Uno de los tipos de malware más comunes en lo últimos años viene siendo el ransomware. Éste tipo de malware, suele aprovechar una vulnerabilidad de software para instalarse y cifrar parte o la totalidad del disco duro. De ésta forma, la víctima es incapaz de acceder a esos datos, y se le pide un pago para el desbloqueo de los mismos.
Éste tipo de malware comenzó en Rusia, y a partir de 2013 se popularizó internacionalmente.
¿Cómo funciona?
El ransomware se propaga como un gusano o un troyano, disfrazándose, como un archivo o programa que el usuario descarga o aprovechando una vulnerabilidad de algún software instalado. En el momento que se abre el archivo o se ejecuta el programa infectado, el ransomware se iniciará y cifrará los archivos para los que esté preparado. A partir de ahí funcionará de diversas formas, mostrando diferentes mensajes según la intención del creador para pedir el pago.
Algunos exigen el pago de una multa por haber “reproducido contenido ilegal en el equipo”, o podrían mostrar un mensaje de una compañía de Telecomunicaciones diciendo que has agotado tu cupo de Internet y debes pagar para seguir navegando. Los mensajes pueden ser de lo más variados, incluso directamente decir que han secuestrado tu equipo y que debes pagar para que te lo desbloqueen.
Mi experiencia
En España uno que ha tenido bastante renombre, ha sido el “virus de la policía”. Este virus, ha tenido múltiples versiones, alguna más avanzadas que otras, y con diferentes objetivos: el sistema operativo, los documentos del usuario o el navegador. También es el único con el que he tenido experiencia: primero me entró en un ordenador mío, y, unas semanas después, en el de un familiar.
El mensaje era el mismo en ambos casos: has reproducido contenidos ilegales de pedofilia, o zoofilia (sí, dijeron zoofilia, cuando nadie había reproducido ninguno de los dos en ese ordenador) y debes pagar 100€ de multa para que desbloqueemos tu ordenador. Me quedé un poco trastocado, pues no me esperaba algo así, aunque en ningún momento me lo tragué y empecé a buscar evidencias de que no era algo lícito.
Encontré varias:
- En la cabecera aparecía el logo de la Policía Nacional Española, pero el la base el de la Guardia Civil (otro cuerpo policial español, para los que me lean desde otro país). Si hubiera sido una operación conjunta, habrían aparecido ambos logos juntos tanto en la cabecera como en el pie. Además que se mencionaba a ambos cuerpos de seguridad en el mensaje, bastante largo, pero nunca juntos. No era muy coherente.
- Pedían un pago de 100€, pero en la casilla donde debería poner mis datos del pago, la cifra era de 100$. ¿Qué hace un organismo español, pidiendo dólares en España?
- El método de pago no era una tranferencia bancaria ni un sistema de pago con tarjeta de crédito por ningún banco conocido en España. Aunque desconocía, tras una búsqueda vi que era un sistema de una empresa especializada en pagos privados, muy difícil de rastrear. ¿Por qué un organismo oficial de un país democrático quiere que no quede rastro de la transferencia de dinero?
- El número de teléfono indicado “por si hay dudas”, era, creo recordar, un 80X. Cosa extraña que se utilice un teléfono de tarificación especial cuando el teléfono de la Policía nacional es el 091 y el de la Guardia Civil, el 062, ambos gratuitos y accesibles sin saldo.
- Por último, por si quedaban dudas, decidí llamar al teléfono de la Policía Nacional, por ser el cuerpo más mencionado y el que aparecía en el título. No lo hice para despejar dudas, que no las tenía, ni para poner una denuncia, pues no había contra quien hacerlo. Lo hice para que tuvieran conocimiento de que alguien intentaba timar por ese medio, si es que no lo tenían ya. Cuando le expliqué lo que había sucedido me informaron de que ya tenían conocimiento de ello, que no pagase de ninguna forma, pues era un timo y que si necesitaba ayuda para solucionar el problema, llamase al teléfono de la OSI, dándome el número.
¿Cómo puedo protegerme?
Como véis, yo me fijé muy bien en todas las incongruencias del mensaje antes de dar ningún paso. Ante una situación así, lo mejor, es no perder los nervios, piensa que por pasar mucho tiempo mirando el mensaje no te van a cobrar más ni menos.
Tanto si se trata de un ransomware que ha cifrado tus archivos, como si es una ventana emergente del navegador pidiendo un pago inesperado por algo que no sabemos qué es, o si se trata de un correo electrónico en que nos piden ayuda pagando X cosa, leelo bien y busca signos de incongruencias.
Puede ser diferencias en la cantidad de dinero que piden, que venga de una entidad con quien no tenemos relación alguna o que desconocemos, fallos gramaticales como discordancia de géneros, etc. Todo ello indica claramente que se trata de un scam (timo).
Si quedan dudas, lo importante es no pagar nunca. Imagina que tienes cuenta en el Banco Santander, y te llega un correo pidiendo unos datos bancarios. Ésto no es un ransomware, pero ha pasado estos días en España también. En tal caso, piensa que tu banco no necesita que les des tu DNI, nombre ni cuenta bancaria, porque, símplemente, ya lo tienen con solo pulsar una tecla.
Si tienes dudas de si deberías pagar, no llames al teléfono indicado en el email que te ha llegado, busca el teléfono de la entidad en la web oficial (si es un ransomware que te impide el uso de tu PC puedes usar el smartphone) y busca el teléfono de información que ponga ahí. Llamando a ese teléfono puede indicar que te ha llegado ese correo y si es verdad que ellos te han solicitado estos datos, que seguramente digan que no.
Ahora ya podrás eliminar el mail sin ningún tipo de duda, o buscar solución al ransomware por otra vía que no pagando. Ten en cuenta que el pago de la “multa” o del rescate que te pidan, nunca garantizará que te desbloqueen el equipo. De hecho, la mayoría de la veces no es así, pues solo le interesa el dinero, no que pueda volver a utilizar el equipo. Y si lo desbloquearan, el malware sigue instalado. Muy posiblemente lo utilicen para volver a pedirte el pago bajo la excusa de que has vuelto a cometer el “delito”
Prevenir, prevenir y prevenir
Pero todo ésto son medidas contra cualquier scam, no protecciones contra el ransomware. Contra el ransomware, lo mejor es prevenir. El ransomware se ha convertido en la principal recomendación por la cual se recomienda mantener copias de seguridad. Cuando quité el virus de la Policía de mi equipo, me resultó bastante fácil. Sin embargo, cuando le entró a mi familiar, la versión era diferente y mucho más difícil de eliminar. Me llevó varias horas y muchos intentos infructuosos.para evitar la pérdida de datos, lo mejor es mantener copia de seguridad cada poco tiempo. Cada semana o cada dos semanas, según el uso que le demos.
De ésta forma, aunque secuestren nuestros datos y los cifren, podremos acceder a la copia, formatear el ordenador, y restaurarlos sin problema. Por supuesto, para la copia conviene tener un disco externo y que no esté conectado al ordenador permanentemente, ya que algunos ransomware cifran también las unidades externas conectadas al equipo.
¿Has sufrido el virus de la policía u otro ransomware? ¿Perdiste datos? ¿Mantienes copias de seguridad? Cuéntanos tu experiencia.
El artículo Ransomware: como protegerse apareció por primera vez en Instinto Binario.