En el artículo titulado Ransomware: 10 formas en las que puede comportarse al infectar un sistema, que fue publicado la semana anterior, analizamos las formas en las que pueden afectar a un usuario las distintas familias de ransomware. En esta ocasión, intentaremos reflexionar acerca de qué ransomware resulta ser más dañino, poniendo el foco en la gravedad del daño que pueden provocar ataques de este tipo dependiendo del código malicioso y su actividad.
Para analizar esta problemática, es indispensable tener en cuenta variables como el modo de propagación, información alcanzada, plataforma afectada, modo de extorsión y si se produjo fuga de información.
En cuanto al modo de propagación, en algunos casos estos códigos maliciosos explotarán alguna vulnerabilidad extendiéndose automáticamente por la red, en otros casos cifrarán directorios mapeados y algunos inclusive detectarán servicios en la nube qué también podrían ser cifrados. Un claro ejemplo de este tipo de propagación fue WannaCry, un ransomware que tuvo un fuerte impacto sobre empresas que no tenían actualizados sus sistemas operativos y que solo necesitó infectar un dispositivo para propagar el malware de forma automática por toda la red. Este tipo de comportamiento se lo conoce como ransomworm y resultan ser más dañinos a comparación con otras campañas que se propagan a través del correo.
Relativizando el impacto según la información afectada
Otro factor importante es que el impacto de un ataque del tipo ransomware dependerá de cuán crítica sea la información afectada por el código malicioso, lo cual en muchos casos será una métrica incuantificable. Si la información alcanzada es robada o cifrada tendrá distinto impacto dependiendo de la naturaleza de la información. Un ejemplo claro que sirve para reflexionar se esconde detrás de la pregunta: ¿Preferirías que tus fotos privadas queden cifradas e ilegibles o que se distribuyan por la Deep web; o incluso peor que se produzcan ambas? Cuando hablamos de un corporativo podríamos pensar en una base de datos de clientes, cotizaciones o inclusive en secretos industriales.
Discernir según su naturaleza
Si separamos por un lado los códigos maliciosos del tipo ransomware que cifran información de los que bloquean el sistema, los más críticos serian aquellos que cifran la información. Esto es así debido a que en muchos casos los que simplemente bloquean el sistema pueden ser eliminados mediante una solución de seguridad colocando un disco o unidad en modo esclavo para someterlo a un análisis y una posterior eliminación del malware, o inclusive porque puede extraerse la información valiosa del disco. De este modo y dependiendo de la muestra, sería posible restablecer en sistema operativo. Sin embargo, ¿qué pasa si primero el ransomware cifra la información y en una segunda instancia se elimine la amenaza mediante una solución de seguridad? La respuesta para esta interrogante es que la información seguirá cifrada y la tarea de recuperarla será aún más compleja.
Ransomware en todos lados
Por otro lado, dependiendo de la plataforma afectada será más sencillo o más complejo restablecer el sistema. Es decir que muchos usuarios podrían reinstalar un sistema operativo como Microsoft Windows o inclusive un smartphone con Android. Pero, ¿qué pasa si la plataforma afectada pertenece a un Smart-tv?, ¿cuantos usuarios infectados sabrían como restaurar el sistema de su televisor inteligente? Sin lugar a dudas, esta posibilidad deberá tenerse en cuenta, ya que no solo afectaría la información, sino que dejaría inutilizable el hardware con grandes pérdidas económicas para el usuario afectado.
Malware con Vulnerabilidades
Otro punto a analizar es si el código malicioso tiene vulnerabilidades que permiten a los especialistas de malware generar parches para recuperar la información cifrada o bloqueada. Dentro de la página de nomoreransoware.org podrás encontrar varias vacunas públicas para mitigar esta problemática. Lamentablemente, en la mayoría de los casos cuando la información es cifrada por uno de estos códigos maliciosos es poco probable que pueda recuperarse. Por lo tanto, es muy importante tener cuidado con estos códigos maliciosos.
Conclusión
El peor ransomware es aquel que logra saltar las medidas de seguridad e infectar, robar y/o cifrar tu información más crítica. Como no querrás ser testigo en primera persona de los ejemplos anteriores, te recomendamos que utilices soluciones de seguridad, copias periódicas de respaldo (backup) y que mantengas actualizado todo tu sistema operativo y aplicaciones. De ese modo, no deberás preocuparte y podrás disfrutar de las tecnologías viendo cómo funciona el ransomware desde este blog y no en tus dispositivos.