1. Distribución e infección de malware
Generalmente, el ransomware se propaga a través de correos electrónicos engañosos que contienen documentos falsos o enlaces maliciosos. Otros métodos comunes incluyen aprovechar vulnerabilidades de software sin parches, hackear el protocolo de escritorio remoto (Remote Desktop Protocol, RDP), robar credenciales, infectar unidades USB y apuntar a software pirateado. Para mitigar estos riesgos, asegúrate de que tu software esté actualizado, usa contraseñas seguras y evita descargar archivos de fuentes no confiables.
2. Comando y control
Una vez que el ransomware infecta un sistema, se conecta a un servidor de comando y control (Command-and-Control, C&C). Este servidor envía claves de codificación y puede descargar más malware. Los atacantes suelen demorar esta conexión para evitar ser detectados. Implementar un monitoreo de red sólido y la detección de anomalías puede ayudar a identificar y bloquear estas conexiones de manera temprana.
3. Descubrimiento y movimiento lateral
Luego, el malware busca otros dispositivos dentro de la red para propagar la infección. Los atacantes recopilan información de la red y acceden a más dispositivos, lo que aumenta su capacidad para aprovecharse mediante la extorsión. Auditar regularmente el acceso a la red y segmentar tu red puede limitar la propagación del ransomware.
4. Robo malintencionado de datos y cifrado de archivos
Los atacantes usan el servidor de C&C para recopilar datos valiosos, a menudo lentamente, antes de cifrarlos con las claves de cifrado recibidas. Este doble mecanismo de robo de datos y codificación, conocido como doble extorsión, aumenta la presión sobre las víctimas. Cifra los datos confidenciales y usa herramientas de prevención de pérdida de datos (Data Loss Prevention, DLP) para resguardarte ante el acceso no autorizado.
5. Extorsión
Una vez que los archivos están cifrados, los atacantes exigen un rescate, y envían un mensaje con detalles sobre la infección, el monto del rescate, las instrucciones de pago y un temporizador de cuenta regresiva. También pueden amenazar con divulgar públicamente los archivos robados. Tener un plan de respuesta ante incidentes claro y hacer copias de seguridad de los datos con regularidad puede ayudarte a evitar pagar el rescate.
6. Resolución
Para resolver un ataque de ransomware, aísla los dispositivos afectados de inmediato. Si tienes copias de seguridad y planes de recuperación fuera de línea, puedes restaurar los datos sin negociar con los atacantes. De lo contrario, las opciones incluyen pagar el rescate, negociar o reconstruir los sistemas de TI. Sin embargo, el pago no garantiza la recuperación de los datos. Siempre informa el ataque a autoridades como la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (Cybersecurity & Infrastructure Security Agency, CISA) o el Buró Federal de Investigaciones (Federal Bureau of Investigation, FBI), según sea necesario.