En vista de los recientes casos de secuestros de archivos que ocurrieron, y comenzando a pensar que se tratan de una nueva tendencia en aumento, hemos decidido responder algunas preguntas básicas y repasar algunos ataques para entender mejor de qué se trata y ayudarte a saber todo sobre ransomware.

¿Qué es el ransomware?

El ransomware (secuestro de información) es el término genérico para referirse a todo tipo de software malicioso que le exige al usuario del equipo el pago de un rescate.

Al concretar la infección, puede bloquear el acceso al equipo o bien cifrar archivos para dejarlos inaccesibles. En el primer caso se trataría de un ransomware de bloqueo de pantalla o lockscreen; en el segundo, de un ransomware criptográfico o filecoder.

¿Por qué accedería a pagar un rescate?

Porque este malware le hizo algo malicioso a tu equipo y potencialmente a los datos. Por ejemplo, puede haber cifrado los documentos y exigirte el pago de un rescate para desbloquear el acceso a ellos. Este tipo de ransomware se conoce como filecoder (codificador de archivos). El más famoso es Cryptolocker, y las soluciones de seguridad de ESET detectan muchas de sus versiones como Win32/Filecoder.

¿De qué forma puede infectarse mi equipo con un ransomware como Cryptolocker?

Un método típico de infección es abrir el archivo adjunto de un correo electrónico no solicitado o hacer clic en un vínculo que asegura provenir del banco o de una empresa de mensajería. También encontramos versiones de Cryptolocker que se distribuyeron a través de redes peer-to-peer (P2P) para compartir archivos, haciéndose pasar por claves de activación para programas populares de software como Adobe Photoshop y Microsoft Office.

Si el equipo se infecta, Cryptolocker busca una amplia gama de tipos de archivos para cifrar y, una vez que terminó el trabajo sucio, muestra un mensaje donde exige que hagas una transferencia electrónica para descifrar los archivos, como se ve a continuación:

cryptolocker
En algunos casos, la pantalla de bloqueo también incluye la transmisión en vivo de lo que la cámara web del equipo está viendo en ese momento, como muestra la siguiente captura:

webcam
Es inquietante verse inesperadamente a uno mismo sentado frente al equipo, y puede ayudar a hacerles creer a los usuarios con menos conocimientos técnicos que realmente están siendo observados por las autoridades.

También escuché hablar del scareware, ¿qué es?

El scareware (programas intimidatorios) es un software que intenta asustarte y engañarte para que tomes un curso de acción determinado. El más común es el que se hace pasar por un producto antivirus que muestra una advertencia sobre problemas de seguridad presentes en el equipo o smartphone, en un intento de engañarte para que les pagues a los estafadores o para que sigas descargando más códigos peligrosos desde la red.

En algunos casos, el falso antivirus se presenta bajo el nombre de una empresa de seguridad genuina con el objetivo de que se incremente la cantidad de personas que caen en el engaño y toman una mala decisión. Observemos la siguiente imagen:

mac-scareware
Al igual que el ransomware, el scareware puede estar escrito para cualquier sistema operativo. Irónicamente, algunas instancias del tipo falso antivirus tienen una interfaz de usuario mucho más impactante que la del producto legítimo que están tratando de imitar.

En el caso de algunos tipos de scareware con desarrollo más siniestro, cuando no logran asustarte para que hagas una compra insensata, recurren a tácticas de ransomware y exigen el pago de una suma bajo una amenaza más evidente.

¿Qué pasa si mi equipo se infecta con ransomware y no quiero pagar el rescate?

En la mayoría de los ataques, hay una fecha límite para realizar el pago: si no pagas a tiempo, podrías perder el acceso a los archivos en forma permanente.

A decir verdad, lo ideal sería no pagar y tener disponible un backup o copia de respaldo de tu información, para formatear el equipo y restaurarla. En muchos casos, dependiendo del malware, hay disponibles herramientas de descifrado que permiten recuperar los archivos afectados.

¿El de cifrado de archivos es el único tipo de ransomware?

No, también existe el ransomware de bloqueo de pantalla, que bloquea el equipo e impide que lo uses hasta haber pagado el rescate. Este malware a veces usa trucos psicológicos para engañarte y apresurarte a pagar.

Por ejemplo, a veces, el mensaje de la pantalla de bloqueo se hace pasar por un aviso de la fuerza de policía nacional donde se indica que las autoridades demandan el pago de una multa porque encontraron en tu equipo imágenes de abuso a menores o de zoofilia, evidencia de haber visitado sitios web ilegales, o software pirata.

reveton
Reveton
es una de las familias encontradas con mayor frecuencia del tipo de ransomware que bloquea los equipos de los usuarios y muestra un mensaje supuestamente proveniente de las autoridades.

¿Y la gente termina pagando el rescate?

Sí. En muchos casos lo pagan. Imagina qué pasaría si no tuvieras una copia de seguridad (backup) verificada desde la cual pudieras restaurar tus archivos confidenciales o corporativos... probablemente termines pensando que vale la pena gastar algunos dólares para recuperar el acceso a los datos.

A los usuarios corporativos quizá no les preocupe demasiado el malware de bloqueo de pantalla; después de todo, con suerte tienen copias de seguridad y acceso a otros equipos de hardware. Pero es fácil imaginar a los usuarios domésticos, intimidados por las falsas amenazas de la policía o la mención de imágenes de abuso a menores, finalmente pagando el rescate en vez de llevar el equipo a la tienda local de reparación de computadoras.

Al pagar el rescate, ¿se descifran los datos?

Sí, en general se restaura el acceso a los datos. Si pensamos en ello, los criminales tienen un buen sentido común comercial. Si se corriera la voz de que los atacantes no mantienen su lado del acuerdo, la gente nunca pagaría el rescate.

Pero también puede haber casos en los que no sea posible dar con una clave de descifrado, aún si la víctima paga.

El pago del rescate no significa que vas a estar fuera de peligro. Los criminales pueden dejar malware en el equipo y ahora saben que eres el tipo de persona dispuesta a pagar dinero en efectivo para recuperar el acceso al equipo o a los datos. En resumen, podrías volver a ser el objetivo de otro ataque futuro.

Entonces, si soy víctima de un ataque de ransomware, ¿tendría que pagar el rescate?

No lo recomendamos. Recuerda: no hay forma de evitar que los atacantes te exijan más dinero. Si pagas el rescate estás ayudando a crear un nuevo mercado para los cibercriminales, lo que puede conducir a más ataques cibernéticos de ransomware y de otros tipos en el futuro.

En lugar de pagar, aprende la lección: obtén una mejor protección y asegúrate de llevar a cabo un régimen apropiado de creación de copias de seguridad para recuperar tus archivos esenciales en caso de tener la mala suerte de que te vuelvan a atacar.

¿Mi antivirus no puede simplemente quitar la infección de ransomware?

Sí, en la mayoría de los casos, un buen software de seguridad tendría que ser capaz de quitar el ransomware del equipo. Pero ahí no se termina el problema, porque si era un filecoder, los archivos seguirán cifrados.

El software de seguridad puede llegar a descifrar la información confidencial si se utilizó un filecoder básico en el ataque, pero los archivos que fueron atacados por un tipo más sofisticado de ransomware como Cryptolocker son imposibles de descifrar sin la clave correcta, que solo conocen los cibercriminales.

Por eso, la mejor medicina es la prevención.

Entonces, ¿los filecoders que cifran tus archivos confidenciales son peores que el malware de pantalla de bloqueo?

Sí. En la mayoría de las situaciones, la recuperación es más difícil en ataques de ransomware de cifrado de archivos que en otros tipos. Sin embargo, si tienes una copia de seguridad que no fue alcanzada por el ataque, no será muy difícil volver a dejar todo listo y funcionando rápidamente.

Para ser franco, el peor tipo de malware siempre es el que infectó tu equipo.

¿La cantidad de ransomware de tipo filecoder va en aumento?

Probablemente ya hayas adivinado la respuesta a esta pregunta... sí. Los investigadores de ESET están encontrando cada vez más cantidad de malware de cifrado de archivos y durante el último año el crecimiento fue constante.

El siguiente gráfico muestra el crecimiento de Filecoder desde julio 2013:

filecoder-crecimiento
¿Qué sistemas operativos fueron el objetivo?

En teoría, no hay nada que detenga a los cibercriminales para escribir ransomware dirigido a cualquier sistema operativo, pero la mayoría de los ataques fueron dirigidos a usuarios de Windows. Cryptolocker, por ejemplo, solo se encontró para esa plataforma.

No obstante, hace poco, los investigadores de ESET detectaron a Android/Simplocker, el primer troyano de cifrado de archivos que les exige a los usuarios de Android el pago de un rescate mediante un centro de control oculto en la red de anonimato Tor.

Está claro que las cosas se están poniendo cada vez más sofisticadas en el mundo del ransomware, incluso para smartphones.

¿Es decir que los smartphones también podrían estar en riesgo?

Correcto. Sin duda, la amenaza de malware es mucho menor en dispositivos iOS (incluso los liberados) que en Android. Recuerda que hace poco publicamos una guía que explica cómo mantener tu dispositivo Android a salvo del ransomware.

Más información sobre el ransomware: