Ransomware

Ransomware es un tipo de malware que cifra archivos en la computadora o red de una víctima, haciéndolos inaccesibles. Los atacantes exigen un rescate — casi siempre en criptomonedas — a cambio de la clave de descifrado.

Cómo funciona el ransomware

1. El malware se entrega a través de un correo electrónico de phishing, un enlace malicioso o una vulnerabilidad de software
2. Cifra archivos en la máquina local y en las unidades de red conectadas
3. Aparece una nota de rescate exigiendo el pago a una billetera de criptomonedas específica
4. La víctima envía criptomonedas a la dirección del atacante
5. El atacante (idealmente) proporciona una clave de descifrado

Por qué se usa criptomoneda

• Sin devoluciones — las transacciones en criptomonedas son irreversibles, a diferencia de las transferencias bancarias
• No se requiere identidad — las direcciones de billetera pueden crearse de forma anónima
• Transfronterizo — los pagos se mueven globalmente sin que bancos o reguladores los bloqueen
• Ofuscación — los atacantes usan servicios de mezcla y monedas de privacidad (Monero) para ocultar el rastro del dinero

Bitcoin es la moneda de rescate más común, aunque Monero es cada vez más preferida por atacantes sofisticados debido a su mayor privacidad.

Ataques notables

• WannaCry (2017) — infectó más de 200,000 computadoras en 150 países, exigió Bitcoin
• Colonial Pipeline (2021) — paralizó la infraestructura de combustible de EE. UU.; se pagaron $4.4M en Bitcoin, la mayoría recuperados posteriormente por el FBI

Protección

• Mantén copias de seguridad regulares fuera de línea
• Aplica actualizaciones de software y parches de seguridad puntualmente
• Usa autenticación multifactor
• Capacita a los empleados para reconocer intentos de phishing
• Segmenta las redes para limitar el movimiento lateral

Ver también

• Phishing
• Clave privada
• Código abierto