‘Ransomware’: El mal nunca descansa

Mientras piensas qué puedes hacer por innovar e ir por delante de la competencia, hay algunas almas que se mueven en la oscuridad y esperan el momento para poder entrar en tu mundo y enseñarte otras consecuencias de la innovación tecnológica. Los robos a empresas comenzaron con la primera que se creó, según Sabina fue Caín Demoliciones S.A. No tenemos datos sobre ese momento, pero si lo hubo fue un robo clásico, uno de esos en los que los ladrones aparecen en el lugar y se llevan material valioso. Entrar y salir sin ser visto. Es el sueño de cualquier maleante que haya visto Atraco Perfecto, de Stanley Kubrick, olvidando de esa película el reparto del botín que no fue nada modélico.

Con la llegada de los ordenadores a las pequeñas empresas durante la década de los 80 y sobre todo de Internet en la segunda mitad de los 90, las empresas tuvieron que aprender a protegerse de nuevos peligros. La palabra virus ya no solo se aplicaba a ámbitos médicos, sino que era algo de lo que debían protegerse los ordenadores de la empresa. Todos debían tener un antivirus actualizado y tomar algunas medidas de precaución, para que no entrase ningún programa malintencionado en el sistema y provocase una pérdida seria de datos. Pero el mal nunca descansa. En 2013 apareció un nuevo tipo de virus informático al que se conoce con el nombre de ransomware.

El ransomware es un tipo de virus informático que cifra parte de la información que hay en el sistema y pide un rescate al usuario, de forma que solamente si se paga una cantidad de dinero le permite desbloquear los ficheros cifrados.

En estos dos últimos años, el ransomware ha ido evolucionando y se ha convertido en una amenaza real que no se debe infravalorar. La propagación de virus que simplemente borran los datos que hay en un sistema tiene una motivación destructora y eso como tal no da dinero. Pero el ransomware está construido justamente para proporcionar beneficios directos al criminal. Y cuando hay beneficio, aparecen muchos individuos con energía y tiempo para lograrlo.

Cómo funciona el ransomware

El funcionamiento de estos ataques combina otras técnicas como el phishing y hay muchas variantes, pero más o menos se corresponden con los siguientes pasos:

1. El usuario recibe un correo electrónico que aparentemente parece normal y que lleva adjunto un fichero que parece un pdf o un fichero de MS Office. En esto hay diferentes opciones que dependen de la imaginación del atacante. Puede que te remita a una web que parece de confianza y que allí, tras introducir algunos datos, te ofrezca bajar un fichero.
   • Hay un ejemplo concreto de un ataque de este tipo que se basa en el phishing y simula un correo electrónico que es enviado por Correos.
2. El fichero adjunto es descargado y, al intentar leerlo, el ransomware se instala en el ordenador.
3. El virus comienza a trabajar, esto puede llevar minutos o días, dependiendo del tipo de virus, y empieza a cifrar los ficheros que tiene accesibles, tanto los del ordenador infectado como los que tenga accesibles en las unidades de red que tenga montadas.
4. Al terminar su labor, el ordenador mostrará un aviso donde informará al usuario de que se han bloqueado (en realidad se han cifrado) ficheros del sistema y que si desea recuperarlos, debe ingresar un dinero en una cuenta.

Está ya pasando o es como el efecto 2000

Cada vez que surge una amenaza informática, los que trabajamos en esto tenemos que escuchar en ocasiones lo del efecto 2000, y con razón. Recuerdo que se podía leer en algún periódico de la época que había riesgo de que dejasen de funcionar los ascensores más modernos el 1 de enero de 2000. Dejando esas burbujas tecnológicas aparte, el ransomware no solamente es una amenaza real, sino que está ya muy evolucionada. Se ha extendido incluso a plataformas como Android y ya hay casos reales en España, donde ha habido víctimas de estos ataques. Para hacerse una idea de su madurez, basta con saber que en ocasiones se solicita el pago en bitcoins, con el objetivo de dificultar el rastreo del dinero si posteriormente se recurre a la policía.

Uno de los ransonwares más conocidos es el Cryptolocker.  Se identificó por primera vez el 5 de septiembre de 2013 y ese mismo año ya había infectado a más de 250.000 ordenadores, según publicó la BBC.  Luego han venido otros como Cryptolocker.F y TorrentLocker o el más reciente Cryptowall, que en las últimas actualizaciones llega incluso a utilizar Google Drive.

¿Qué podemos hacer para protegernos?

Uno puede pensar que nunca será víctima de este tipo de amenazas, que jamás se descarga nada de ninguna web extraña y que es perfectamente consciente de que los ficheros adjuntos en un correo electrónico que vengan de un remitente desconocido no se deben abrir. Eso está muy bien, pero la habilidad de los delincuentes siempre va por delante. Para lograr vencer esas barreras psicológicas, suelen utilizar incluso el historial de navegación del usuario. Además de seguir unos buenos hábitos como los descritos, hay que disponer de dos defensas en nuestro negocio, ambas disponibles en la plataforma de aplicaciones en la nube Aplicateca:

• Antivirus actualizado (Antivirus McAfee Multi Access): Los antivirus son capaces de detectar este tipo de virus, pero no siempre, porque constantemente hay nuevas variantes que exigen actualizaciones. Por ello, es obligatorio disponer de un buen antivirus actualizado en todos los ordenadores de la empresa.
• Copias de seguridad (Respaldo Cloud): Si el antivirus no consigue detectar y eliminar el peligro, lo más importante es que al menos no se pierda la información que ya teníamos. Para ello, hay que hacer copias de seguridad y que estén alojadas en un lugar distinto de donde están los ordenadores de la empresa. En el caso del Respaldo Cloud que se ofrece en Aplicateca, se hace una copia en la nube de servidores, de tal forma que posteriormente podremos restaurar todo al estado anterior al ataque.

Foto: .:elNico:.