La palabra ransomware, viene del inglés y es la suma de las palabras ransom ‘rescate’ y ware (de software). Como su propio nombre describe, es un tipo de virus informático que «secuestra» datos sensibles o de valor y restringe el acceso a ellos a cambio de un rescate. Sólo cuando pagas o haces lo que el ciberdelincuente quiere, es cuando tus datos son liberados y puedes acceder a ellos. Como vemos en su definición y funcionamiento, el ransomware basa su ataque en la encriptación ó cifrado de información valiosa y el pago de un rescate a cambio de esa liberación (desencriptación)
Aunque los primeros ataques de ransomware datan de los años 80 y principios de los 90, es a mediados de los 2000 y 2010 cuando su uso se disparó, aprovechando el poder de cifrado cada vez mayor de las máquinas y el auge de las criptomonedas, monederos virtuales, y todos estos elementos que impiden rastrear de dónde proviene el dinero.
¿Cómo funcionan los ataques de ransomware?
Pues lo primero que necesita el ransomware para ejecutar la encriptación de datos es, obviamente, acceder a estos datos valiosos. Hay muchos vectores de infección, que muchas veces se valen de la ingeniería social para engañar a la víctima y hacerla clicar en cualquier archivo adjunto falso que infecte el equipo.
Métodos más populares de infección por ransomware
- Archivos adjuntos en el correo electrónico.
- Ventanas emergentes en páginas de dudosa legalidad.
- Contenido malicioso (enlaces, vídeos, adjuntos, …).
- Demás métodos tradicionales. (mensajes dirigidos, spams)
Generalmente el ransomware, se vale del cifrado asimétrico como criptografía. Esto es porque utiliza un par de claves para ejecutar el proceso de cifrado y descifrado de un archivo.
Tipos de ransomware
Aunque el funcionamiento de todos los ataques de ransomware es siempre prácticamente idéntico, existen pequeños matices que los diferencias a unos de otros. Podemos distinguir por regla general entre estos tres tipos.
Ataques de cifrado:
Es el ataque más popular. Cuando has pinchado en el enlace, el código malicioso identifica el contenido sensible y lo cifra mediante alguna técnica de cifrado. Antiguamente se valían de criptografía simétrica, aunque los últimos ataques se basan más en criptografía asimétrica.
Bloqueadores:
Son la versión más clásica de los ataques. El objetivo del mismo es bloquear el equipo mediante algún pop-up ó sistema de ventanas emergentes que te informan de que tu equipo está infectado y una de dos: pagas y problema resuelto ó todos tus datos sensibles se borrarán, ó la Policía Nacional vendrá a buscarte a tu casa porque tu ordenador contiene contenido ilegal y bla bla bla. En muchas ocasiones, sobre todo en las primeras épocas que la gente estaba menos escarmentada, los ataque ni siquiera eran ciertos. No me refiero al contenido, (que por supuesto que no) sino a que no era cierto que tu equipo estuviera secuestrado, sólo que el virus simplemente había abierto una ventana modal emergente que no podías cerrar y a lo mejor simplemente apagando y volviendo a encender el equipo no la volvías a ver jamás.
Híbridos:
Es una mezcla de ambos.
