“El único sistema completamente seguro es aquel que está apagado, encerrado en un bloque de cemento y sellado en una habitación rodeada de alambradas y guardias armados”. Gene Spafford
La Habana, Cuba. – La palabra malware resulta de combinar los términos “software” y “malicioso”. El término abarca todos los tipos de aplicaciones malignas que pueden comprometer la seguridad de un dispositivo. Ya aclarado el término, manos a la obra.
El ransomware es una clase de malware que representa un riesgo para las personas y para los dispositivos. Su nombre no es casualidad: la primera parte del término, “ransom”, es un vocablo ingles que significa “rescate”. El ransomware es entonces, un software extorsivo: su finalidad es impedir usar un dispositivo hasta que se haya pagado un rescate. La una infección ocurre del siguiente modo: el ransomware se introduce en el dispositivo, después, se cifra una parte o toda la información existente en el terminal, finalmente, se le exige a la víctima el pago de un rescate.
Aunque los ataques se han hecho populares desde mediados de la década del 2010, el primer ataque conocido fue realizado a finales de la década de los 80, existe registro de una forma primitiva de ransomware que data de 1989, creado por el por el Dr. Joseph Popp. Los primeros casos concretos de ese tipo de malware se denunciaron en Rusia en 2005. Desde entonces, el ransomware se ha convertido en un fenómeno mundial. El año 2011 trajo consigo un aumento exponencial en el número de ataques de ransomware. La empresa McAfee señaló en 2013 que solamente en el primer trimestre de ese año, se habían detectado más de 250 000 tipos de ransomware Uno de los ataques de ransomware más trascendentes ocurrió en mayo de 2017, fue conocido como WannaCry, se exigió el pago de un rescate en bitcoins a unas 200 000 víctimas de casi 150 países.
El nivel de peligrosidad del ataque depende del tipo de ransomware. Existen tres tipos:
El primer tipo es el Bloqueador. Su objetivo es bloquear o simular el bloqueo del sistema informático completo y muestra un mensaje de alerta para pedir el rescate. Se han dado casos en los que el mensaje parece que pertenece a alguna autoridad gubernamental y se indica que se ha detectado contenido ilegal y pide dinero para pagar una multa y evitar entrar en prisión. En ese tipo se coloca un banner pornográfico en el escritorio del usuario y alega que la víctima ha visto contenido prohibido y se le pide el rescate.
El segundo tipo es el Cifrador (filecoders). Este realiza cifrado del nombre y el contenido de los ficheros. Ejemplos de ese tipo de ransonware son el AIDS (el primero que uso criptografía simétrica) y PGPCoder (que usaba criptografía asimétrica)
Y el último tipo de ramsonware son los Híbridos, que combinan características de bloqueador y de cifrador. Ejemplo de ese tipo es CryptoLocker
Las maneras más comunes de contraer una infección de ransomware son visitar un sitio web malicioso, abrir un adjunto maligno o descargar software con agregados indeseables. Basta con cometer un mínimo error para abrirle las puertas a ese tipo de malware. Como ese tipo de software se diseña para que se mantenga oculto el mayor tiempo posible, detectar una infección no es fácil. El atacante camufla el código malicioso dentro de otro programa apetecible para que el usuario se sienta tentado a hacer un clic. Algunos ejemplos de esos camuflajes serían: archivos adjuntos en correos electrónicos, vídeos de páginas de dudoso origen, actualizaciones de sistemas o programas, en principio, fiables como Windows o Adobe Flash.
Luego, una vez que ha penetrado en la computadora, el ransomware se activa y provoca el bloqueo de todo el sistema operativo, lanza el mensaje de advertencia con la amenaza y el importe del rescate que se ha de pagar para recuperar toda la información. Además, en ocasiones incluyen en la amenaza la dirección IP, la compañía proveedora de Internet y hasta una fotografía captada desde la cámara web. Por supuesto, existen otras señales de infección: cambios en las extensiones de los archivos, actividades dudosas en el sistema, uso intensivo del procesador y otras. Para deshacerse de una infección de ransomware, generalmente existen tres opciones. La primera —que no se recomienda— es pagar el dinero del rescate. La segunda opción, preferible a la primera, es intentar eliminar el ransomware. Si ese intento no da fruto, queda solo una opción: formatear el dispositivo, dejándolo en cero, como si fuera recién comprado.
Desafortunadamente, cuando un ransomware infecta y bloquea una computadora no hay casi nada que se pueda hacer, por lo que todo el trabajo para protegerla debe ser preventivo. Uno de los principales métodos para infectar una computadora con ransomware suele ser el envío de correos electrónicos con el malware adjunto y camuflado, el clásico phishing. Por ello, es importante no fiarse nunca de adjuntos no solicitados en los correos electrónicos. Si se recibe un email inesperado de un desconocido y un fichero adjunto, jamás abrir el adjunto y borrar el correo intentando. Otra forma de distribución de ransomware son los archivos de Microsoft Office, con extensiones .doc,.xls y similares. Una buena opción es desactivar los macros de Word o de su aplicación ofimática de cabecera para evitar que en ellos se pueda introducir malware. Y, por último, se deben repasar las opciones de seguridad y privacidad del navegador de internet. Desactivar plug-ins tipo Flash o Java, o por lo menos configurarlos para que soliciten permiso para utilizarlos cada vez que una página lo pida y así poder evitar problemas, y revisar las extensiones que se tengan instaladas para quitar todas las que no se utilicen o no se conozcan.
Hacia fines del 2019 comenzó a observarse una tendencia en los ataques de ransomware, esa nueva modalidad hace uso de una técnica conocida como doxing, que consiste en obtener datos confidenciales de las víctimas y amenazar con hacerlos públicos, a menos que se pague la extorsión. Eso sin duda aumenta la presión sobre los afectados, ya que no solo se trata de recuperar la información cifrada, sino también evitar que los datos robados se hagan públicos. Según ESET Quarterly Threat, los operadores detrás del ransomware Maze fueron los primeros en adoptar la práctica de doxing en sus ataques. Si bien sus campañas comenzaron a detectarse desde mayo de 2019, a partir de octubre comenzaron a incluir la filtración de información de la víctima como parte de la amenaza. Poco tiempo después, esa modalidad extorsiva fue adoptada por una gran cantidad de grupos de ransomware que a su vez sumaron otras modalidades extorsivas para aquellas víctimas que no estén interesadas en llegar a un acuerdo, como son los ataques de denegación de servicios, DDoS.
Los ciberdelincuentes han dado un paso más ofreciendo ransomware como servicio o RaaS. En esa forma de explotación los cibercriminales crean un conjunto malicioso compacto capaz de lanzar un ataque de ransomware. Este conjunto lo venden o alquilan a los interesados bajo un programa de afiliación a otros cibercriminales que tienen la intención de lanzar un ataque. Además del software les proporcionan: conocimientos técnicos e información paso a paso sobre cómo lanzar un ataque utilizando el servicio, una plataforma que incluso puede mostrar el estado del ataque utilizando un panel de control en tiempo real. A veces, cuando el ataque tiene éxito, el dinero del rescate se divide entre el proveedor de servicios, el codificador y el atacante.
De la misma manera, el ransomware de código abierto (cuyo primer referente fue llamado Hidden Tear), desencadenó nuevos escenarios para el desarrollo de ese tipo de programas maliciosos y sus variantes, donde es posible la rápida creación de malware cada vez más sofisticado y masivo mediante la mejora de código preexistente.
Hay una serie de buenos hábitos con los que se puede evitar el impacto negativo que un ransomware tiene en las computadoras. El más importante es hacer copias de seguridad periódicas de todos los archivos, y especialmente los más importantes. Nunca se debe dejar que los documentos y archivos importantes tengan sólo una copia en la máquina, y mantén actualizadas las copias de seguridad para que, en caso de avería o ataque, se pueda recuperar toda la información posible. También es importante tener el sistema operativo siempre actualizado, y actualizar siempre las aplicaciones o los antivirus que se posean. Las actualizaciones no sólo añaden nuevas funciones, sino que también corrigen problemas de seguridad y errores de los que un atacante se podría aprovechar para infectar. Y, por último, los usuarios deben mantenerse informados sobre nuevas amenazas en la red.
Algunos ejemplos:
El ramsonware Petya, fue creado y descubierto en 2016. En 2017 comenzó un ciberataque mundial (algunas compañías ucranianas fueron las primeros en informarlo), utilizando una nueva variante de Petya. Ese día Kaspersky Lab informó de las infecciones en Francia, Alemania, Italia, Polonia, Reino Unido y Estados Unidos, pero que la mayoría de las infecciones se dirigieron a Rusia y Ucrania, donde más de 80 empresas fueron atacadas, incluyendo el Banco Nacional de Ucrania.
El ramsonware Reveton, se comenzó a distribuir en 2012. Se basó en el troyano Citadel, el cual estaba a su vez basado en el troyano Zeus. Su funcionamiento consistía en desplegar un mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al país donde residía la víctima. Por ese funcionamiento se le comenzó a nombrar como “policía troyano”, debido a que alegaba que la computadora había sido utilizada para actividades ilícitas, tales como descargar software pirata o pornografía infantil. El troyano mostraba una advertencia informando que el sistema fue bloqueado por infringir la ley y de ese modo se debía pagar una fianza para poder liberarlo, mediante el pago a una cuenta anónima.
En septiembre de 2013 hizo su reaparición el ransomware CryptoLocker, basado en el cifrado de ficheros, el cual generaba un par de claves de 2048 bits con las que se controlaba el servidor y se cifraban los ficheros de un tipo de extensión específica. El virus eliminaba la clave privada a través del pago de un bitcoin o un bono prepago en efectivo dentro de los tres días tras la infección. Debido al largo de la clave utilizada, se considera que es extremadamente difícil reparar la infección de un sistema. En caso de que el pago se retrase más allá de los tres días, el precio se incrementaba a 10 bitcoins, lo que equivalía, aproximadamente. CryptoLocker fue aislado gracias a que incautaron la red GameoverZeuS. Se estima que los ciberdelincuentes consiguieron al menos tres millones de dólares hasta que el malware fue desactivado.
WanaCrypt0r o WannaCry es un ransomware que apareció el 12 de mayo de 2017 con origen en el arsenal estadounidense de malware Vault 7 revelado por Wikileaks pocas semanas antes, el código malicioso aprovecho la vulnerabilidad EternalBlue que afectaba al servicio de archivos compartidos de Windows, descrita en el boletín MS17-010 en sistemas Windows que no estuviesen actualizados. Provocó el cifrado de datos en más de 75 mil computadoras por todo el mundo afectando, entre otros, a: la red semafórica, el metro y el Ministerio del Interior de Rusia, gran parte de los centros hospitalarios del Reino Unido y Telefónica, Gas Natural e Iberdrola de España.
El concepto de sistema seguro ha ido cambiando a medida que evoluciona la tecnología y el cibercrimen. En la actualidad se sabe que una seguridad razonable de la información, nunca total, se obtiene como resultado a una combinación de capas de protección cuidadosamente desplegadas. El instalar una solución de seguridad no es suficiente por sí solo, ya que la superficie de exposición de las empresas y personas ha aumentado de manera drástica.
En particular, algunos consejos básicos para protegerse del ransomware son los siguientes:Tener copias de respaldo actualizadas, instalar soluciones de seguridad, utilizar herramientas para el cifrado de ficheros, capacitar al personal sobre los riesgos, mostrar las extensiones ocultas por defecto de los ficheros, analizar los adjuntos de correos electrónicos, deshabilitar los archivos que se ejecutan desde las carpetas AppData y LocalAppData, actualizar el software de dispositivos de escritorio, móviles y de red, crear políticas de seguridad y comunicarlas a los empleados.
Estar al tanto de estos asuntos, no es patrimonio de especialistas de informática, todo usuario de un dispositivo que tenga las posibilidades de tratamiento de información debe saber que es un posible blanco de los ciberdelincuentes, no vale eso de que yo no poseo información importante y por tanto soy inmune a esos ataques. Piénselo y actúe en consecuencia.
Ah, recuerden, si me ven por ahí me saludan.