El ramsomware a la cabeza de los ciberdelitos

 

El 8 de noviembre de 2021, la cadena MediaMarkt informó que había sufrido un ciberataque que afectó directamente a las tiendas de Alemania, Holanda y Bélgica, y que trajo consecuencias entre las de otros países, como es el caso de España. Se estima que en torno a 3 000 servidores Windows fueron afectados, así como numerosos servidores web. Según se supo por la propia empresa, el ataque fue de tipo ransomware, es decir, la introducción en los sistemas de un programa malicioso que “secuestra” los datos de la víctima –generalmente, encriptándolos-, para posteriormente exigir un rescate por su liberación, de ahí el nombre. En concreto, el malware utilizado en este caso fue HIVE, un virus que ha sido utilizado en el pasado para infectar los sistemas informáticos de centros sanitarios. Los delincuentes habrían solicitado a MediaMarkt más de 200 millones de euros a modo de rescate. La misma semana sufrió una ciberagresión similar la empresa cervecera Estrella Damm, que se vio obligada a parar la producción de su fábrica de El Prat. El método fue el mismo, los delincuentes cifraron los archivos informáticos de la compañía y pidieron un rescate por su desencriptación.

Los casos de MediaMarkt y de Damm no son excepcionales, sino parte de una tendencia de crecimiento en todo el mundo del ransomware como modalidad preferida por los ciberdelicuentes. El poder de esta clase de ciberamenaza quedó patente en 2017, cuando el virus WannaCry infectó en un día 230 000 ordenadores de 150 países. En aquella ocasión los hackers explotaron una vulnerabilidad de un puerto SMB, y el malware fue difundido a todos aquellos equipos que no habían recibido la actualización de un software de seguridad de Microsoft. Los costes globales que supuso el ataque se estiman entre cientos y miles de millones de dólares.

La principal característica del ransomware frente a otros tipos de ciberataques es la demanda de un rescate a la víctima para devolverle el control sobre su información y sus equipos, que el asaltante ha bloqueado o encriptado. Generalmente, tras el ataque, se recibe un correo electrónico anónimo que establece la cantidad a pagar y el método para hacerlo, que suele ser a través de criptomonedas, como Bitcoin. El pago del rescate no garantiza la devolución del acceso a la información. De hecho, algunas acciones criminales que se hacen pasar por ransomware tienen como objetivo la destrucción de los datos de la víctima, independientemente de que pague o no la cantidad pedida (wiper malware).

Es por ello, que la principal recomendación cuando se es objeto de un chantaje de estas características es no pagar nunca, dado que nada ni nadie garantiza que los hackers vayan a desencriptar los sistemas afectados, y, además, pagando se alienta este tipo de delito, incluso es posible que la víctima vuelva a ser objetivo del ataque, como ocurrió con la empresa nipona Olympus. La mejor forma de minimizar el daño producido por el ransomware es disponer de copias de seguridad de la información estratégica y sensible, para que su posible encriptación no implique una pérdida irreparable para la organización.