos a un lado, alguien en el futuro podría encontrar el desencriptador para nuestros archivos, que podrían ser recuperados, podrían pasar semanas, meses… pero podría pasar.
» O también, por el mismo motivo, crear una copia de seguridad con los archivos encriptados y guardarlos en algún lado y recuperar la máquina

2.4 Pagar el ransom…

Desde un punto de vista ético, es de lejos la peor solución, una que nunca deberíamos tomar: al pagar estamos alimentando al criminal y lo hacemos más rico y fuerte.Hay otro aspecto a considerar: si pagamos, les mandamos un mensaje a los criminales dando a entender que somos vulnerables y disponibles a pagar, asi que podriamos esperar mas ataques! Sabemos que aquel que paga una vez tiene la probabilidad de ser atacado de nuevo por segunda vez.
¿Pagar hace que tus datos sean devueltos?

No hay ninguna garantía que tus datos sean devueltos, siempre recuerda, en el otro lado hay criminales.
Por la reputación de la policía, es preferible para estos criminales nos den de vuelta nuestros archivos, sino su reputación sería dañada y la empresas no les pagaran más
Esto es lo que pasa en la mayoría de los casos, pero hay un 20% de que incluso pagando, tus datos no vuelvan más a estar disponibles. De acuerdo al reciente reporte “The State Of Ransomware 2022”, este porcentaje se ha incrementado en un 40% en el último año.
La falta de la recuperación de datos no solo pasa por la falta de honestidad de parte de los criminales, existen también otras razones como:

» Un error en el pago;
» Un pago por debajo del pedido (un error que es fácil de cometer, la víctima no considera la comisión en la transacción al comprar bitcoins);
» El pago por la Dark Web ya no está disponible (fue cerrado por la policía);
» El desencriptador ya no funciona, es lo que le pasó a Colonial Pipeline por el ataque Darkside en mayo de 2021, hemos hablado de este tema en este artículo.

Y si después de todo decides pagar el ransom, estos son los pasos que hay que tomar (con algunas variaciones ya que depende que tipo de ransomware nos ha atacado):

» Leer las instrucciones que nos han enviado en la petición del ransom, necesitas esto para entender como contactar con los criminales, cual es el monto que estan pidiendo, casi siempre en bitcoins, y, sobretodo, cuando tiempo tenemos para pagar antes que nuestros archivos sean eliminados (generalmente los cibercriminales nos dan un plazo aproximado de 72 horas, casi nunca mas tiempo.
» Compra los bitcoins (u otra criptomoneda) para el pago: busca una página web donde sea posible “cambiar” esta moneda. Solo usa páginas web de cambio que tengan una buena reputación. Hay muchas de ellas online y son 100% legales, pero también hay páginas fraudulentas y es importante que las evitemos atentamente.
» Crea una cuenta en la pagina web que hayas elegido: esto para obtener una billetera digital donde los bitcoins comprados serán depositados.
» El contacto con el criminal suele hacerse por la dark web, a través de la red Tor. Para hacerlo desde el absoluto anonimato, tendrás que instalar el Tor Browser, puedes descargarlo desde la siguiente web.
» Solo a traves de Tor browser (no por via Chrome, Firefox o Safari) podemos acceder a la pagina web reconocida por los hackers. Las páginas web en la red Tor solo pueden ser localizadas en la Dark Web, no están indexadas en Google, y solo pueden ser encontradas si sabes la dirección exacta, que suele ser muy complejo. Un ejemplo de una dirección Tor seria: 7yulv7filqlrycpqrkrl.onion.
» Paga el ransom: Esto significa transferir el dinero de tu billetera Bitcoin a la del hacker. Para llegar a ella, es suficiente con seguir las instrucciones que te explica el cibercriminal. La billetera a la que le tienes que transferir el dinero se identifica con un ID, que consiste en un largo conjunto de numeros y palabras como: 19eXu88pqN30ejLxfei4S1alqbr23pP4bd (es como un IBAN). Este codigo rastrea el pago usando solo números, haciendo que sea prácticamente imposible rastrear de vuelta el nombre de la billetera del propietario. Después de transferir los bitcoins en la cuenta del hacker, tendremos que recibir otro código (otra vez, con un conjunto largo de numeros y letras), que significa la confirmación de la transacción.
» Espera y ten fe…: en algunas horas (el tiempo necesario para que la transacción se complete) deberíamos recibir un archivo con la llave de desencriptación, o un archivo ejecutable que sea el desencriptador, que descifrara los archivos. Para que tus archivos sean descifrados, tendrás que mantener conectado todos los dispositivos y discos que estaban conectados antes de la infección, sino, algunos archivos no serán desencriptados

Usualmente, un archivo desencriptador es enviado, lo que significa que el archivo ejecutará la ruta del reverso que el ransomware cifró. El desencriptador incluye un llave para descifrar (en algunos casos se envía por separado). Esto no siempre funciona del todo bien, ya que es un programa y puede haber sido configurado erróneamente… Algo que ya pasó anteriormente en el caso que mencionamos anteriormente de Colonial Pipeline!

Ten cuidado, el desencriptador no elimina el troyano, solo descifra los datos. Después, deberás eliminar el malware usando herramientas antimalware, o mejor, formateando completamente las máquinas infectadas. Hay algunos riesgos que no deben pasarse por alto: El desencriptador puede incluir otra clase de troyanos (esto no es un caso frecuente, pero no debemos confiar en que no pueda pasar).

Para extorsiones realizadas tras ataques “manuales” (que no son muy oportunas) hay un riesgo adicional que la cantidad aumente, por lo que los ciberdelincuentes aumentaran sus peticiones, puede suceder si se dan cuenta que han dado con objetivos importantes como grandes instituciones u hospitales. Ya ha pasado, como ejemplo, al Kansas Heart Hospital en Wichita (Kansas): después de recibir el ransom, los hackers solo dejaron un acceso parcial a los datos que encriptaron y exigieron un pago adicional para desencriptar los datos que faltaban. El hospital se negó a pagar el segundo ransom (Mayo 2016).

3. Ransomware y GDPR

En los momentos posteriores de recibir un ataque de ransomware, es fácil quedar desconcertado.
Sin embargo, no podemos olvidar que un ataque como este se ha dado probablemente por una filtración de datos (una pérdida y/o datos comprometedores) y debes entender cómo protegerte tú mismo de un ransomware. Si los datos comprometidos incluyen información personal (que es realmente probable), la empresa deberá notificar a la autoridad de control de la filtración de datos que le ha afectado.

Esto es lo que el artículo 33 de la GDPR reclama, que también obliga a la empresas a notificar del ataque “sin ninguna demora, y cuando sea posible, no tardar más de 72 horas desde que se ha dado a conocer […] a menos que sea poco probable que la filtración de datos personales ponga en peligro los derechos y libertades de las personas ”.
Esto es una obligacion de la ley que no debemos olvidar, para evitar sanciones previstas por la GDPR.


>> FlashStart esta totalmente en la nube y es fácil de activar → Pruébalo ahora


4. Cómo protegerte de un ransomware con la solución de FlashStart

El filtro DNS de FlashStart es rápido, confiable y siempre se mantiene actualizado. Te protege de todo tipo de Malware, Botnet, Ransomware y ataques de Phishing

Definir un plan estratégico para entender cómo protegerte de un ransomware es fundamental.

Al aplicar seguridad artificial a la ciberseguridad, primero adoptará un sistema automático para actualizar las listas negras utilizadas por el filtrado DNS. Con 1,7 billones de páginas web activas y más de 200 nuevos dominios que se añaden aproximadamente cada día, una categorización que usa sistemas avanzados es fundamental para garantizar un nivel alto de protección.

Con alrededor de 190 millones de páginas web que ya han sido revisadas, cada dia se añaden nuevos analisis que siguen las visitas de los usuarios alrededor de todo el mundo, FlashStart ofrece una inteligencia innovadora y efectiva en amenazas cibernéticas (malware, ransomware, botnet, phishing, etc.) y te ayuda a entender cómo protegerte de un ransomware, permitiendo personalizar fácilmente el contenido que finalmente quieras que los usuarios puedan acceder, basado en las necesidades de las empresas, instituciones educativas y hogares.
Al introducir el concepto de inteligencia DNS, el algoritmo de la inteligencia artificial permite el aceleramiento de recolección de datos por DNS, dominios y contenidos, “aprendiendo” de los análisis de las páginas web y prevenir que otros están en riesgo de ser bloqueados. De esta manera, la calidad del filtro mejora y se evitan “falsos negativos” que son los sitios web que se identifican como peligrosos por error.
Para definir bien la manera correcta para entender cómo protegerte de un ransomware, la elección de un tipo de filtro DNS es importante y debes considerar tres aspectos: distribución, latencia y la actualización constante de las tablas de control.
Por ejemplo, FlashStart es distribuida globalmente a través de una red Anycast de centros de datos ubicados en varios continentes que permiten conexiones instantáneas
Las amenazas en la red son añadidas en tiempo real a las listas disponibles en la nube y a los clientes se les otorga un servicio de protección que se actualiza continuamente. Por último, pero no menos importante, FlashStart garantiza asistencia 24/7 en inglés, italiano y español.

5. El autor

Giorgio Sbaraglia, ingeniero, consultor y formador en temas de ciberseguridad y privacidad.
Imparte cursos de formación sobre estos temas para numerosas empresas italianas importantes, incluidas ABIFormazione y la 24Ore Business School.
Es el coordinador científico del Máster “Ciberseguridad y Protección de Datos” de la escuela de negocios 24Ore Business School.
Es miembro del Comité Científico CLUSIT (Asociación Italiana de Ciberseguridad) y Innovation Manager certificado por RINA
Tiene puestos de DPO (Delegado de Protección de Datos) en empresas y colegios profesionales.
Es autor de los siguientes libros:
» GDPR kit di sopravvivenza” – “Kit de supervivencia GDPR” (Editado por goWare),
» Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” – “Kit de supervivencia de ciberseguridad. La web es un lugar peligroso. ¡Debemos defendernos!” (Editado por goWare),
» iPhone. Come usarlo al meglio. Scopriamo insieme tutte le funzioni e le app migliori” – “iPhone Cómo utilizarlo en todo su potencial. Descubramos juntos todas las funciones y las mejores aplicaciones” (Editado por goWare).

Colabora con CYBERSECURITY360 una revista online especializada del grupo Digital360 centrada en la Ciberseguridad.
También escribe para la revista ICT Security, para Agenda Digitale y para la revista CLASS.


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

Artículos relacionados