Seguramente ha oído hablar (o pueda que lo haya sufrido en sus propias carnes) del ramsonware – en español “secuestro de datos”. Se tratra de un software dañino que en caso de infectar sus ordenadores restringe el acceso a sus datos almacenados en el/los ordenador/s infectado/s pidiendo un rescate, normalmente en bitcoins, a cambio de eliminar dicha restricción.
Aunque es ahora cuando más en auge está dada la cantidad de ordenadores afectados en todo el mundo, no es algo nuevo. El primer ataque de este tipo de “malware” fue en 1989 por el troyano AIDS, aunque es en 2005 cuando aparece el ransomware totalmente enfocado a la extorsión tal y como lo conocemos hoy. A medida que pasan los años, la complejidad de cifrado de este tipo de software aumenta incrementando el tamaño de las claves de encriptado.
Podemos distinguir varios tipos de ramsonware:
-WinLocker. No cifra archivos personales sino que bloquea la pantalla del ordenador mostrando una imagen a pantalla completa que impide ver otras pantallas y donde se le informa que su ordenador está bloqueado t le piden un rescate.
-MBR (Master Boot Record) Ransomware. El MBR es una zona del disco duro que posibilita el arranque del Sistema Operativo. Este tipo de malware modifica el MBR para que el sistema no se inicie y presenta una pantalla donde se le pide un rescate.
-De cifrado. Este tipo encripta carpetas y archivos del PC (Bases de datos, imágenes, hojas de cálculo, documentos, etc). Cuando el ordenador se infecta, los archivos originales son borrados y son sustituidos por los cifrados. Es posible incluso que te enteres del problema al intentar acceder a ellos o bien que se te haya mostrado un texto con las instrucciones de pago en la carpeta o carpetas afectadas.
-Ramsonware de dispositivos móviles. Afectan en mayor medida a dispositivos Android y ocurren principalmente por descargas desde sitios no oficiales.
La pregunta del millón, principalmente para las empresas afectadas es: ¿Se paga?. La respuesta es: No se recomienda; por varias razones y es que por un lado no hay garantía de que al pagar obtengamos las claves para desencriptar nuestro ordenador y por otro lado, si accedemos al chantaje estamos animando a que los cibercriminales sigan con su actividad delictiva y millonaria. Hablo de empresas porque los cibercriminales saben que infectando sistemas de empresas tienen más posibilidades de obtener un rescate por sus datos (facturación, contabilidad, mails..) que un usuario particular.
Pero, ¿cómo llegamos a infectar nuestros sistemas?, ¿Cómo funciona un ataque?. La vía principal de entrada es mediante un adjunto en un correo electrónico (una imagen, un fichero ejecutable…). Si abrimos dicho adjunto, el malware se expande por el sistema, aunque a veces puede estar oculto en una página web. Una vez infectado, se queda trabajando en segundo plano hasta que actúa y encripta el sistema y pide el consabido rescate. Llegados a este punto ya es demasiado tarde para salvar los datos con las medidas de seguridad convencionales. El ransomware está creciendo y evoluciona rápido mejorando con cada versión el cifrado pasando de algoritmos de clave simétrica (la misma clave para cifrar y descifrar) a los de clave asimétrica (clave pública y privada). Esto nos lleva a la conclusión de que es imprescindible la prevención.
Consejos de prevención para evitar en la medida de lo posible un ataque de ramsonware:
-Hacer copias de seguridad hasta la extenuación. Y dichas copias deben ser de dos tipos; una copia en la nube y otra en un disco externo etc. Que deberás desconectar del PC una vez que la copia ha sido realizada.
-Es imprescindible tener un buen antivirus actualizado ya que mediante heurística puede detectar malware antes incluso de que sea conocido.
–Descargar las actualizaciones del sistema operativo.
OJO con lo que recibimos en el correo electrónico. No te fíes de algo que parece de un remitente conocido. Antes de descargar y abrir un fichero investiga bien la procedencia ya que a veces los delincuentes utilizan el malware utilizando correos falsos que simulan sitios legítimos (bancos, policía, Agencia tributaria…) remitiéndonos notificaciones falsas que nos invitan a pulsar en enlaces maliciosos. Esto se conoce como “phishing”.
Cuidado con archivos con extensiones .csr, .exe y .vbs ya que se pueden camuflar malware en fichero que aparentan ser un vídeom, foto u otro documento.
Y por último, si has sido víctima de un delito, DENUNCIALO en la Policía Nacional o Guardia Civil.