Un ransomware (un tipo de virus utilizado por hackers para bloquear archivos y exigir un rescate a cambio de devolver el acceso) altamente peligroso, llamado Medusa, ha atacado a más de 300 víctimas en Estados Unidos desde 2021, afectando sectores como la salud, educación y tecnología. Ahora, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) han emitido una advertencia urgente, señalando que este malware también amenaza a usuarios de Gmail y Outlook mediante ataques de phishing, una estafa en la que se pide a las víctimas que revelen contraseñas o datos bancarios a través de correos electrónicos, mensajes o sitios web falsos que imitan servicios legítimos.
Según el informe del FBI, Medusa es un ransomware-as-a-service (RaaS), lo que significa que sus creadores alquilan el software malicioso a otros ciberdelincuentes, llamados afiliados, para lanzar ataques. Utiliza un modelo de doble extorsión, donde cifra los archivos de la víctima y exige un rescate en criptomonedas para no divulgar la información robada. Su operación incluye un sitio de filtración de datos, donde se publican detalles de las víctimas junto con una cuenta regresiva para presionarlas a pagar.
El ransomware se propaga principalmente mediante campañas de phishing, enviando correos electrónicos fraudulentos que imitan comunicaciones legítimas de servicios populares como Gmail y Outlook. Los atacantes buscan engañar a los usuarios para que descarguen archivos infectados o ingresen sus credenciales en páginas falsas, permitiendo el acceso a cuentas personales y corporativas.
Cómo opera Medusa y por qué es tan peligroso
Medusa ha evolucionado desde su aparición en 2021, pasando de ser un ransomware cerrado a un modelo de afiliados, donde múltiples actores participan en los ataques. “Medusa es un nombre muy acertado para esta amenaza, ya que tiene múltiples formas de atacar y afectar diversas industrias”, explicó Tim Morris, asesor de seguridad en Tanium, según Associated Press.
El ransomware emplea herramientas avanzadas como PowerShell y Mimikatz para moverse dentro de las redes, robar credenciales y desactivar software de seguridad. “Una vez dentro de un sistema, Medusa ejecuta comandos cifrados para evitar ser detectado”, indicó Jon Miller, director ejecutivo de Halcyon, en declaraciones a Forbes. Además, los atacantes utilizan programas legítimos como AnyDesk y PsExec para expandirse dentro de la red de la víctima.
Para presionar a las víctimas, Medusa no solo bloquea los archivos, sino que ofrece opciones de pago adicionales. Según el informe del FBI, las víctimas pueden pagar 10,000 dólares en criptomonedas para retrasar la publicación de sus datos por un día, lo que aumenta la presión para entregar el rescate antes de que la información sea divulgada.
Cómo proteger tus cuentas de Gmail y Outlook
El FBI y CISA han emitido una serie de recomendaciones urgentes para usuarios de Gmail, Outlook y otros servicios de correo electrónico, con el fin de prevenir ataques de Medusa y otros ransomware. Entre las principales medidas de seguridad, destacan:
- Habilitar la autenticación multifactor (2FA) en correos electrónicos y VPNs, agregando una capa extra de seguridad.
- No abrir correos electrónicos sospechosos ni hacer clic en enlaces desconocidos, incluso si parecen provenir de contactos confiables.
- Evitar cambios frecuentes de contraseña, ya que pueden debilitar la seguridad si los usuarios optan por combinaciones predecibles.
- Actualizar sistemas operativos y software en computadoras y dispositivos móviles para corregir vulnerabilidades explotadas por ciberdelincuentes.
- Almacenar copias de seguridad en dispositivos físicos y redes segmentadas, evitando que los atacantes accedan a ellas.
“Las empresas deben asumir que sus sistemas pueden estar comprometidos y actuar en consecuencia”, advirtió Dan Lattimer, vicepresidente de Semperis, en Forbes.
¿Pagar el rescate? El FBI dice que no
El FBI ha reiterado que no recomienda pagar el rescate, ya que esto no garantiza la recuperación de los archivos y solo incentiva a los ciberdelincuentes a continuar con sus ataques. Un estudio de Semperis reveló que el 75% de las empresas atacadas han sufrido múltiples ataques en un año, y más del 70% ha pagado rescates en varias ocasiones.
“Pagar no es una solución, ya que muchas víctimas no reciben las claves de desencriptación o estas no funcionan”, explicó Lattimer. Además, el pago de rescates puede financiar nuevas campañas de ransomware y aumentar el número de víctimas potenciales.
Las agencias de seguridad de Estados Unidos instan a las empresas y usuarios afectados a reportar los incidentes al FBI o a CISA, incluso si han realizado el pago. “Es crucial recopilar información para combatir este tipo de amenazas”, afirmó el informe oficial.
A pesar de las advertencias oficiales, algunos expertos han señalado que las recomendaciones del FBI no abordan una de las principales estrategias de los ciberdelincuentes: el factor humano. Según Roger Grimes, de KnowBe4, “el FBI sigue sin recomendar la capacitación en seguridad como una estrategia clave, a pesar de que el 70% al 90% de los ataques exitosos involucran ingeniería social».
Grimes comparó la falta de educación en seguridad con “poner más cerraduras en las puertas cuando los ladrones entran por las ventanas”. Otros especialistas han advertido que las campañas de phishing seguirán siendo un problema mientras los usuarios no estén entrenados para identificar correos fraudulentos.
