Fin de semana. Te levantas, tomas un café, lees un poco del libro que tienes pendiente y sales a hacer un poco de deporte. Vuelves, te duchas y enciendes el ordenador para ver una cosa en Internet. Sorpresa: aparece un mensaje diciendo que o pagas o te quedas sin datos en tu ordenador. Y no te deja hacer nada más.
La primera reacción es de susto. _¿Cómo me ha podido pasar a mí?_ La segunda es de superioridad: estos _hackers_ no saben que te manejas bien con ordenadores. Coges un Live CD de Linux que tienes por ahí tirado para recuperar tus datos y limpiar el _malware_. Lo metes en el ordenador, arrancas, y... vaya. Esa carpeta antes no estaba ahí. ¿Y dónde está mi carpeta de usuario? ¿Por qué no se puede abrir ningún archivo?
Lo que te ha atacado es un tipo de virus llamado _ransomware_. Bloquean tu ordenador y te piden dinero para que puedas volver a usarlo. Según lo sofisticado que sea, puede que sea fácil de saltar y limpiar, o puede que la mejor alternativa sea pagar (incluso a pesar de que eso no te garantice recuperar los datos).
Uno de esos _ransomwares_ sofisticados es CryptoLocker, que se distribuye habitualmente a través de archivos adjuntos. Cuando se carga, se conecta a un servidor de control remoto, que genera un par de claves RSA pública/privada de 2048 bits. La clave pública se la queda el ordenador infectado, y CryptoLocker empieza a cifrar archivos de forma precisa: sólo cifra ciertos tipos como documentos de Office, imágenes o archivos de AutoCAD, los que probablemente sean más valiosos para el usuario.
CryptoLocker. Imagen vía Ars Technica.
Por otra parte, muestra un mensaje diciendo que o pagas unos 400 euros, o en unos días se destruirá la clave privada. Y recordemos que, tal y como funciona la criptografía de clave pública, esa clave privada es la única forma de descifrar tus archivos. Incluso aunque pudieses extraer la clave pública del _malware_, no podrías hacer nada con ella. Además, al ser de 2048 bits, es prácticamente imposible adivinarla por fuerza bruta.
Una infección con este tipo de malware puede ser muy seria, y si no que se lo digan al departamento de policía de Durham, una pequeña ciudad estadounidense. Fueron infectados por CryptoWall, muy similar a CryptoLocker. No sólo se bloquearon los ordenadores, sino que además se cifraron algunas copias de seguridad que estaban almacenadas en discos en red accesibles por los infectados.
Por suerte, no todos son tan _letales_. Algunos "sólo" te bloquean el Master Boot Record y evitan que se ejecute tu sistema operativo hasta que no pagues el rescate, aunque los archivos siguen siendo accesibles. Otros, como Ransom.AN, sí cifran los archivos pero no están del todo bien diseñados, y reutilizan la misma clave en todos los ordenadores.
En un ejemplo patrio, el virus de la policía se añadía al autoarranque de Windows para bloquear el uso del ordenador, por lo que no era especialmente difícil de quitar.
El dinero detrás del secuestro digital
El _ransomware_ empezó a surgir en 2009 en el este de Europa, con cibercriminales operando (probablemente) desde allí. Infectan a los usuarios a través de vulnerabilidades en el navegador, haciendo que se descargue reproductores de vídeo que en realidad son un virus - especialmente en sitios pornográficos, para que el usuario sea más reticente a denunciar y decir dónde se infectó - o a través de adjuntos del correo.
Cuando el _malware_ se instala por la vía que sea, necesitan convencer a los usuarios de que paguen. Para ello suelen usar dos tácticas distintas.
La primera es la vergüenza. El _malware_ muestra imágenes pornográficas o desagradables, de tal forma que prefieras pagar antes que seguir viéndolas. La segunda, la más usada, es la autoridad: se hacen pasar por cuerpos de Policía, diciendo que se ha detectado actividad ilegal (pornografía, zoofilia, violencia, pedofilia...) y que o pagas o se emprenderán acciones legales. Por supuesto, ningún cuerpo policial actúa de esta forma, pero eso no impide que haya gente que se crea la farsa.
Los cibercriminales podrían estar ganando más de 400.000 dólares mensuales
Una vez que han convencido al usuario, lo siguiente es conseguir que pague. Para no descubrirse usan tarjetas prepago como MoneyPak o Ukash. Con el auge de Bitcoin, la moneda virtual se ha convertido en un medio muy atractivo para que los cibercriminales reciban su rescate: es muy difícil vincular una cartera virtual a la persona que está detrás de ella.
¿Y cuánto dinero ganarían estos criminales? Según un estudio de Symantec, sólo pagan un 2.9% de los usuarios, un porcentaje bajo. Sin embargo, teniendo en cuenta que los rescates no son baratos y que se infectan muchos ordenadores (unos 5.700 al día), se calculaba que los responsables del ransomware se podían estar haciendo con 394.000 dólares al mes.
El ransomware, no sólo cosa de Windows
Uno pensaría que todo el _ransomware_ afecta a sistemas Windows. Si bien es cierto que una parte importante está dirigido al sistema de Microsoft por su mayor cuota de mercado (más dinero potencial), otros sistemas también han sido afectados.
Por ejemplo, el mes pasado se detectó SimpleLocker, un ransomware para Android que seguía la misma estrategia de sus primos de ordenador. Veinte dólares por desbloquear los archivos de la tarjeta SD. Por suerte, la clave de descifrado se guardaba en el móvil y era posible recuperarla y desbloquear el móvil.
El secuestro digital tampoco requiere un _malware_. Es el caso de varios usuarios de iPhone, especialmente australianos, que vieron bloqueados sus dispositivos hasta que no pagasen un rescate de hasta 100 dólares. El _hacker_ lo hizo entrando en las cuentas de iCloud de esos usuarios - según Apple, con técnicas de _phishing_ y sin comprometer la seguridad del servicio - y usando la funcionalidad de Find My Phone para bloquear los dispositivos remotamente.
Cómo evitar que secuestren mis dispositivos
La solución es la de siempre: antivirus y sistema actualizado, y sobre todo, no descargar ejecutables sospechosos ni abrir adjuntos que no sabes de dónde vienen. Si por lo que sea sospechas que tu ordenador pueda estar infectado por uno de estos virus, apágalo para evitar que siga secuestrando tus datos y así poder recuperarlos y limpiar el ordenador con más calma.
Además, hay herramientas especializadas para evitar este tipo de _malware_. Yago Jesús, de Security By Default, publicó hace poco una actualización a su software Anti Ransom, que nos avisará cuando haya un _ransomware_ cifrando datos en nuestro sistema y así podamos apagar el ordenador rápidamente para evitar que siga ejecutándose. Además, generará un volcado de la memoria del _malware_ para que, en un análisis posterior, se traten de extraer las claves de cifrado.
En el caso de que haya sistemas que puedan bloquear tu teléfono remotamente, como los de Apple, Microsoft o Prey, es recomendable usar contraseñas seguras y activar, si es posible, medidas adicionales como la autenticación en dos pasos.
Y si te has infectado, lo importante es no pagar. Pagar no te garantiza recuperar tus datos, y además estás animando a los cibercriminales a seguir con la estafa. Dependiendo del tipo de virus se podrán recuperar o no los datos, así que lo mejor es acostumbrarte a hacer _backups_ periódicamente, ya sea en la nube o en discos externos.
Ver 27 comentarios
27 comentarios
atoi
¡Que espantoso que haya gente que se dedique a estas cosas!
Sólo por curiosidad, ¿podrían explicar el proceso en más detalle? Por favor hagan especial énfasis en la parte donde te haces con 400k mensuales.
XD.
Usuario desactivado
¿Los archivos almacenados en la carpeta Dropbox correrían algún riesgo? Si se modifican o encriptan, se encriptaría también la copia en la nube ¿no?
Charles R. Vesco
Estamos en un punto en que los hackers ya no suponen una broma más o menos pesada, sino serios daños a la economía. Habría que tratarlos como los delincuentes que son, promulgando leyes en Naciones Unidas con carácter internacional que permitan detener y procesar a estos criminales con los mismos cargos que a los terroristas.
Cárcel, a ser posible cadena perpetua, estén donde estén. Porque estos criminales son de la peor calaña y no son merecedores de ningún derecho humano, ni siquiera los más elementales.
..D..
Dispositivo externo, y aislado del resto del mundo mediante hormigon muy grueso.
Que luego son capaces de hacerse con tu cuenta si esta en la nube y que te lo borren
jush 🍑
Hablando en plata: ¿ésa página porno con un reproductor de vídeo flash raro? No lo pinches.
Los de "la policía" lo podéis quitar fácilmente volviendo atrás en el tiempo con un punto de restauración automático de windows desde el disco de instalación.
Land-of-Mordor
Las veces que me he peleado con "ransonware" (ordenadores de conocidos, yo con Linux no he tenido problema hasta la fecha) ha sido relativamente sencillo eliminarlo, normalmente sacando el disco duro y haciendo la desinfección desde otro ordenador e incluso a veces haciéndolo desde el mismo equipo instalando un antivirus "free" tipo Panda o AVG. Te lleva más tiempo que otra cosa.
seravifer9
Algo así me contaron que le paso a una gran empresa en España(no puedo revelar el nombre). Al parecer el jefe descargó un archivo que se suponía que era de un trabajador y al ejecutarlo los servidores empezaron a encriptarse. Y claro si tienes 10 torres de servidores encriptandose es muy complicado solucionarlo. Incluso la policía no pudo hacer nada y tuvieron que pagar con bitcoins una gran pasta. Lo mejor es que en el mensaje ponía que esto solo lo hacían para poder vivir y que su objetivo no era dañar nadie.
r a g n o r
Lo mejor es comprar un disco duro externo e ir haciendo copias de seguridad (yo uso SyncBack). Flipo con lo que llega a hacer la gente para sacar dinero.
Con la tendencia actual de que todo esté en la nube y conectado, esto puede ir en auge. ¿Acabarán secuestrando también nuestra nevera, el televisor, el retrete, ...?
r080
Esto no se evita teniendo congelada la partición del SO? Es decir, los cambios que haga en el sistema se hacen "simulados" en otra parte del disco y se borran al apagar, a menos que también encripte lo que encuentre en otros discos duros y particiones que haya conectados y no congelados, no?
esebeto
La mejor medida de seguridad es no usar tu propio ordenador, sino el de un hermano, primo o amigo. Jejejeje!
ascodeinterfaz
Hace un año exactamente a través de terminal server me entró un señor muy amable en un Windows 2003 SBS, y me implantó la última variante del ACCDFISA. Todavia tengo mas de 75GB encriptados, no se para qué, ya que ni los de DR.Web (en principio dijeron que podían descifrar los archivos), eset, mcaffe, etc.. han podido hacer nada.
Lo utilizaba junto con el e-delete para borrar copias de seguridad.
En esta ocasión, el ransomware pedía 4000€
davidavila2
Lo mas recomendable es no descargar nada de paginas no confiables, ni instalar nada, si algo, ten un backup en un Disco Duro Externo o sincroniza datos en la nube...
Por cierto, en caso de que una persona pague, le dan la clave privada y las instrucciones? o no será mas bien una extorsión (empiezo a tocarte los cojones dando parte de la clave y cobrándote por otra parte, o diciéndote que hay que pagar mas para generarla)
ferchotin
Además , hay utilidades como SandBoxie que te permiten utilizar tu navegador de forma aislada del resto del S.O. ,de manera que ningún malware pueda descargarse e instalarse en tu PC.