Como tercera entrega de artículos publicados por Adelante España dedicados a los delitos informáticos, hoy quisiera tratar del ransomware o también conocido como “secuestro de datos”.
Quisiera comenzar el artículo con una brevísima revisión de la evolución del malware o software malicioso, entendido como cualquier programa o código malicioso cuyo fin es dañar los sistemas informáticos.
Un poco de historia del malware:
La historia de los virus informáticos ha evolucionado a la par que la extensión del uso de la informática y el acceso a internet.
Los primeros virus que aparecieron solo pretendían ser molestos y podríamos considerarlos como “no destructivos”. Los que usamos en su día el MS-DOS recordamos al “Virus de la Pelotita”, el “Cascade” (las letras en la pantalla caían al fondo) o algunos otros que mostraban en la pantalla algún mensaje reivindicando alguna idea o filosofía.
Un paso más lo dieron los virus destructivos. En estos casos el objetico de los atacantes era la destrucción de los datos o ficheros de acceso a los ordenadores. En 1987 apareció el “Jerusalén” o también conocido como “Viernes 13”.
Otros virus famosos de este tipo son: el ILOVEYOU que apareció en el año 2000; el Anna Kournikova de 2001, el Mydoom de 2004, el Zeus de 2007, etc.
Este tipo de virus que se propagaban por el correo electrónico o por software “pirateado” principalmente, los podríamos clasificar como ciberterrorismo ya que su objetivo era destruir y provocar pérdidas económicas muy elevadas, pero los cibercriminales no obtenían réditos económicos directos de sus víctimas.
En la actualidad pocos o casi ningún ordenador, tableta o teléfono inteligente no está conectado a la red. Los ciberdelincuentes han encontrado en los ataques a los sistemas informáticos un muy lucrativo modus vivendi y la mayor parte de los ciberdelitos van encaminados a un objetivo económico contra la víctima. Así en mis artículos anteriores publicados en este medio, hablaba de los delitos informáticos más comunes.
El ransomware:
La etimología de la palabra “ransomware” viene de la palabra inglesa “ransom” (rescate) y “ware” como acortamiento de software.
Si no estás muy versado en noticias de índole informática quizás te extrañe que se puedan secuestrar los datos de una empresa o un particular y pedir por ellos un rescate, pero desgraciadamente así es. Últimamente hay una verdadera oleada de ciberdelitos con finalidades económicas.
Por citar los últimos ataques por ransomware conocidos por la prensa, la cervecera Damm sufrió en la madrugada del martes día 9 de noviembre al miércoles un ataque informático que afecta principalmente a su fábrica de El Prat de Llobregat. El diario Ara apunta que se trataría de un ataque de ransomware.
Este incidente se conoce apenas tres días después del ciberataque sufrido MediaMarkt, que afectó a sus tiendas en varios países europeos, entre ellos España. La propia multinacional alemana de productos electrónicos confirmó que la incidencia fue causada por un ataque de ransomware, similar al sufrido hace pocas semanas por la Universitat Autònoma de Barcelona.
Quizás pienses amable lector que este tipo de ataques cibernéticos solo afectan a grandes corporaciones, pero ciertamente no es así. Cualquier usuario de informática puede ser víctima de los ciberdelincuentes.
No en vano, la compañía de seguridad cibernética Trend Micro acaba de desvelar en un informe cómo trabajan los grupos de cibermercenarios que hay detrás de más de 3.500 ataques a empresas, políticos, periodistas, activistas y otros profesionales destacados.
¿Cómo actúa el ransomware?
El ciberdelincuente se cuela en nuestro ordenador, instala un malware del tipo troyano o gusano, que procede a encriptar nuestros archivos con una clave que solo él conoce haciéndolos inaccesibles.
La misma aplicación nos indica que si queremos recuperarlos, debemos pagar un rescate, ingresando una cierta cantidad que normalmente en alguna criptomoneda (bitcoins, monero, etc.), que variará en función de la importancia que el/los cibercriminales estimen que tienen los datos secuestrados. Una vez realizado el pago, los cibercriminales en teoría nos facilitarían un software o la clave para desencriptar nuestros datos y volverlos a hacer accesibles.
¿Cómo nos infectamos con el código malicioso?
Como es evidente, de alguna forma tiene que llegar este código malicioso a nuestro ordenador y saltar los filtros de seguridad que tengamos instalados si es que los tenemos.
Uno de los métodos más comunes por donde puede entrar es a través del correo electrónico por archivos adjuntos. Como ya hemos comentado en artículos anteriores, hay que desconfiar de correos electrónicos de direcciones desconocidas con ficheros adjuntos.
Otro de los métodos usados para la infección por ransomware es la descarga de videos en páginas de “dudosa” moralidad u origen.
La descarga de software desde páginas P2P (emule, BitTorrent, etc.) podrían ser una fuente de software malicioso oculto en los programas descargados.
Las actualizaciones desde páginas no oficiales son también una fuente de riesgo alto.
¿Cuáles son los ataques de ransomware más conocidos?
La lista sería interminable y seguramente desde que hoy, yo estoy escribiendo estas líneas y tú amable lector las estás leyendo, la lista se ha actualizado con nuevos ataques cada vez más sofisticados. Así, por ejemplo, podríamos nombrar a:
Reveton: Apareció en 2012. El troyano se hacía pasar por una unidad de la policía en la que acusaba a la víctima de haber entrado y descargado páginas de pornografía infantil y por lo tanto se había procedido a bloquear el ordenados hasta que se pagara la correspondiente sanción económica.
Cryptolocker: Apareció en septiembre de 2013. Este troyano se difunde mayoritariamente por correo electrónico o usando exploits.
Un exploit es un programa informático, una parte de un software o una secuencia de comandos que se aprovecha de un error o vulnerabilidad para provocar un comportamiento no intencionado o imprevisto en un software, hardware o en cualquier dispositivo electrónico.
En el buzón de correo electrónico, los usuarios reciben un archivo adjunto infectado. Puede ser un archivo comprimido Zip o Rar, un documento de Word o una imagen en forma de jpeg. Actúa cifrando con una clave los ficheros con las extensiones: “.doc .xls .ppt .eps .ai .jpg .srw .cer”, en equipos basados en Windows infectados.
WannaCry: Se activó en 2017 atacando una vulnerabilidad de Windows en sistemas no debidamente actualizados. Provocó el cifrado de datos en más de 75 mil ordenadores por todo el mundo afectando, entre otros, a: Rusia: red semafórica, metro e incluso el Ministerio del Interior; Reino Unido: gran parte de los centros hospitalarios; Estados Unidos; España: empresas tales como Telefónica, Gas Natural e Iberdrola.
Un ordenador infectado que se conecte a una red puede contagiar el ransomware a otros dispositivos conectados a la misma, pudiendo infectar también a dispositivos móviles. En su inicio, WanaCrypt0r comienza a cifrar los archivos de la víctima de una manera muy rápida.
CrytoWall: Surgió en 2014 bajo el nombre de CryptoDefense. Funcionaba como todos ellos encriptando ficheros y posteriormente pidiendo un rescate.
¿Cómo protegerse del ransomware?
No nos cansaremos de advertir sobre los peligros que nos acechan en el uso del correo electrónico. Ese es el medio más fácil y corriente para colarnos un software malicioso para un sinfín de ciberdelitos. La prudencia, el sentido común y cierta sana desconfianza nos harán menos vulnerables.
Otro sabio consejo es mantener nuestro sistema operativo y nuestras aplicaciones actualizadas. Las empresas de software mejoran las utilidades de sus aplicaciones y a la vez reparan las vulnerabilidades susceptibles de ser aprovechadas por los ciberatacantes. Es de crucial importancia actualizar nuestro software SIEMPRE desde las páginas oficiales.
Es importante tener instalada y actualizada una buena suite antivirus. El riesgo “cero” no existe, pero se reducen bastante los riesgos de una infección.
No introducir en nuestros ordenadores pendrives u otros aparatos informáticos de fuentes no conocidas o no confiables. Un pendrive encontrado en la calle, por ejemplo, nos puede salir muy caro si lo introducimos en nuestro sistema y resulta portador de un malware.
Como medida de prudencia, yo siempre aconsejaría tener una copia de seguridad externa de todos nuestros ficheros de datos y realizarla con cierta regularidad. En caso de ser infectado, las pérdidas podrían minimizarse.
¿Y si finalmente soy víctima de un ransomware?
Dicen los expertos que la regla número 1 es no pagar el rescate. No hay ninguna seguridad que los cibercriminales cumplan con su palabra desencriptando nuestros datos o por el contrario sigan lanzando nuevos ataques contra su víctima en un permanente chantaje.
Muchas suites de seguridad informática o en sus páginas web ofrecen desencriptadores específicos para los malwares conocidos. De todos modos, hay que decir, que no siempre son 100% eficaces ya que los “malos” siempre suelen ir un paso por delante.
Yo aconsejaría si se sufre un ataque de ransomware, desconectar el equipo y consultar con un experto para ver si con un poco de suerte puede desinfectar nuestro dispositivo y recuperar los datos.
De todos modos, si hemos tenido la precaución de realizar copias de seguridad regularmente, quizás la mejor solución sea el formateado del sistema y reinstalación de aplicaciones y datos.
