El ransomware ha sido una de las principales preocupaciones para los departamentos de seguridad informática de las empresas y para los usuarios. Lejos de rebajar su virulencia las cifras de ataques mediante esta técnica se han disparado durante las primeras semanas del año.
Los expertos en seguridad informática no pueden evitar sentir un escalofrío cada vez que recuerdan los ataques que protagonizó el ransomware Wannacry que sufrieron en sus sistemas millones de empresas y usuarios en todo el mundo. (Un ejemplo claro, fue con Telefónica, «El Gobierno confirma un ciberataque masivo a empresas españolas«
Estos ataques bloquearon la actividad de grandes compañías en las que se ocasionaron pérdidas de millones de euros, pero que también afectaron a decenas de miles de usuarios privados en su meteórica expansión.
Fue la primera vez que los usuarios tomaron conciencia de lo aleatorios que son los ataques mediante ransomware, rompiendo con la creencia de que estos ataques estaban dirigidos principalmente a las empresas, cuando en realidad, no hacen distinciones entre atacar a grandes corporaciones o el portátil de un estudiante de secundaria.
En 2018 se redujo el crecimiento de los ataques de ransomware dado el creciente interés por las criptomonedas, por lo que los ciberdelincuentes centraron sus esfuerzos en ese ámbito, pero todos los indicadores apuntan que esa tendencia ha vuelto a cambiar y se prevé que 2019 sea un año especialmente intenso en cuanto a ataques con ransomware y se estiman daños por valor de 10.000 millones de euros en todo el mundo.
Estos son los 5 tipos de ransomware más extendidos
Filecoder
El ransonware de tipo Filecoder es probablemente el más conocido ya que es aquel que, de forma silenciosa, infecta un equipo cifrando todos los archivos que contiene antes de que el usuario pueda hacer nada para evitarlo.
Una vez ha cifrado todos los archivos del ordenador, muestra un mensaje en pantalla en el que se pide un rescate, generalmente de pequeña cuantía y en bitcoins, bajo la promesa de enviar una clave de descifrado con la que el usuario podría recuperar sus archivos.
Rusia es uno de los principales afectados por este malware, pero en España, los ransomware de tipo Filecoderson los responsables del 5% de los ataques.
Sus principales vectores de ataque son los adjuntos en el correo electrónico, las descargas no solicitadas desde sitios maliciosos o a través de otros troyanos.
Lockscreen
Este segundo tipo de ransomware se caracteriza por bloquear totalmente el uso o acceso al ordenador, pero sin cifrar la información. Es decir, tus datos se mantienen en el equipo, pero no puedes acceder a ellos.
Este ransomware es uno de los más veteranos ya que los primeros registros se remontan a 2010. Su “modus operandi” es similar al de los Filecoder, pero en este caso bloquea el acceso al equipo, que únicamente muestra una pantalla en la que se indica que el ordenador ha sido bloqueado.
En muchos casos se utiliza la imagen de Windows para engañar al usuario y hacerle creer que ha sido bloqueado por incumplir las políticas de licencias de Windows y le hace creer que debe pagar un determinado importe en concepto de licencia para recuperar el control de su ordenador.
Un equipo infectado por este ransomware no responde ni al acceso remoto, ni a cualquier otro intento de inicio de sesión, y bloquea el administrador de tareas, los navegadores web y cualquier otra parte del sistema.
Virus de la policía
Otro tipo de ransomware que tristemente se hizo famoso es el troyano conocido como Virus de la policía. Se trata de uno de los troyanos más camaleónicos y cambiantes por las diferentes “cepas” que se han desarrollado basándose en su código.
Actúa de forma similar a los Lockscreen ya que, tras su infección, bloquea el ordenador mostrando un mensaje en pantalla con instrucciones para desbloquear el ordenador.
La principal característica de este troyano es que muestra un falso mensaje de la Policía o cualquier otra autoridad con la excusa de haber detectado accesos a páginas ilegales (especialmente de pornografía o abuso infantil). Para el lograr el desbloqueo del equipo se solicita el pago de una multa.
Al igual que en otros casos, el importe del rescate no es demasiado elevado (entre 100 y 500 euros), por lo que es más sencillo que los usuarios paguen por miedo a la vergüenza o las consecuencias penales de los falsos cargos que se le imputan en el mensaje de bloqueo.
La forma más habitual de ataque de este ransomware es mediante el navegador tras visitar páginas de dudosa reputación o al ejecutar archivos descargados de internet sin haberlos comprobado antes de ejecutarlos.
Wiper
Los Wipers son, probablemente, los troyanos más destructivos. Su comportamiento es similar al de los Filecoder, pero en lugar de cifrar los archivos, directamente los elimina.
Todavía se recuerdan los efectos de NotPetya, uno de los Wiper más extendidos, que ocasionó importantes pérdidas de datos a finales de 2017 en sus ataques tras las infecciones de WannaCry.
A pesar de que lo primero que hacen los Wipers tras su infección es eliminar todos los archivos del equipo, mantienen el engaño y la falsa esperanza de que si el usuario paga un rescate se enviará una clave de descifrado para recuperar los archivos. Como puedes imaginar, eso es algo que nunca llega a producirse ya que, en realidad, los archivos ya no existen.
Hoax ransomware
Este tipo de ransomware combina el secuestro de los equipos con un engaño que ejecuta a modo de cortina de humo. Funciona de forma similar a la de un Filecoder, con la salvedad de que, en realidad, es incapaz de cifrar los archivos.
Para conseguir que la víctima pague el rescate, los Hoax ransomware utilizan técnicas de ingeniería social con las que amenazan y asustan a la víctima.
Algunas de estas amenazas pueden estar basadas en unas supuestas fotografías comprometidas que los ciberdelincuentes habrían tomado con la webcam del equipo, las cuales se compartirían con compañeros de trabajo y familiares si la víctima no paga el rescate. Algo que, por supuesto, suele tratarse de un engaño más de este ransomware.
Cómo protegerte del ransomware
Una de las primeras cosas que debes tener clara es que nadie está exento de sufrir un ataque de este tipo. No importa si usas un equipo que funciona con Linux, un ordenador con MacOS o un dispositivo móvil con Android. Todos ellos pueden ser atacados y sus datos se verán comprometidos.
La falsa sensación de invulnerabilidad que algunas campañas de marketing interesado se han encargado de divulgar, hacen que los usuarios de estos sistemas operativos, “teóricamente invulnerables”, se encuentren indefensos ante una amenaza seria como es el ransomware.
El sentido común y confiar en la responsabilidad del usuario no funciona en el caso del ransomware ya que sus técnicas de ataque han evolucionado para resultar invisibles al ojo humano. Es necesario instalar una solución de seguridad que monitorice la actividad que se desarrolle en el equipo. Por ejemplo, nuestra suite más completa, BitHidraulyco Total Security te protege y revierte el ataque informático de Ransomware.
Además, es de especial importancia que esté perfectamente actualizada, ya que solo así conseguirá neutralizar no solo las variantes conocidas de ransomware, sino que también pueden usar técnicas heurísticas y de inteligencia artificial para bloquear otras variantes de malware que todavía no ha sido registrado.
En cualquier caso, y además de contar con un software de seguridad instalado y actualizado en el equipo, conviene estar preparado para lo peor realizando copias de seguridad periódicas de todos los datos.
De ese modo, aunque el ransomware consiga burlar todas las barreras de seguridad y se complete el cifrado total o parcial de los datos, puedes tener la tranquilidad de que tus datos no se perderán. Esto te permitirá restablecer el estado del equipo para deshacerte del ransomware sin temor a perder las carpetas, archivos o documentos que se encuentran a salvo en tu copia de seguridad.
A la hora de crear una copia de seguridad sigue la regla 3-2-1: haz 3 copias de seguridad de tus datos, guárdalas en dos soportes diferentes (una en la nube y otra en un disco externo, por ejemplo) y guarda una de ellas en un lugar físico distinto.
En ningún caso es una buena idea hacer una copia de seguridad en un disco que está permanentemente conectado al equipo, ya que el ransomware puede cifrar distintas unidades dentro del mismo equipo, por lo que la copia de seguridad también quedaría cifrada. Lo mejor es guardarla en un disco externo y desconectarlo físicamente del equipo una vez se ha completado.
Como puedes imaginar, ceder al pago del rescate no debe ser nunca una opción a tener en cuenta. Haciéndolo no solo no se garantiza que vayas a recuperar tus datos—no olvides que estamos hablando de ciberdelincuentes—, sino que contribuyes a sostener este sistema delictivo.
Además, pagar el rescate una vez no significa que no puedan volver a atacarte. De hecho, es habitual dejar abierta una puerta trasera en los equipos infectados por la que los atacantes pueden volver a secuestrar tu equipo de nuevo y volver a reclamarte el pago del rescate. Si ya lo has pagado una vez, ¿por qué no ibas a hacerlo en otras ocasiones?