La versión de su navegador no está debidamente actualizada. Le recomendamos actualizarla a la versión más reciente.

Ransomware: El chantaje on line.

Publicado 09/11/2019

El pasado lunes día 4 de Noviembre, varios medios españoles comenzaron a reportar que al menos dos importantes empresas en España fueron víctimas, en el mismo día, de un ataque de ransomware. La primera fue Everis, la consultora IT propiedad de NTT Data Group, y la segunda fue Cadena SER; la cadena de radio más importante de España que pertenece al grupo PRISA Radio. Si bien estas dos entidades confirmaron de manera oficial el ataque de ransomware,, parece tratarse de dos campañas diferentes que no tendrían relación, explica el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez.

En los últimos años, un nuevo tipo de amenazas cibernéticas está acechando a los equipos informáticos de medio mundo. Se trata del Ransomware, una clase de malware que no busca el robo de información bancaria o personal, sino algo mucho más elemental e igualmente dañino: secuestrar datos.

En 1989 se comenzó a diseminar un ransomware llamado Reveton.3 Estaba basado en el troyano Citadel el cual estaba a su vez basado en el troyano Zeus, su funcionamiento se basa en desplegar un mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al país donde reside la víctima.

Por este funcionamiento se lo comenzó a nombrar como Trojan cop, o ‘troyano de la policía’, debido a que alegaba que el ordenador había sido utilizado para actividades ilícitas, tales como descargar software pirata o pornografía infantil. El troyano despliega una advertencia informando que el sistema fue bloqueado por infringir la ley y de ese modo deberá pagar una fianza para poder liberarla

El Ransomware es una de las principales ciberamenazas de la actualidad y uno de los mayores temores de muchos usuarios ya que, a diferencia de otros virus, no se dedica a robar datos personales o información bancaria, sino que secuestra los archivos informáticos para, posteriormente, hacernos chantaje.

Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló que sólo en el primer trimestre del 2013 había detectado más de 250.000 tipos de Ransomware únicos.

El proceso es muy sencillo: El troyano informa al usuario de que sus archivos han sido cifrados. Si la víctima desea recuperar sus archivos tendrá que pagar un rescate, el cual suele ser de cientos de euros, normalmente pagado en bitcoins. Puede entrar en el PC mediante un adjunto de correo electrónico o a través del navegador si se visita una página web infectada con este tipo de malware. También puede acceder al PC a través de la red.

Muchas víctimas de Ransomware no tiene un gran conocimiento o una gran experiencia en tecnología, así que el inconveniente es doble ya que la mayoría tiene que buscar qué es un bitcoin y dónde se pueden conseguir.

Una vez que el Ransomware se filtra en el sistema, es capaz de cifrar archivos, incluyendo documentos valiosos, videos y fotos. El proceso completo se ejecuta en un segundo plano dentro del ordenador y, por lo tanto, la víctima no se da cuenta del problema hasta que es demasiado tarde. Lo que hace del Ransomware una estafa viciosa es que los archivos cifrados retenidos, aún siguen almacenados en el ordenador.

Así pues, cuando un ordenador es infectado por algún Ransomware, todos o parte de los archivos del equipo quedan encriptados por el atacante, de modo que si queremos recuperarlos debemos abonar una cantidad determinada, normalmente a través de portales en la “Deep web” (Internet Profunda) y mediante bitcoins u otras monedas criptográficas. Los precios no suelen ser elevados, entre 100 y 2.000 euros, rondando el precio medio de los rescates los 500 euros, aunque se conocen casos en los que se han pagado sumas superiores a los 20.000 euros.

Las cifras muestran que este tipo de malware ya supone un 7% de los diagnósticos. Una de sus variantes conocidas como Cryptolocker ya ha provocado más problemas en el primer trimestre de 2016 de los que ocasionó en todo 2015. Además, los móviles son cada vez un objetivo más importante de este tipo de amenazas.

Sin embargo, este fenómeno cibernético nos devuelve al mismo dilema de los secuestros de carne y hueso, el cual -parafraseando a Shakespeare- podríamos resumir en “pagar o no pagar un ataque Ransomware, he ahí la cuestión”. Y es que, si en el mundo físico se afirma que no se debe negociar con terroristas ni extorsionadores, ¿no debería ocurrir igual en el caso de los secuestros digitales?

Los expertos opinan en esa línea, en evitar que los ciberdelincuentes se salgan con la suya y consigan más dinero con el que seguir financiando sus actividades ilegales. Pero esta visión no ha calado, ni de lejos, entre los usuarios. La presión de perder documentos e imágenes valiosas, hace que alrededor de la mitad de las víctimas de Ransomware terminen pagando a sus atacantes a cambio de la clave que desencriptará sus contenidos, según un reciente estudio de BitDefender.

Existen casos en que se ha logrado la liberación de los archivos pero en la inmensa mayoría el dinero desaparece pero no se lleva consigo el problema. La imposibilidad de rastrear el Bitcoin hace que nunca debamos pagar.

Por ello, la primera recomendación es no pagar, seguida de reportar el problema a las autoridades competentes y buscar ayuda técnica para solucionar el incidente. A la hora de buscar una solución, debemos recopilar algunos datos claves. Localizar los archivos que han sido cifrados y su extensión, nos puede ayudar a determinar el tipo de Ransomware que nos ha afectado.

Sin embargo, existe una serie de recomendaciones y consejos -proporcionados por Kaspersky- para evitar ser infectados por este virus o, si desgraciadamente somos víctimas de ello, minimizar sus consecuencias.

Como alternativa, podemos recurrir a ID Ransomware, una página web que alberga una herramienta online con una base de datos actualizada con todas las amenazas. En ella podremos enviar un fichero afectado y conocer de que ransomware se trata. Para utilizar la herramienta los usuarios solo necesitan acceder a la página web y tener a mano el archivo de ayuda para realizar el pago y al menos un archivo que este afectado por el cifrado del malware. Cuando tenga listos los dos archivos, se añaden al formulario de ID Ransomware y se pulsa en el botón de subida, esperando unos 20 segundos para obtener el resultados, dependiendo este tiempo de la carga del servidor en el que se encuentra alojado el servicio.

En función de la amenaza detectada, habrá usuarios más o menos afortunados, ya que en el caso de existir una herramienta para recuperar el acceso a los archivos esta aparecerá en forma de enlace para que el usuario lleve a cabo su descarga.

En esas circunstancias la empresa o usuario afectado puede acudir tanto al Incibe como a compañías de ciberseguridad privada, así como al proyecto internacional No More Ransom, en el que participa la Europol. Aunque en muchas ocasiones lo más que podrán hacer será identificar el tipo de ransomware, contener la infección y aislar los equipos comprometidos.

Compártenos en tus redes

Directiva de cookies

Este sitio utiliza cookies para el almacenamiento de información en su equipo.

¿Lo acepta?