Ransomware: el virus que secuestra información

Escrito por Marcos Montero en 2017-05-04T14:01:56Z

Topics: Technical Security Office


Ransomware es un tipo de ataque informático que combina la mecánica habitual de los virus informáticos (infección del ordenador mediante el acceso a algún recurso aparentemente inofensivo) con técnicas criminales habituales en casos de secuestro (petición de rescate para la devolución del contenido de los ficheros, coacción, rehenes, tiempo límite, etc.).

En este artículo explicaremos cómo suele actuar este malware, algunos casos famosos de este tipo de ataques y también recomendaciones sobre qué hacer si desafortunadamente sufrimos uno de ellos.

Si lo prefieres, puedes escuchar el podcast de nuestra sección (minuto 44:00) del programa de radio l'Altra Ràdio (Ràdio 4, RNE) del pasado 6 de abril, en el que tratábamos este tema.

 

Cómo funcionan los ataques ransomware

El ransomware suele aparecer como cualquier otro tipo de virus informático: recibimos un mensaje de correo electrónico con un fichero adjunto aparentemente inofensivo. En este caso, al abrirlo nos instala un programa que se dedica a encriptar los ficheros de todos los discos conectados a nuestro ordenador.

Una vez que el virus ha encriptado nuestros ficheros, cuando intentamos acceder a alguno de ellos se nos muestra un mensaje que nos pide un rescate en bitcoins con una fecha límite, igual que si se tratara de un secuestro. En general, el virus suele ofrecer dos períodos de pago: uno inicial con descuento y otro posterior en el que ya suele pedirse el doble de dinero. Y el pago del rescate lo solicita en bitcoins para garantizar que la transacción sea anónima e irrastreable.

El importe de los rescates solicitados suele ser bajo, entre 500 y 1.000 €, porque de esa forma es mucho más fácil convencer a la víctima de que pague. Se trata de un esfuerzo económico asumible que la víctima estará dispuesta a hacer por recuperar una información que merezca la pena.

Si llega la fecha final y no hemos pagado, el virus elimina la clave usada para encriptar nuestros ficheros y de este modo perdemos el acceso a su contenido para siempre.

Los ficheros son cifrados con un sistema de clave pública de gran complejidad, que hace extremadamente costoso (imposible para un particular) intentar descifrarlos por “fuerza bruta”.

Los virus ransomware más famosos son CryptoLocker y Mamba. El FBI dice que se producen más de 4.000 ataques diarios de este tipo. 

 

Algunos ejemplos de ataques ransomware

Un hospital de Los Angeles tuvo los ficheros de todos sus historiales médicos encriptados y pagó 17.000 dólares como rescate. Se trata de un caso que destaca por el elevado importe pagado, a consecuencia de la importancia y sensibilidad de los datos que fueron secuestrados.

En enero de este año 2017, un hotel en Austria fue atacado y los hackers impidieron el acceso a sus habitaciones y bloquearon su sistema de reservas. Se trataba de un hotel de lujo en los Alpes, en temporada alta, con clientes que habían pagado mucho dinero por unas habitaciones con grandes comodidades, pero a las que no podían entrar y disfrutar de ellas al llegar de esquiar. En ese caso, la fecha límite para el primer pago era el mismo día por la noche. Evidentemente, el hotel pagó el rescate.

Aparentemente, nadie puede librarse del riesgo del ransomware. Incluso hay casos en que la misma policía se ha visto afectada. Durante el año 2016, varios departamentos de sheriff en localidades pequeñas de EUA fueron infectados por ransomware. El condado de Lincoln, en Maine, perdió el acceso a todos sus expedientes  y… pagó el rescate pese al famoso “no negociamos con terroristas”.

Por otro lado, Durham, New Hampshire y Collinsville, Alabama, también fueron infectados, pero no pagaron el rescate y no pudieron recuperar el contenido de sus ficheros.

Aparte del problema del rescate de los ficheros, en casos como estos se plantean problemas adicionales: si alguien bloquea los ficheros de la policía o un juzgado, una vez recuperados pueden generarse dudas razonables sobre si estos ficheros (evidencias en procesos criminales o judiciales) pueden haber sido alterados durante su manipulación y, por tanto, perder validez en la causa.

 

Recomendaciones ante la amenaza ransomware

Si sufrimos un ataque de ransomware podemos ponernos en contacto con el CERTSI (CERT de Seguridad e Industria del Ministerio de Energía, Turismo y Agenda Digital). El CERTSI ya ha sido capaz de encontrar métodos para descifrar los ficheros infectados con algunos de estos virus, como por ejemplo el CryptoLocker, aunque el éxito depende mucho de cada caso.

La mayor recomendación ante este tipo de amenazas es siempre disponer de una copia de seguridad de nuestros ficheros importantes almacenada externamente o, igual que hizo el hotel de Austria, volver a utilizar llaves tradicionales en lugar de cerraduras electrónicas.