El ransomware es una de las amenazas más peligrosas para las organizaciones hoy en día, y los sistemas z/OS no están exentos de este riesgo. A pesar de ser conocidos por su seguridad y capacidad para manejar grandes volúmenes de datos, los mainframes son blancos atractivos para los ciberdelincuentes, que buscan cifrar archivos críticos y paralizar operaciones.

En este artículo, veremos cómo el ransomware afecta a los sistemas z/OS, qué lo hace tan destructivo y cómo las empresas pueden proteger sus infraestructuras para evitar ser víctimas de un ataque.

¿Qué es el ransomware?¿Qué hace?

El ransomware es un tipo de malware diseñado para secuestrar los datos de una víctima, cifrando o bloqueando el acceso a los sistemas, y exigiendo un rescate para liberar esos datos o restaurar el acceso. A pesar de la criptografía avanzada que caracteriza a los sistemas como z/OS, estos no son inmunes a los ataques de ransomware.

Cuando el ransomware entra en acción, se apodera de los archivos críticos del sistema, dejándolos inutilizables a menos que se pague el rescate. Este pago suele realizarse a través de criptomonedas como Bitcoin, ya que permite transacciones anónimas, lo que complica el rastreo de los atacantes.

En algunos casos, el ransomware actúa como una bomba lógica, permaneciendo inactivo durante días o semanas, esperando el momento adecuado para activarse, lo que lo hace aún más peligroso y difícil de detectar.

Tipos de ransomware

Existen varios tipos de ransomware que utilizan diferentes métodos para atacar los sistemas de las víctimas. Aquí te presentamos los más comunes:

Ransomware de cifrado

El ransomware de cifrado es el tipo más frecuente y el que ha causado más estragos en empresas y usuarios particulares. Este tipo de ransomware cifra los archivos de la víctima, lo que significa que los archivos y datos no pueden ser accedidos sin la clave de descifrado proporcionada por los atacantes, pero solo si se paga el rescate.

Este tipo de ransomware afecta principalmente a documentos sensibles, bases de datos, imágenes y otros archivos importantes, paralizando las operaciones de la víctima hasta que se cumpla la demanda. Algunos de los ataques más notorios de ransomware de cifrado incluyen WannaCry y CryptoLocker, que se diseminaron rápidamente a través de vulnerabilidades de software y causaron graves pérdidas económicas a nivel global.

La criptografía que utilizan estos atacantes suele ser extremadamente potente, lo que hace que los intentos de restaurar los archivos mediante otras técnicas, como el uso de herramientas de recuperación, sean inútiles sin la clave proporcionada.

Ransomware de bloqueo de pantalla

El ransomware de bloqueo de pantalla es ligeramente diferente al ransomware de cifrado. En lugar de cifrar los archivos de la víctima, este tipo de ransomware bloquea el acceso al sistema operativo o a un dispositivo completo, mostrando una pantalla de bloqueo en la que se exige el pago de un rescate para restaurar el acceso.

Este tipo de ransomware no destruye ni cifra los datos, sino que se centra en impedir el uso del dispositivo, lo que puede ser igualmente dañino para las empresas o personas que dependen de sus dispositivos para realizar tareas diarias. En muchos casos, los atacantes pueden emplear un mensaje falso, como haciéndose pasar por una autoridad legal (por ejemplo, la policía), para asustar a la víctima y presionarla a pagar el rescate rápidamente.

Aunque los ransomware de bloqueo de pantalla no destruyen los archivos, los ataques a dispositivos móviles y sistemas críticos pueden ser igualmente perjudiciales si se tarda en resolver el bloqueo.

Leakware (Doxware)

El leakware, también conocido como doxware, es un tipo de ransomware mucho más peligroso porque va más allá de cifrar los datos de la víctima. Este tipo de malware roba información confidencial, como contraseñas, documentos sensibles o bases de datos privadas, y amenaza con filtrarlos o publicarlos en línea si no se paga el rescate.

A diferencia de otros tipos de ransomware, el leakware pone en peligro no solo el acceso a los datos, sino también la reputación y confidencialidad de la víctima. Este tipo de ataque es especialmente peligroso para empresas que manejan datos personales o financieros de clientes, ya que la filtración de información confidencial puede tener consecuencias legales y económicas graves.

El leakware suele ser utilizado por ciberdelincuentes que buscan extorsionar a las víctimas no solo por el rescate, sino también por la amenaza de hacer públicos los datos robados.

Ransomware móvil

El ransomware móvil afecta dispositivos móviles, como smartphones y tabletas. Aunque no es tan común como el ransomware de cifrado, su proliferación está en aumento debido a la creciente dependencia de los dispositivos móviles. Este tipo de ransomware se distribuye principalmente a través de aplicaciones maliciosas descargadas de fuentes no oficiales o mediante sitios web comprometidos que infectan el dispositivo de la víctima.

A diferencia de otros tipos de ransomware, los ransomware móviles no suelen cifrar los datos, sino que bloquean el acceso al sistema o a la pantalla del dispositivo, mostrándole a la víctima un mensaje de rescate. A menudo, los atacantes también pueden manipular configuraciones del sistema, haciendo más difícil la recuperación sin el pago del rescate.

El ransomware móvil es especialmente problemático para usuarios que dependen de sus dispositivos para realizar transacciones financieras o acceder a información personal sensible.

Ransomware wiper

El ransomware wiper es uno de los tipos más destructivos de ransomware, ya que no solo cifra los datos de la víctima, sino que los destruye permanentemente, lo que hace imposible la recuperación, incluso si se paga el rescate. Este tipo de ransomware se utiliza principalmente en ataques de gran escala, como los perpetrados por actores de estados-nación o en el contexto de ciberterrorismo.

En lugar de simplemente bloquear el acceso a los archivos o cifrarlos, el ransomware wiper borra o destruye los archivos de forma irreversible, causando daños irreparables. Este ataque puede estar dirigido a empresas que manejan información sensible, como bases de datos de clientes o información gubernamental, y la pérdida de estos datos puede tener repercusiones mucho mayores que el simple hecho de no poder acceder a ellos temporalmente.

Los ransomware wiper son, por tanto, extremadamente peligrosos y se utilizan con fines de destrucción masiva de datos y como herramienta de ciberataques políticos.

Ataque ransomware. Fases

Un ataque de ransomware en z/OS sigue un patrón general de fases. Cada fase está diseñada para maximizar el impacto del ataque y complicar la recuperación:

Fase 1: Acceso inicial

Los atacantes ingresan al sistema a través de phishing, vulnerabilidades de software o credenciales robadas. En esta fase, se establece el punto de entrada y los ciberdelincuentes buscan sistemas clave dentro de la infraestructura z/OS. Esto puede incluir la explotación de debilidades conocidas en aplicaciones o redes.

Fase 2: Propagación

Una vez que los atacantes han accedido a la red, el ransomware comienza a propagarse a otros sistemas de la infraestructura. Esto incluye servidores, bases de datos y otros dispositivos críticos dentro de z/OS, a menudo aprovechando la movilidad lateral para infectar más sistemas y ampliar el daño.

Fase 3: Cifrado de datos

El malware empieza a cifrar los archivos esenciales, como datasets, bases de datos y archivos clave del sistema z/OS. En esta fase, los datos se vuelven inaccesibles sin la clave de descifrado. El objetivo de los atacantes es interrumpir el funcionamiento del sistema y forzar el pago para restaurar el acceso.

Fase 4: Notificación de rescate

Una vez cifrados los archivos, el ransomware muestra una pantalla de rescate que exige un pago (generalmente en Bitcoin) a cambio de la clave de descifrado. Esta pantalla generalmente advierte sobre las consecuencias de no pagar, como la pérdida permanente de los datos o la filtración de la información sensible robada.

Fase 5: Recuperación de datos

Si la víctima paga el rescate, los atacantes entregan la clave de descifrado para restaurar el acceso a los archivos. Sin embargo, no hay garantía de que todos los datos sean restaurados completamente ni que el sistema quede completamente limpio. Algunos ataques incluyen segundas oleadas, lo que puede llevar a más cifrados o ataques adicionales incluso después de pagar el rescate.

Protege tu entorno z/OS contra el ransomware

El ransomware es una amenaza constante, especialmente en entornos críticos como z/OS. A pesar de contar con una criptografía avanzada, los sistemas z/OS no son inmunes. La mejor forma de proteger tu infraestructura es contar con una estrategia proactiva de seguridad y mitigación de riesgos.

Si quieres proteger tu entorno z/OS de amenazas reales como el ransomware, y aprender a detectar, contener y mitigar ataques antes de que impacten, inscríbete en nuestro curso:

👉 https://www.go2bsecure.com/z-os-courses/