Índice de contenido
Virus ransomware: ¿Se puede evitar? ¿Qué hago si me secuestran los datos?
¿Qué es un virus ransomware?
Se trata de programas maliciosos que se utilizan con la finalidad de secuestrar la información de los equipos.
Los medios utilizados son campañas de phising. Son ya famosos los emails que nos envía supuestamente: Endesa, Correos, Carrefour, etc. Con la excusa de una factura falsa o un vale descuento, para hacernos picar el anzuelo.
Cifran nuestros datos para posteriormente pedirnos un rescate.
Aunque existen multitud de variantes de estos ransomware virus, básicamente lo que tienen en común es codificar los archivos sin que el usuario se de cuenta. Una vez han finalizado el proceso, envían la clave a los ciberdelincuentes y estos piden dinero al usuario para que pueda recuperar sus datos.
Es un secuestro de nuestra información digital.
En el mundo hiperconectado en el que vivimos, donde las nuevas tecnologías forman parte de todos nuestros que haceres diarios, es fácil imaginarse el perjuicio que este tipo de programas pueden causar a cualquier usuario.
Mientras antes teníamos un par de fotografías de cada evento, hoy guardamos millones cientos de ellas. Los atacantes se esfuerzan en conseguir el mayor perjuicio posible para que el usuario solo vea como única salida pagar para recuperar todas sus cosas.
No digamos ya, si esta misma situación se produce en una empresa, donde por su naturaleza, la pérdida de la información almacenada puede tener mayores consecuencias. No únicamente económicas por la perdida de por ejemplo la contabilidad, sino también judiciales, como puede suponer la pérdida de los datos de los clientes.
El malware ransomware en ocasiones no se limita a inutilizar los archivos, sino que envía previamente cualquier información sensible a los atacantes. El problema se agrava aún mas, puesto que pueden contar con contraseñas, información sensible, etc
La posibilidad de extorsionar posteriormente a las víctimas aumenta de forma exponencial.
Es cierto que en ocasiones, la policía efectúa detenciones y se publican herramientas para descifrar archivos con ayuda de los propios creadores del malware. Las compañías de antivirus también crean sus propias herramientas para recuperar los ficheros.
Pero en la mayoría de los casos, este proceso es irreversible y no es posible recuperar los datos si no se dispone de la llave para descifrarlos.
Los delincuentes piden un rescate por facilitarnos esa “llave” y lamentablemente las víctimas, en un altísimo porcentaje, pagan por recuperarlos.
Esta actividad delictiva se ha convertido en uno de los negocios más rentables del mundo.
Hasta tal punto es así, que incluso se ofrece el modelo de Ransomware como servicio en la Deep Web: “ransomware SaaS”. Pensando para distribuir este sistema entre afiliados que quieran ganarse la vida infectado sistemas.
Diariamente se conocen nuevas versiones en desarrollo, también numerosas variantes y revisiones de versiones antiguas.
Nos enfrentamos a uno de los problemas informáticos de mayor envergadura de los últimos años. Ésta amenaza está lejos de desaparecer, por lo tanto, es necesario adoptar medidas de protección para evitar ser víctima de este secuestro de la información.
¿Por qué no detienen a los creadores de estos programas?
Teniendo en cuenta su difusión y los daños que causa, es una pregunta que muchos se plantean.
La respuesta es que no es una tarea para nada sencilla. Internet no tiene fronteras (o casi) y los atacantes pueden operar desde cualquier parte del mundo. Se puede hacer desde una única localización o de forma distribuida.
No digamos ya si contemplamos la posibilidad que hemos mencionado antes, de ofrecerlo como servicio.
Grupos organizados de delincuentes se dedican a desarrollar el malware e ir “mejorándolo” de forma constante. Otros se dedican a infectar los equipos. Otros distintos alquilan estos servicios y a su vez terceros los contratan para explotar su propia red de víctimas.
Los hay que se encargan exclusivamente de cobrar el dinero de las extorsiones… Y así hasta formar un entramado y organización similar al de cualquier empresa… y es que es mucho más rentable que la mayoría de los negocios.
Incluso los pagos de las extorsiones se efectúan mediante bitcoins, la moneda digital, precisamente porque con ella se pueden efectuar pagos que no sean rastreables por las autoridades y que puedan cruzar sin problemas las fronteras del mundo real.
Se puede ver la complejidad del sistema y dado que se lucran muchas personas en el proceso, es realmente muy complicado que se pueda atajar en el corto / medio plazo.
Según ha publicado TrendMicro en un estudio: “El 52% de las empresas españolas infectadas por ransomware pagó el rescate, pero un 15% no recuperó sus datos”.
¿Se puede evitar?
El ransomware, como cualquier malware, aprovecha las vulnerabilidades de nuestros sistemas.
Es básico mantener actualizado el navegador, sistema operativo y antivirus.
No quiere decir que tomando estas medidas estemos a salvo, ni mucho menos, pero sí mínimamente protegidos. De nada servirá si nuestro equipo se ve afectado por un virus ransomware que aprovecha una vulnerabilidad de día cero (aquella que ha sido recién descubierta y para la que aun no hay solución).
Manteniendo nuestros equipos actualizados evitaremos infectarnos por todos aquellos malware que se aprovechan de vulnerabilidades conocidas de los sistemas y ya debidamente parcheados.
Resulta increíble como cuando se publican por parte de las compañías antivirus las distintas infecciones registradas en los equipos de los clientes, aún se pueden observar malwares que se aprovechan de vulnerabilidades que fueron subsanadas hace años.
Otro punto a destacar en la protección contra todos estos programas (y no sólo hablamos de ransomware sino también de troyanos, virus, adware…) es la necesidad de concienciar a los usuarios. En las empresas hay que inculcar una conciencia de seguridad y para eso hay que incluir a los propios empleados en el proceso de prevención.
Impartiendo formación sobre seguridad informática de forma periódica, para saber qué documentos pueden abrir y cuales no, como reconocer un correo de phising, etc.
En ocasiones, los vectores de ataque de los delincuentes son muy burdos y fácilmente detectables por cualquiera que esté acostumbrado a ver este tipo de situaciones, pero tienen un éxito realmente alto entre aquellas personas poco formadas en este campo.
Cabe diferenciar 2 tipos de perfiles a la hora de planificar una protección frente a estas amenazas: particulares y empresas.
Utilizan recursos diferentes para realizar sus tareas. Tienen distintas infraestructuras, necesidades, equipación… y por lo tanto sus necesidades en cuanto a la seguridad también son distintas.
Podríamos pensar que las víctimas objetivo de estas campañas de malware son las grandes empresas a las que pueden pedir grandes cantidades de dinero y guardan valiosísima información.
Y dado que la distribución de estos virus suele hacerse de forma masiva e indiscriminada es probable que alguna empresa de este tipo acabe infectada, pero no es lo habitual.
Las grandes empresas también cuentan con grandes medios de protección y está demostrado viendo los análisis de los informes de las empresas antivirus, que los que más padecen este tipo de ataques son las pequeñas y medianas empresas y los usuarios finales.
Es lógico entender el porque de esta situación: cuentan con menos recursos, una política de seguridad más relajada y con frecuencia se suele restar importancia al hecho mismo de la infección.
Puede ser mucho más rentable infectar 100 ordenadores de usuarios domésticos y pedirles 300€ por recuperar su información, que tratar con una multinacional que de seguro tomará medidas ante las autoridades competentes.
Lo que si pueden hacer todos los usuarios, tanto de empresas como particulares es:
- Instalar un sistema antivirus que funcione de forma centralizada. En tecnozero trabajamos con el fabricante Sophos que cuenta con Sophos antivirus para los usuarios profesionales y Sophos Home dirigido a los usuarios particulares (y este último es totalmente gratuito)
- Instalar un cortafuegos que nos permita filtrar las conexiones. Al igual que en el caso anterior podemos encontrar la gama de UTM Sophos XG para las empresas y la versión doméstica de firewall para usuarios domésticos (la versión para el hogar al igual que en el caso del antivirus, es gratuita).
Sincronizar la seguridad del firewall y el endpoint. Si un equipo se infecta y se encripta su contenido, será bloqueado para acceder a los recursos de la red, al uso habitual a internet, aplicaciones del servidor etc. Así evitaremos que otros equipos de la misma red puedan verse comprometidos.
Se están empezando a comercializar productos específicos para detectar malware. Son capaces de bloquear virus ransomware antes de que pueda inutilizar el sistema. Es una opción muy interesante, ya que al no estar basados en firmas, complementan a la perfección al antivirus que estemos utilizando.
¿Qué hago si me secuestran los datos?
En el caso de que resultemos víctimas de ransomware éstas son nuestras recomendaciones:
Identifica la vía (fuente) por la que nos hemos infectado y denúncialo en el Grupo de Delitos Telemáticos de la Guardia Civil (dependiente del Ministerio del Interior de España). Aunque puedes generar la denuncia a través de su web luego tendrás que presentarla en persona (no existe la denuncia telemática). Puedes encontrar toda la información al respecto en su web.
Desconecta el equipo de la red, para evitar que se propague al resto de equipos de la empresa.
Dependiendo de la variante de ransomware de la que se trate y si podemos acceder al sistema operativo de nuestro equipo: pasaremos algunas herramienta antivirus /antimalware (p.e. malwarebytes, spybot) hasta comprobar que el sistema está limpio. En sistemas windows, comprobaremos (con el botón derecho del ratón) que en los documentos está activa la opción de “Restaurar versiones anteriores” para acceder a versiones antiguas que con suerte no estén encriptadas.
Si la opción anterior no funciona, el volumen de datos es grande, se encuentran dispersos en muchas carpetas o los datos comprometidos son los de una aplicación, sería necesario restaurar las copias de seguridad. Aunque siempre es mejor contar con un sistema de recuperación ante desastres.
Te invitamos a leer nuestro artículo copia de seguridad y recuperación ante desastres.
La opción que NO aconsejamos es la de pagar el rescate.
Por un lado estaríamos fomentando esta actividad delictiva, por otro lado, ¿quién nos asegura que, una vez realizado el pago, vamos a conseguir realmente la clave que salve nuestra información?
Piensa también que podrías convertirte en un blanco recurrente para los ciberciminales al haber cedido a sus exigencias…