¿Qué es el Ransomware y cómo protegernos del mismo?

Introducción

En nuestra era interconectada digitalmente han proliferado infinidades de amenazas para los equipos con diversas modalidades de ataques a las vulnerabilidades que se encuentran en las aplicaciones que usamos a diario para llevar a cabo nuestras tareas cotidianas.

Una de estas amenazas digitales, que ha crecido en popularidad entre los hackers y piratas del ciberespacio es el Ransomware, acerca del cual trata este artículo con el objetivo de realizar un análisis sencillo mediante el cual podamos tener una idea más clara de cuáles son sus características, sus formas de ataque y cuáles son las medidas que debemos tener en cuenta para no ser víctimas de este flagelo que está haciendo estragos en muchos equipos, tanto personales como a nivel empresarial.

¿Qué es el ransomware?

El Ransomware, es un tipo malware que se instala inadvertidamente en el equipo con el propósito de restringir el acceso a determinadas partes del sistema operativo. Todo ello con la intención de pedir un rescate al usuario o empresa para restituir las funcionalidades del equipo o conjunto de éstos.

Una de las modalidades de ataque del ransomware, es que una vez que se instala en el equipo, procede a encriptar los archivos del sistema operativo, deshabilitando el correcto funcionamiento del equipo. Una vez alcanzado este objetivo, el hacker o ciberpirata procede a contactar al usuario del dispositivo. Esto con el fin de coaccionar a pagar un rescate a fin de restablecer el correcto funcionamiento del dispositivo infectado.

Una vez realizado el pago por parte de la víctima, el hacker le proporciona una clave para que pueda desencriptar sus archivos. Actualmente, estos pagos son solicitados en criptomonedas que se acreditan a una cuenta del hacker creada para tal fin. Estas sumas que suelen pagarse por el rescate de algún equipo son variables. En algunos casos, las sumas pueden ser de unos cientos hasta miles de dólares. 

Por extraño que parezca, este tipo de delito digital no es nuevo. Se tiene información que se ha usado desde finales de los 80. Pero para disgusto de los cibernautas, esta forma de ataque a los equipos de computación se ha venido popularizando desde mediados de 2010. De hecho, ha experimentado un crecimiento a nivel mundial desde 2013. Datos suministrados por la empresa McAfee señalan que; para el primer trimestre 2013 se habían detectado más de 250.000 tipos diferentes de ransomware.​

Orígenes del ransomware

Como ya se mencionó, para finales de los 80 ya se había utilizado el ransomware para obtener ganancias a expensas de la necesidad del usuario de recuperar la correcta funcionalidad de su equipo de computación y por ende, acceso a sus datos. Para ese entonces, los hackers o ciberdelincuentes que infectaban a los equipos, solicitaban el rescate a través del correo postal. Actualmente las formas de rescate que se utilizan es el pago en criptomonedas o con tarjetas de crédito.

El primer ransomware conocido fue el PC Cyborg o AIDS, a finales de los 80s. Este virus cifraba los archivos en el directorio raíz (directorio C:) de la PC y luego solicitaba el pago de 186 dólares a nombre de PC Cyborg Corp vía correo postal, como cargo de renovación de licencia. La encriptación era sencilla y no suponía mayor problema a las personas familiarizadas con los temas en computación.

La evolución de la amenaza

A través de su evolución, en 2004 surge una nueva versión del ransomware cuya encriptación de datos se hacía con RSA débil mediante un virus denominado CpCode con la idea de cobrar un rescate para liberar al equipo del mencionado virus.

WinLock hace su aparición en 2007, que en lugar de cifrar archivos, tomaba el control de la pantalla de las PCs y mostraba imágenes pornos, para que el usuario volviera a recuperar el control de la pantalla, debía pagar cierta cantidad de dinero que se le exigía vía SMS.

En 2012 los virus del estilo Revetón hicieron su debut en la pasarela de los ransomwares. A estos tipos de virus se les conoció con el nombre Cop Virus, porque mostraban mensajes en pantalla haciéndose pasar por agencias policiales como el FBI o la Interpol, donde informaban el bloqueo de la PC por haber incurrido en hechos delictivos. Para desbloquear la PC había que pagar una multa, generalmente considerable, en la dirección suministrada por los atacantes.

El crescendo del ransomware

CryptoLocker hizo su aparición en 2013 y, junto a otras variantes que se usan en la actualidad, han hecho estragos en usuarios particulares y empresas alrededor del mundo. Su cifrado de uso militar empleado para atacar a sus víctimas y, dado el hecho de que la clave para desencriptar el equipo infectado yace en un servidor remoto, hacen imposible al usuario la tarea de recuperar sus datos, a no ser que pague la cuota exigida por el rescate.

En 2018 aparece Ryuk que en equipo con Emotet y Trickbot escanean la red en busca de víctimas potenciales. Su método de ataque consiste en una infección primaria con Emotet o Trickbot una vez fijado el objetivo, como víctima potencial para un ataque ransomware, el equipo es infectado con Ryuk dando lugar al ataque y a la solicitud respectiva del rescate.

Relacionado: Desafortunadamente, los ataques de ransomware que exigen criptomonedas están aquí para quedarse

Modos de ataque del ransomware

El ransomware tiene múltiples formas de acceder a un equipo de computación, para contaminarlo con algún programa del tipo troyano o gusano que, por lo general terminan encriptando los archivos que hacen funcionar al sistema operativo del equipo. 

Phishing

Una forma usada con bastante frecuencia es a través del engaño del usuario, mediante la modalidad Phishing, que consiste en hacer llegar a la víctima un mensaje engañoso desde alguna fuente “confiable” para la persona desprevenida, y de esta forma, al usuario aceptar la descarga del material ofrecido mediante el mensaje, el hacker toma control del equipo originando el secuestro del dispositivo en cuestión, ocasionando en el usuario que ha sido víctima la necesidad de pagar un rescate por el interés de recuperar sus datos.

NotPetya

Esta forma de ataque es mucho más agresiva, y para nada busca engañar al usuario. Su forma de ataque consiste en buscar vulnerabilidades en el equipo de computación y, aprovechar estas brechas en la seguridad del equipo para infectarlo con el malware, cuyas consecuencias son las mismas que en el caso anterior.

Doxware

Este tipo de ataque se puede generar a través del Phishing o NotPetya, la diferencia la hace, la forma de coaccionar a las víctimas para que paguen el rescate. La víctima recibe un mensaje en donde se le notifica que sus datos personales sensibles almacenados en el dispositivo están ahora en poder de alguien más, y de no hacer el desembolso por el rescate dichos datos se harían públicos.

Malspam

Esta modalidad, parecida al Phishing, consiste en hacer llegar mensajes no solicitados por correo spamming con archivos adjuntos en formatos PDF, documentos, imágenes, videos, scripts maliciosos en javascript o cualquier otro medio que permite camuflar a estos programas, que al descargarlos, desencadenan la infección del equipo.

Entre algunos de los programas destinados para realizar este tipo de ataque están:

Revetón

Su forma de ataque consiste en mostrar un mensaje en donde se informa que el equipo ha sido bloqueado por haber incurrido en hechos ilícitos tales como fomentar la pornografía infantil, o el uso de software pirateado. En consecuencia, se solicita el pago de una multa al usuario para acceder al desbloqueo del equipo. Este virus se distribuye actualmente a través de redes P2P que tengan comprometida su seguridad.

Ransomware, los peores ataques conocidos

WannaCry: Uno de los ataques más trascendentales en la historia de la ciberpiratería fue protagonizado por el ransomware WannaCry. Capaz de expandirse rápidamente a través de exploits en Internet y redes locales, este ransomware consiguió inutilizar más 200.000 ordenadores en 150 países. Afectando incluso a ordenadores de áreas tan críticas como hospitales, clínicas y fábricas.

NotPetya o ExPetr: realizó lo que pasó a llamarse el ciberataque más costoso hasta la fecha. Aunque su extensión fue menor que la de WannaCry, los daños que causó NotPetya fueron más contundentes. De manera semejante al WannaCry, NotPetya hizo uso de los exploits, esta vez de EternalBlue y EternalRomance, el gusano se mueve por la red, cifrando de forma irreversible todo lo que se encuentra a su paso. 

Como objetivo principal de este virus estaba en las empresas. Esto debido a que el ingreso en las computadoras se efectuaba mediante la actualización de un software financiero llamado MeDoc. El servidor de este software estaba bajo el control de los ciberpiratas que desencadenaron el ataque que terminó expandiéndose por la red. El costo de los daños causados por este ciberataque se remonta aproximadamente a 10.000 millones de dólares. Daños que comparados con los 6.000 millones de dólares causados por el WannaCry, hacen del ciberataque NotPetya el más costoso hasta la fecha. 

Otro ataque que vale mencionar, fue el perpetrado por Wanna Decryptor a la intranet de Telefónica provocando el bloqueo de ésta y el consecuente apagado de las terminales. El monto solicitado por los hackers era de hasta 300 dólares para desbloquear cada uno de los equipos afectados. 

En todos estos ataques, el método elegido para el pago del dinero era Bitcoin. De hecho, según Symantec, el 98 % de los casos de infección por ransomware piden rescate por medio de Bitcoin, dejando el 2% para monedas como Monero o Dash. 

Relacionado: Informe sugiere que cobraron en Binance 1 millón de dólares en Bitcoin ganados mediante el ransomware Ryuk

¿Cómo protegernos de la amenaza?

La principal recomendación por parte de las empresas de seguridad digital es “Evitar ser infectado”. Y en todo caso la pregunta final sería: ¿Cuáles son las medidas que debo tomar para evitar ser contagiado? En este subtítulo haremos una breve reseña de las medidas que deben considerarse para evitar ser infectado por ransomware.

1. Instalar un buen programa antivirus. En especial, que tenga la capacidad de monitorear y proteger en tiempo real las actividades que se realizan en el ordenador. Si este a la vez tiene una herramienta especializada en ransomware mucho mejor. 
2. Realizar copias de respaldo de su información. Debe mantener los soportes usados para guardar estas copias desconectados del ordenador. De esta forma, siempre podrá acceder a sus datos y podrá actuar rápidamente para recuperar el control de su equipo. 
3. Mantener actualizados sus programas. Muchos de estos virus van a la caza de vulnerabilidades en los sistemas operativos o programas que use en su ordenador. Muchas veces las actualizaciones se liberan para corregir una vulnerabilidad en el producto, antes de que un hacker programe algún virus para atacar dicha vulnerabilidad. Por ello es recomendable actualizar lo más pronto posible sus programas una vez liberada la actualización.
4. Mantenerse al tanto de las informaciones que se publiquen acerca de ataques de nuevos virus. Esto le permitirá saber cuáles son las nuevas tendencias y formas de ataques para estar prevenido.
5. Los dispositivos móviles, las Mac e incluso distros Linux tampoco se encuentran a salvo de estos ataques. Por ello se le recomienda estar atentos al respecto.

Conclusiones

La historia ha demostrado que nadie se encuentra a salvo de un ataque informático. Empresas prestigiosas han sido víctimas en algún momento por algún tipo de virus. Pero, también es cierto que si tomamos las precauciones correspondientes, si se tiene plena conciencia de cuidar aquellos aspectos que pudieran ser puerta de entrada para un posible ataque informático estaremos dificultando la labor de aquellas personas que se dedican a esta detestable actividad.