Seguro que alguna vez has leído la palabra 'ransomware', un tipo de malware que siembra el pánico entre quienes lo sufren y que ahora se ha hecho un poco más famoso tras afectar por primera vez al sistema operativo de Apple, OS X.
Este tipo de código es especialmente perjudicial para quienes se ven afectados por él porque quien nos infecta pide un rescate para poder volver a acceder a la información afectada. De repente nos encontramos con que nuestro servicio, nuestra página web o nuestro ordenador están absolutamente bloqueados, y solo el cibercriminal responsable del ataque puede liberarnos... previo pago de una suma de dinero.
Qué es el ransomware, te lo explicamos en vídeo
El temible secuestro de tus datos
La técnica lleva literalmente décadas usándose, y normalmente consiste en el cifrado del disco duro de la máquina víctima, lo que provoca que sea imposible acceder a sus servicios y datos a no ser que contemos con la clave que protege esa información.
En muchos casos quienes llevan a cabo los ataques dejan bien patente lo que ha pasado y cómo proceder en esos casos: una dirección de correo electrónico o ciertas páginas web para contactar con el cibercriminal e incluso la cantidad que tendremos que abonar para que volvamos a poder "rescatar" todo lo que quedó bloqueado con el ataque.
Los ataques que secuestran nuestra información han crecido tanto o más que otras formas de malware, y se ha convertido en una jugosa forma de obtener ingresos por parte de los cibercriminales. Según un estudio de McAfee este tipo de amenazas creció** un 58% en el segundo trimestre de 2015**, y la forma de inyectar este tipo de código es tan variada como los escenarios en los que se aplica.
De hecho la amenaza es patente para usuarios finales, pero es mucho más preocupante para empresas que pueden verse afectadas también por este tipo de ataques que pueden llegar a bloquear la operativa de un producto o servicio. Los atacantes no roban datos como tales, simplemente los dejan donde estaban pero cifrados.
El cifrado y bitcoins como bases de los ataques
Para "liberar a los rehenes" necesitaremos realizar un pago electrónico que habitualmente se hace con un sistema que es perfecto para este ámbito: los bitcoins llegan como el medio preferido por los ciberatacantes, ya que este tipo de transacciones no son revocables y es muy complicado saber quién llega a recibir ese dinero en el otro extremo.
Se trata además de ataques dirigidos de forma específica a un particular o a una entidad, y el problema es que la popularidad de estos ataques ha hecho que el ransomware pueda ser aprovechado prácticamente por cualquiera con cierta base técnica, ya que los desarrolladores de malware han desarrollado herramientas que precisamente facilitan los intentos para introducir ransomware en cualquier máquina.
Existen casos ya famosos de ransomware: un reciente artículo en el blog de Sophos nos recordaba que sistemas temibles como Teslacrypt, TorrentLocker, Los Pollos Hermanos (no es broma) o el tristemente célebre Cryptowall (actualmente en la que muchos consideran como la "versión 4.0") han hecho que los ingresos para los cibercriminales sean especialmente cuantiosos año tras año.
¿Cómo nos infectamos?
Como explicaban los expertos de Sophos, en el caso de Cryptowall -que es análogo a otros sistemas de este tipo- se instalan pequeños ficheros en diversas carpetas clave de nuestro sistema -el directorio de datos de aplicaciones, el de inicio e incluso algún directorio con un nombre aleatorio- que simplemente se conectan a un servidor remoto controlado por el cibercriminal.
En esa conexión se obtiene la clave que cifra el contenido de nuestro disco duro, y por ejemplo en el caso de Cryptowall 4 lo que se hace es centrarse en el directorio de datos de aplicaciones y en la creación de una entrada de registro para cargarse en cada reinicio o inicio de sesión.
A partir de ahí empiezan las tareas de cifrado, que en el caso de Cryptowall 4 son especialmente perjudiciales: se suele utilizar el algoritmo de cifrado AES y cada fichero tiene un cifrado distinto que hace que incluso dos ficheros idénticos parezcan diferentes si uno atiende al contenido cifrado.
En el caso de Cryptowall 4 se cifran hasta los nombres de los ficheros para hacernos la vida aún más complicada, y aunque cada fichero pueda tener una clave de cifrado distinta, todos ellos se pueden descifrar con la misma clave maestra, una que lógicamente está en posesión de los cibercriminales y que es la que obtendremos si pagamos ese rescate.
¿Qué hacer para protegerse?
Es imposible estar al 100% seguros de que estaremos libres de amenazas, pero sí podemos realizar una serie de pasos para poder proteger nuestros sistemas y nuestros ordenadores. El primero de ellos, mantener actualizadas nuestras aplicaciones y también nuestro sistema operativo.
Torrentlocker ha sido especialmente activo en nuestro país.
Esa primera regla básica se debe complementar con otras medidas también lógicas. Entre ellas, el uso de algún tipo de antivirus que se actualice y chequee nuestro sistema con regularidad. Aquí los fabricantes de soluciones de seguridad tratan de competir con sus propias alternativas, pero dado que los atacantes renuevan sus técnicas es imposible contar con la garantía total de que una u otra solución nos ayudará a protegernos del todo.
Tampoco estará de más volver a acudir al sentido común y evitar la descarga de documentos y ficheros sospechosos de remitentes aún más sospechosos, pero como siempre uno de los métodos clave para evitar problemas más adelante es disponer de copias de seguridad de nuestros datos, y aquí nos pueden ayudar tanto los servicios en la nube como sistemas de almacenamiento externo que de hecho no tengamos conectados a nuestro ordenador en todo momento para que no se ven afectados.
Hay otras medidas que podemos tomar como el llamado Cryptolocker Prevention Kit que genera una serie de directivas de grupo (group policies) y que evitan que el ransomware pueda instalarse en sus directorios habituales. Cuidado con el uso de la red Tor y la deep web -aquí los ataques son más frecuentes- y también con las carpetas compartidas de red, a las que deberíamos dar permisos de acceso solo por parte del administrador del sistema salvo cuando necesitemos acceso de lectura y escritura, que deberemos activar y desactivar tras esas operaciones.
En Genbeta | De profesión, secuestrador digital
Ver 37 comentarios
37 comentarios
cpbenjaminca
Fácil, que Apple diga que esto es un nuevo Iware, y es la evolución tecnológica,
se que no evitara la entrada de virus pero sus usuarios se sentiran satisfechos de que no es un virus cualquiera el que los afecta
Usuario desactivado
Era de esperar, Windows es el principal objetivo de la mayoría de los ataques por maximizar el beneficio: más ordenadores con dicho SO, mayor cantidad equipos infectados, mejor rendimiento económico. A medida que otros SO están ganando a pasos agigantados terreno lo lógico y natural es encontrarse cada vez más virus y malware en general para dicho SO.
También comentar hace cierto tiempo se publicó una noticia hablando de estos ataques en donde se explicaba que en muchas ocasiones y tras el pago, los atacantes nunca enviaban las claves maestras ya que al ponerse ellos en contacto podrían dar pistas para su localización.
Por último, lo típico: cuidado con bajarse cualquier cosa, usar la cabeza al navegar por internet y hacer caso a lo de las copias de seguridad. Sobre esto último es realmente útil la utilización de un NAS (los hay a precios bastante asequibles) en donde se puede automatizar la realización de copias de seguridad de los datos que se desee y tenerlos a mano en caso de cualquier imprevisto.
lamarse35
Te has dejado algún detalla BASTANTE importante.
Este tipo de virus INFECTA TAMBIÉN a las copias de seguridad, siempre que estén conectadas directamente al ordenador. Es decir, el virus infecta todo lo que esta a su alcance desde el ordenador afectado: si tiene un externo en la F pues va y lo encrypta también (y si tienes una carpeta compartida en red, igual, se va al ordenador accesible por red, y zas! se lo come también). Es mas, hablando de nube: te infecta la nube también, pues transforma todos los archivos que luego, el gestor de la nube se encargará de sustituir correspondientemente (eso si, según la cantidad necesitará un tiempo, pero... no te das ni cuenta y zas!).
Para estar seguro del todo tienes que tener copias de todo en varios lados, en externo también, pero nada de automático, sino que lo conectas tu cuando deseas hacer la copia y le das la orden, para desconectarlo cuando termina (ahí si que se queda a salvo del virus este, pero no así de un incendio o de un robo físico en tu casa...). Y ojo con llevarse el externo a todas partes, porque.. ¿y si lo pierdes?¿O si se te cae al suelo? ¿O si te lo roban...?
En fin, copias varias de todo (externo, en la nube (mas de una)).
También tengo alguna duda... a ver si lo sabes..:
¿Encripta archivos ZIP protegidos con contraseña?
Hazel7
¿Qué es ? Pues la nueva manera de divertirse de los hackers seguramente
abelnightroad
En blogs enfocados a dar noticias sobre redes este tipo de malware son el pan de cada día, todos los días sale una noticia sobre un ransomware que afectó a Windows o Linux.
Miren que estos criminales son graciositos, hasta ofrecen soporte y chat en vivo para asistencia técnica. Ya saben de qué tipo de asistencia hablo: cómo enviar el dinero, a dónde enviarlo, como crear una cuenta para bitcoins, etc.
cortizsoria
Como solución dais tener un antivirus instalado?
Han hackeado a Telefónica eh 😁
rfb
Pues teniendo OneDrive en Windows, a mi no me preocupa mucho. Los programas se reinstalan facilmente, y las fotos, musica y cosas importantes en OneDrive. Ademas que las descargas de gran peso y que me molestaria volver a descargar las guardo en un disco duro diferente al del sistema por lo que no creo que se vean afectadas
calvarado04
La encriptación de datos aprovecha los límites de la computabilidad para encriptar la información, de modo que con una computadora digita llevaría más del tiempo que lleva existiendo el universo en atacar por fuerza bruta la clave de cifrado.
Pero esto mismo se ha vuelto en contra de los usuarios gracias a esta forma intrusiva de encriptar la información sin el conocimiento ni el consentimiento del usuario.
Creo que es mejor encriptar uno mismo los datos (en OS X se puede usando FileVault, en las Macs nuevas con PCIe Flash la bajada en velocidad es mínima, en un HD tradicional sí se resiente bastante un sistema encriptado), pero supongo que sería un obstáculo a vencer por parte del software intrusivo, pues al querer encriptar se toparía con que el disco ya está encriptado y no podría cambiar la configuración a menos que tuviera la clave, lo que justamente es la gran ventaja de la encriptación de datos...
erictovarteniente
pues lo digo,son las mismas elites lo que hacen tales gracias
por ejemplo si yo fuera un genio informatico atacaria a las grandes empresas para sacarles grandes cantidades de dinero
aqui dicen que los que cometen tales crimenes se escabullen facilmente
pues para el usuario comun seria dificil dar con ellos,pero grandes empresa y gobierno es facil rastreal el dinero de tales operacione