Ransomware, experiencias y consejos para evitarlo

Publicado el 11 enero 2016 por Tras La Nube De Oort @BlogNubeDeOort

Recientemente me encontré con un caso de que me afectaba indirectamente. Me explico. Distintas personas teníamos acceso a una carpeta en un servicio de almacenamiento en la nube, en la que podíamos subir y descargar diversas fotos de eventos comunes tomadas con distintas cámaras. El otro día quise revisar unas fotos antiguas y cual fue mi sorpresa al encontrarme con ¡todas las fotos en esta carpeta cifradas! Al ver quien había sido el último en tener contacto con dicha carpeta, le llamé de inmediato y me confirmó lo que ya me temía... su ordenador había sido víctima de ransomware, es decir, algún cibercriminal había tenido acceso a sus archivos y los había cifrado, haciendo imposible para él recuperarlos a no ser que dicho delincuente le facilitase la clave de descifrado... por un precio claro.

Mi amigo, al tener la aplicación de escritorio del servicio en la nube en su Windows (el cual te permite sincronizar archivos entre tu equipo y el servidor donde se almacenan), indirectamente provocó que todas estas fotos fuesen víctimas y acabasen cifradas también. En el caso de estas fotos no ha supuesto ningún trauma, ya que cada uno conservamos las fotos originales, en esta carpeta sólo se subían copias de las mismas para que todos pudiésemos verlas y/o descargarlas. Sin embargo, su ordenador quedó prácticamente inutilizado, viéndose obligado a formatearlo y perdiendo todo lo que no tuviese guardado con una copia de seguridad que por suerte eran la mayoría de las cosas.

En lo que a nuestras fotos se refiere, aparecía tras el nombre un número de identificación seguido de 2 direcciones de email y una dirección donde hacer el ingreso, cómo se puede apreciar en la imagen. Las direcciones de correo son de proveedores altamente anónimos como Protonmail, prácticamente imposibles de identificar y la dirección es para el pago, normalmente a través de servicios altamente anónimos también, como bitcoins o tarjetas de pago, tipo MoneyPack. Además, posiblemente los cibercriminales cambien esas cuentas regularmente, ya que al intentar contactarlos me dio error en la entrega del correo. Habitualmente dan un periodo de tiempo para realizar el pago, después del cual, la clave de descifrado se destruye.

Qué es ransomware y cómo actuar

A estas alturas, si no sabíais lo que es el ransomware seguro que más o menos lo tenéis claro ya. Cómo bien indica su nombre ( ransom es rescate en inglés y ware se puede traducir como mercancías), se trata de programas maliciosos cuyo objetivo no es otro que restringir el uso o acceso a determinados archivos o partes del sistema operativo. En algunos casos, como en el que he expuesto arriba, cifran los archivos y exigen una recompensa a cambio de la clave para que el usuario pueda volver a tener operativos dichos archivos. A esto se le conoce popularmente como CryptoLocker.

Tradicionalmente, el ransomware va dirigido sobre todo a usuarios de Windows, aunque existen casos también en otras plataformas como Android, OS X e incluso Linux. Normalmente este programa malicioso se obtiene a través de troyanos, Phishing (correos de suplantación de identidad), archivos comprimidos e incluso ejecutables exe "disfrazados" de PDF.

Una vez que a través de estos medios caemos en la trampa, el malware se instala en nuestro ordenador con un nombre aleatorio, y una vez hecho esto, crea una entrada en el registro de Windows permitiendo a dicho malware ejecutarse la próxima vez que iniciemos el sistema de nuevo.

Si en este punto nos hemos dado cuenta de su presencia, aún estamos a tiempo de evitar que el ransomware entre en acción. Debemos apagar el ordenador y una vez apagado desconectarlo de la red y quitar cualquier dispositivo de almacenamiento conectado (USB, Disco duro, etc). Una vez hecho esto podemos intentar recuperar los archivos que no tuviésemos con copias de seguridad a través de herramientas dedicadas a ello e intentar restaurar una copia de seguridad del sistema a algún punto en el tiempo anterior a adquirir el malware.

Si no nos hemos dado cuenta, una vez encendamos el ordenador de nuevo entrará en acción el programa dañino que teníamos instalado, permitiendo a los delincuentes operar y bloquear el acceso a tu PC, parte de él o como en nuestro caso, el cifrado de los documentos. Si esto llegase a ocurrir, pocas opciones nos quedan. Podemos pagar el rescate, cosa muy desaconsejada por todas las agencias de seguridad, ya que actuando así se incita que se continúe usando este medio de chantaje y además nadie te garantiza que el cibercriminal te va a entregar la clave... dependes de su buena voluntad, ya que nadie le impide coger el dinero y dejarte sin clave. Normalmente no nos queda otra que formatear, debido a que las claves usadas para el cifrado son prácticamente imposibles de descifrar. Así que lo mejor es tomar precauciones y prevenir, para en caso de que ocurra, mitigar el daño que nos pueda causar.

Cómo prevenirlo (o al menos minimizar los daños)

Realmente, l as medidas a tomar para prevenir este tipo de malware no son distintas a las que debemos tomar en general. Recordemos que Internet es un mundo inmenso, en muchos casos hostil, en el que al igual que en tu vida cotidiana debes tomar ciertas precauciones. Con esto no quiero decir que debamos ser paranoicos, ni mucho menos, pero una vida virtual responsable y con conocimiento de lo que te puedes encontrar, nos ayudará a evitar muchos disgustos que podríamos, en parte, prevenir.

Siguiendo estos consejos, podemos complicar mucho su actividad a los ciberdelincuentes:
  • Siempre mantén actualizado, tanto el sistema operativo como los programas o aplicaciones. Con las actualizaciones se corrigen fallos y vulnerabilidades, así que tenlos al día.
  • Usa un buen antivirus. Recuerda que si pirateas uno, puedes tener un virus dentro de él y tu ni lo sepas. Así mismo utiliza cortafuegos.
  • Cuando navegues por Internet, bloquea los pop-ups en tu navegador. Asegúrate, sobre todo al realizar pagos online o en páginas de bancos, que en la barra de navegación pone https://
  • Cuando recibas un correo electrónico de dudosa procedencia, evita pulsar enlaces o descargar imágenes adjuntas. Incluso si es enviado por algún contacto tuyo, piensa antes de abrirlo si el contenido que has recibido concuerda con el tipo de correos que te suele enviar. Ante la duda, mejor pregúntale. Presta atención especial también a correos de organismos o empresas de las que no esperas notificaciones. Por ejemplo, si no esperas un paquete de correos y recibes un correo de ellos, sospecha. O si no has jugado ningún sorteo y te dicen que has ganado un viaje a Laponia, piénsatelo dos veces antes de dar tus datos o hacer clic al enlace adjunto.
  • Muy importante es realizar copias de seguridad periódicas de cualquier contenido que consideres importante en un almacenamiento externo al ordenador. En caso de que suceda lo peor y tengas que formatear, al menos no perderás esos archivos importantes de tu vida/trabajo.
  • Utiliza siempre contraseñas seguras. Recuerda, no uses palabras del diccionario y mezcla mayúsculas, números, letras y caracteres especiales (guiones, asteriscos, etc). Una buena táctica es realizar una frase y usar la primera letra de cada palabra, o cambiar números y símbolos por letras de una palabra larga. No repitas la misma contraseña en todas tus cuentas, usa distintas para diferentes servicios. Para acordarte puedes usar programas gestores de contraseñas o tenerlas anotadas en algún sitio seguro.
  • Todo esto que comento, aplícalo también a tu móvil. Estos dispositivos cada vez son más atacados y la mayoría de las veces no nos damos cuenta de todo la información que llevamos en ellos, en muchos casos superior a la que tenemos en el ordenador.
  • Evita páginas de dudosa reputación, y si navegas por ellas, ten cuidado donde haces clic. Sitios de descargas, vídeos en streaming, pornografía... están llenos de banners y trampas a la espera de incautos.
  • Presta especial atención a los archivos comprimidos. Analízalos siempre y sólo si estás convencido de su autenticidad procede a descomprimirlos.

Como veis, son pasos sencillos de realizar que no interfieren para nada en tu vida online ni te quitarán demasiado tiempo. Coger buenas practicas de uso es fundamental para evitar muchos problemas y aunque esto no garantiza que vas a estar inmune de malware, al menos pondrá las cosas más difíciles a quien quiera fastidiarte el día.

¿Tienes algún otro consejo que dar para prevenir este tipo de ataques? ¿Quieres compartir algún caso de ransomware que hayas sufrido o tienes alguna consulta adicional? Si es así, ¡no dudes en dejarlo en comentarios!


También podría interesarte :

Quizás te interesen los siguientes artículos :