Atrás quedaron los tiempos en los que teníamos que ser cuidadosos con los disquetes que utilizábamos si no queríamos terminar con el PC bloqueado y nuestros archivos desaparecidos. Las nuevas generaciones de malware tienen una capacidad pasmosa para llegar a nuestros equipos utilizando los vectores más diversos e igual que han modernizado sus mecanismos de infección, también han cambiado sus efectos.
De todas las categorías de virus modernas, el ransomware ya es posiblemente la más temida. ¿Pero qué es exactamente y qué hace que sea tan peligroso tanto para empresas como para particulares? ¿Y qué estrategias podemos adoptar para evitarlo?
Qué es el ransomware y por qué preocupa tanto
Como indica su nombre en inglés, el ransomware es un tipo de malware (software maligno) que secuestra nuestros archivos a cambio de un rescate económico (ransom). Para ello, bloquea carpetas e incluso elementos de hardware inseguros mediante métodos de cifrado, ofreciendo únicamente una ventana para introducir una contraseña facilitada por el atacante. Dicha clave solo es facilitada tras el pago de un rescate económico.
Aunque el ransomware solo ha alcanzado su elevado nivel de popularidad recientemente, sus inicios son muy antiguos. El primer ejemplar reconocido como tal fue AIDS Trojan, un troyano que escondía los archivos del usuario y cifraba únicamente sus nombres. Para recuperarlos, hacía falta pagar 189 dólares a una empresa creada por su programador, que posteriormente fue declarado mentalmente inestable. Afortunadamente, estaba tan mal programado que ni siquiera era necesario pagar el rescate para recuperar los archivos.
Hacia mediados de la década de 2010 este tipo de malware vivió una auténtica explosión de la mano de las criptodivisas. Hasta entonces prácticamente nadie se atrevía a extorsionar a los usuarios de un PC infectado, puesto que cualquier transferencia era fácilmente trazable y llevaría a los atacantes a la cárcel por la vía exprés, pero la capacidad de ofuscación de estas monedas nativas de internet dio alas a los creadores de ransomware.
Actualmente, la mayor parte del ransomware exige el pago de una cantidad fija en forma de Bitcoins, Ethereum u otras criptodivisas. Tras enviar el pago, el atacante envía la contraseña necesaria para desbloquear los archivos y borrar (en teoría) cualquier rastro de ransomware del equipo. Las comunicaciones necesarias para que el ransomware establezca contacto con sus creadores suelen estar asimismo ofuscadas mediante servicios como Thor y proxies dedicados.
Por lo general, las extorsiones mediante ransomware son ejercidas por los propios creadores del virus, pero se tiene constancia de que en la dark web también se ofrecen kits completos e incluso ataques como servicio, permitiendo a los cibercriminales contratar ataques de ransomware a cambio de una suma o comisión.
Quiénes son las víctimas principales del ransomware
Principalmente usuarios particulares y pequeñas y medianas empresas. Aunque ejemplos de ransomware como CryptoLocker, WannaCry y Petya han saltado a los informativos y la prensa generalista por sus devastadores efectos en grandes empresas, hospitales e infraestructuras, normalmente, dichas víctimas tienen departamentos de IT para proteger en cierta medida sus datos.
Los usuarios particulares y las pequeñas firmas, sin embargo, están más desprotegidos, por lo que son objetivos débiles y apetecibles. Para un atacante, es más interesante lanzarse contra 20 pymes de menos de 100 empleados y exigir un pago de 3.000 euros a cada una que embestir al Ministerio de Trabajo e irse con las manos vacías, como sucedió hace poco. En cualquier caso, los daños pueden ser cuantiosos.
Primera pérdida: tus datos
El primer daño que causa el ransomware es el más inmediato. El usuario arranca el PC y es dado la bienvenida por un mensaje en el que se le informa que su disco duro ha sido secuestrado y que debe pagar una cantidad concreta en la dirección señalada si desea recuperarlo. Y, además, tiene que hacerlo antes de una fecha designada. Si pasa cierto número de días, sus datos se perderán para siempre.
El bloqueo de dichos archivos se suele realizar mediante el cifrado de los mismos, pero también es posible cifrar sectores de arranque e incluso secuestrar el firmware de unidades inseguras. El efecto es el mismo: tus archivos son inaccesibles.
Un problema añadido es que el ransomware se suele enviar por oleadas, atacando por ejemplo todos los e-mails conocidos de un dominio concreto. Y muchos tipos también se pueden extender a través de redes locales, por lo que basta con que un solo empleado haga clic en un mail fraudulento para que la infección inicial se extienda por todos los ordenadores de la empresa, creando toda clase de problemas.
Fotos, vídeos, facturas… cualquier contenido que tengamos en nuestro PC puede ser secuestrado por el ransomware. De hecho, lo normal es que ni siquiera llegue a arrancar Windows como tal. Para fotógrafos y creativos, puede suponer un auténtico desastre. El miedo a las pérdidas económicas provocadas por no acceder a los archivos hace que mucha gente no espere a los últimos momentos de la cuenta atrás y pague lo antes posible.
Segunda pérdida: tu dinero
Como decíamos, uno de los problemas del ransomware es que normalmente este tipo de virus están diseñados para expandirse muy rápidamente. A mayor número de máquinas infectadas, mayor será el rescate. Así, no es extraño que lo que comenzó con una solicitud de 30 euros para desbloquear un ordenador termine con una transferencia de 3.000 euros para liberar todos los equipos de una empresa.
Aparte de las pérdidas económicas ocasionadas por el rescate, están las derivadas por la pérdida temporal de dichos equipos. Que pueden ser cuantiosas. Empresas distribuidoras de energía y relacionadas con la distribución de productos frescos pueden sufrir daños cuantiosos si ven interrumpidas sus operaciones, al igual que cualquier industria que trabaje siguiendo métodos just in time. Hace poco, la estadounidense JBS Foods, la mayor productora de carne del mundo, pagó 11 millones de dólares ante la tesitura de tener que paralizar la actividad de sus mataderos, lo que hubiera ocasionado pérdidas aún mayores.
Finalmente, el ransomware puede provocar problemas de credibilidad y reputación. Dependiendo de la empresa atacada, es posible que sus clientes no quieran seguir trabajando con ella si se enteran de que perdieron el control de sus ordenadores. Esto es especialmente crítico en compañías relacionadas con las nuevas tecnologías, donde el margen de error para estos traspiés es mínimo.
Cómo protegerse frente al ransomware
El ransomware es una categoría especialmente desagradable de virus, pero afortunadamente no innova mucho en lo que se refiere a mecanismos de infección. Podemos protegernos de él con las precauciones habituales, que incluyen el uso de antivirus (como el incluido de serie en Windows), la precaución a la hora de hacer clic en enlaces, adjuntos y correos desconocidos, evitar páginas web “extrañas” y no caer en la tentación de la piratería.
En el caso de las empresas, también es muy recomendable no conectar dispositivos externos desconocidos o inseguros. Algunos atacantes especialmente aviesos dejan caer por ejemplo un pendrive en el aparcamiento de la compañía esperando que algún empleado lo conecte a su PC para inspeccionarlo, y ahí comienza el desastre.
Por último, en todos los casos es recomendable utilizar una estrategia de copias de seguridad. Ya sea con discos duros o cuentas de almacenamiento en la nube, tener una copia actualizada de nuestros archivos ordenada por días nos puede sacar del hoyo, permitiéndonos ignorar el rescate y recuperar toda la información necesaria tras el correspondiente formateo y escaneo antivirus.