Impedir que los usuarios accedan a sus datos aplicando técnicas de cifrado sobre ellos. Esta es la forma como opera el Ransomware, un tipo de malware (malicious software) usado para el secuestro de información, y que generalmente se asocia a un rescate en criptomonedas (no rastreables) para devolver el acceso a esta. Especialista de la Universidad de Chile explica qué tipos de Ransomware existen, cómo ocurre el secuestro de un sistema informático, y de qué manera evitar caer en estas trampas.
El primer caso de Ransomware conocido data de 1989, de un episodio donde ciberdelincuentes enviaron más de 20 mil disquetes con un programa malicioso que bloqueaba los equipos.
Dicho ataque involucró, además, la solicitud de US$189 para reactivar el funcionamiento de los sistemas, monto que debía ser enviado por correo postal a una casilla en Panamá.
Hoy, este malware se propaga por todos los canales que ofrece Internet: redes sociales, mensajería instantánea, correos electrónicos y sitios fraudulentos. Casi siempre va acompañado de una opción de rescate que debe pagarse en criptomonedas para dificultar su rastreo.
Los blancos de estos ataques son usuarios individuales, pero el objetivo principal muchas veces es afectar a las organizaciones que estos integran.
En el caso del primer Ransomware, el disquete estaba caratulado como investigación sobre VIH. Ahora, el “cuento del tío” puede venir en correos con mensajes del ejecutivo de la cuenta del banco, una oferta de trabajo o la oferta de descarga de un juego gratuito. El factor común es propiciar el click que permita la instalación de este tipo de software.
Otra forma de inserción de malware es a través de la navegación en internet. La publicidad maliciosa a menudo usa un iframe (componentes de una página web) infectado, o elemento invisible de una página web, para hacer su trabajo.
El iframe redirige a una página de aterrizaje (generalmente no visible), desde donde se descarga el código malicioso que una vez presente en el equipo del usuario ataca el sistema.
Todo esto sucede sin que el usuario lo detecte y se conoce como ataque drive-by-download (por descarga oculta). Los atacantes aprovechan el acceso obtenido sobre el equipo de la víctima para recolectar datos, enviarlos a servidores bajo su control y clasificar sus detalles y ubicaciones para seleccionar el malware más adecuado y enviarlo.
Frecuentemente, el malware enviado es un Ransomware. De esta manera, la red de la organización queda expuesta a la propagación de la infección.
Los analistas clasifican los ataques en tres categorías, dependiendo de su gravedad:
Este tipo de malware incluye programas de seguridad falsos y ofertas falsas de soporte técnico. Generalmente es un mensaje emergente que informa sobre fallas en los equipos y que la única forma de librarse de estas fallas es pagar.
Si no lo hace, seguramente continuará siendo bombardeado con mensajes emergentes, pero sus archivos están básicamente a salvo. Es un cazabobos.
Bloqueadores de Pantalla
Acá la situación es peor. El Ransomware bloquea la pantalla e impide el uso del PC. Habitualmente se despliega un mensaje falso de una agencia que dice que se ha detectado un uso fraudulento del equipo y que está obligado a pagar una multa.
Al respecto, es necesario recordar que las instituciones policiales siguen reglas para la generación de sanciones.
Este caso representa una alerta roja. El malware secuestra los archivos, las bases de datos y las encripta. Luego, los ciberdelincuentes exigen un pago para devolverlos.
El peligro es que una vez que hay una captura del sistema no hay ningún software de seguridad ni restauración del sistema capaz de recuperar los datos, a menos que se pague el rescate o se disponga de un sistema de respaldo continuo y seguro.
Uno de los consejos para disminuir este tipo de amenazas es tener la misma precaución de seguridad que se debe mantener en el mundo real: no crea todo lo que le dicen y no todo lo que brilla es oro. Estar atento y ser precavidos es esencial cuando se navega por Internet.
El Oficial de Seguridad de la Información de la Universidad de Chile, Emilio Canales, recomienda “mantener al menos una herramienta de vigilancia en el equipo. Existen varias gratis y de pago.
Y si el equipo pertenece a una organización, una excelente medida es impedir que se conecte a redes desde lugares públicos (como desde el aeropuerto) y solo opere en condiciones similares a las de la red de la organización a la que pertenece”.
Finalmente, un dato estadístico. Según el informe 2021 de VirusTotal sobre Ramsonware, “el 95% del Ransomware detectado eran archivos ejecutables basados en Windows o en bibliotecas DLL y otro 2% estaba basado en Android”.