Ramsomware | Mito o realidad sobre el secuestro y rescate de información

Posted in Virus informático

La técnica de usar un virus de computador para retener datos como rehenes ha existido durante décadas, pero ha ganado más notoriedad en los últimos años. Sin embargo, el ataque masivo que se ha difundido por todo el mundo ha llegado a un nuevo nivel.

Esto es lo que debes saber sobre el malicioso software.

¿Cómo funciona?

En su corazón, el ransomware imita el antiguo crimen del secuestro: alguien toma algo que aprecias y, con el fin de recuperarlo, debes pagar por ello.

Para que funcione, los computadores deben estar infectados con un virus, que usualmente llega engañando a alguien para que haga clic en un link t también puede proliferarse por correo electrónico al hacer clic en un documento adjunto.

En los últimos años, los correos electrónicos han sido usados para distribuir virus contenidos en documentos como notificaciones de entrega falsas, facturas de energía o declaraciones de impuestos, según un reporte de la compañía de seguridad cibernética Symantec.

Una vez los usuarios hacen clic en el link o en el adjunto, el ransomware encripta el disco duro del computador, bloqueando los documentos de las personas, incluyendo fotos y bibliotecas musicales.

Y luego un pantallazo aparece amenazando con destruir tus documentos a menos que pagues un rescate.

Este tipo de ataques no son nuevos

El primer virus ransomware conocido, apodado como troyano SIDA, ocurrió en 1989, según Symantec. El pago demandado en ese entonces fue de 189 dólares.

Al final, no fue exitoso porque pocas personas usaban computadores personales en ese momento e internet era usado sobre todo por científicos y expertos de la tecnología. Los pagos internacionales no eran tampoco tan comunes en ese entonces.

Volviendo al presente: una gran cantidad de información es regularmente almacenada en computadores, las personas están conectadas a internet a través de una variedad de dispositivos y enviar dinero internacionalmente toma menos de un minuto.

Esto es lo que hace que los ataques modernos con virus ransomeware sean tan dolorosos. La mayoría de las personas entraría en pánico si se les bloquea sus computadores. Las compañías extorsionadas pierden productividad y, en el caso de los hospitales, tener las historias clínicas de los pacientes bloqueadas, puede poner en peligro sus vidas.

El ransomware hace que los pagos a los hackers prosperen

Se comparan los ataques a alguien disparando indiscriminadamente a una multitud con una ametralladora y disparándole ya sea a una abuela o a un bebé. “No puedes decir que no querías dispararle a todos, pero no debiste haberles disparado”.

Pero los cibercriminales tratan estas amenazas como negocios, lanzando una amplia red para obtener el máximo provecho de su dinero.

Algunos incluso tienen escritorios de ayuda de ransomware, regresándoles a las víctimas algunos archivos para reasegurarse de que no están siendo completamente engañados.

Pero liberar el resto de tus archivos e información te costará. La cantidad promedio del rescate está en 300 dólares por computador, y el método de pago favorito es bitcoin, según Symantec.

Esto parece ser un pequeño monto de dinero, pero los expertos dicen que pedir una cantidad asequible de dinero hace más posible que a los hackers se les pague más fácilmente aunque no sea garantía de recuperar la información.

El consejo es no pagar!

El especialista en seguridad informática Miguel Ángel Mendoza resalta que si un usuario es objeto de ciberdelincuentes, por ningún motivo debería pagar. “Al pagar se está financiando una industria cibercriminal que si tuviera más recursos, se volvería más sofisticada”, asegura.

Mendoza también resalta que en caso de que se realice el pago, después de hacerlo no se tiene la certeza de que se pueda recuperar la información secuestrada. “Al fin y al cabo está tratándose con un cibercriminal, similar a lo que puede ocurrir con el secuestro de una persona”, indica.

Lo recomendable, según explica el experto, es esperar a que se pueda desarrollar una forma de descifrado con la que pueden llegar a recuperarse los datos robados.

“Muchas veces, tiempo después, los atacantes hacen pública la información”, advierte Mendoza, y puntualiza en que es muy importante que el usuario se habitúe a respaldar la información de sus equipos y a contar con soluciones de seguridad para cada dispositivo.

¿Cómo prevenir el ransomware?

La mayoría de infecciones se producen porque el usuario abre una aplicación o un programa malintencionado que puede llegar desde cualquier fuente, especialmente las habituales como un navegador web (despliegue de adware, direccionamiento a un sitio web malicioso… ), el correo electrónico (en lugar de ir adjuntado, hay un enlace hacia Mega, Google Drive o Dropbox que lleva al malware) o los servicios de mensajería en el caso de los ataques a móviles, cada vez más extendidos.

El engaño juega un papel fundamental, por lo que es habitual verlo combinado con ataques de phishing, otra gran amenaza. Por ello, si el mejor de los consejos en ciberseguridad es la prevención, en el caso del Ransomware es imprescindible para frenarlo. Además del sentido común, te recordamos algunos de los consejos o medidas a adoptar para intentar prevenirlo:

  • Backup. Realizar copias de seguridad de los datos importantes como tarea de mantenimiento regular es la medida más efectiva para minimizar los daños en caso de ser infectado. La copia de seguridad debe alojarse en un medio externo distinto al del equipo para poder recuperar los archivos desde un sitio “limpio” y no tener que pagar el “rescate” exigido por estos ciberdelincuentes.
  • Actualización del sistema y aplicaciones. Mantener el sistema operativo actualizado con los últimos parches de seguridad y todas las aplicaciones que tengamos instaladas es el mejor punto de partida. El mencionado WanaCryptor aprovechó una vulnerabilidad en sistemas Windows y en el caso que nos ocupa contra empresas españolas todo apunta a vulnerabilidades que había sido parcheadas, pero cuyas actualizaciones no se habían aplicado.
  • Línea de defensa. Conviene instalar y mantener una solución antimalware, incluyendo un cortafuegos correctamente configurado para permitir el acceso exclusivo de las aplicaciones y servicios necesarios.
  • Herramienta Anti Ransom. Es una herramienta específica contra este tipo de ataques, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
  • Filtro antispam. Muchos de los ataques por Ransomware se distribuyen a través de campañas masivas de correo electrónico. Además de estos filtros, debes seguir los consejos generales como no pinchar en enlaces o abrir archivos adjuntos de remitentes desconocidos.
  • Bloqueadores de JavaScript. Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web.
  • Políticas de seguridad. Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit facilitan el establecimiento de políticas que impiden la ejecución de directorios comúnmente utilizados por el ransomware, como App Data, Local App Data, etc.
  • Cuentas con privilegios. No utilizar cuentas con privilegios de administrador. El 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.
  • Extensiones de archivos. Mostrar las extensiones para tipos de ficheros conocidos es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero. No es raro ver a un fichero .exe con el icono de un documento de Word. Si no se ve la extensión, el usuario posiblemente no pueda distinguir si es un documento de Word o un ejecutable malicioso, aunque también es bueno recordar que un documento de Microsoft Office también puede contener malware.
  • Máquinas virtuales. Emplear máquinas virtuales para aislar el sistema principal es otra técnica efectiva. En un entorno virtualizado la acción de los ransomware no suele materializarse.

Start typing and press Enter to search

Shopping Cart