Definición de seguridad
Ransomware es una palabra en inglés que significa literalmente programa de rescate, refiriéndose al pago que se debe hacer a un secuestrador para la liberación de su rehén. Así como su nombre lo indica, el ransomware es un programa malicioso que infecta tu computadora, bloquea el acceso, encripta tu información y muestra mensajes que exigen un pago para restablecer tu sistema. Este programa, utilizado para ganar dinero a costa de los demás, se puede instalar a través de enlaces engañosos incluidos en un mensaje de correo electrónico, algún mensaje instantáneo o sitio web no seguro. El ransomware tiene la capacidad de bloquear la pantalla de una computadora y cifrar archivos importantes con una contraseña desconocida para el usuario, la cual solo será accesible una vez que se realice el pago por el rescate del equipo.
Historia del ransomware
El primer caso de ransomware documentado por la historia estaba ligado de forma directa a la medicina: en el auge de la epidemia de SIDA, durante convenciones médicas, un biólogo de nombre Joseph Popp repartió al rededor de 20,000 discos de 3 1/2 los cuales, supuestamente, contenían información sobre la enfermedad; sin embargo era un troyano que cifraba (de manera débil) el contenido del disco duro, y pedía una cuota para salvarlo.
Décadas más tarde, comienzan los ataques con ransomware como los conocemos ahora: el primer programa malicioso de este tipo se llamó Archievus, en el 2005. Denunciado en Rusia por primera vez, éste contenía un mecanismo de cifrado asimétrico, el cual dificultaba el acceso a la información encriptada sin la clave. El siguiente gran programa de este tipo llegó en 2012, de nombre Reveton, el cual bloqueaba el equipo, mostrando un supuesto mensaje de la policía local, y no se liberaba hasta que se pagara una multa. Un año más tarde, en 2013, surge la familia más conocida de ransomware: los CryptoLocker. Éste bloqueaba archivos clave y, además, se replicaba en el equipo, lo que dificultaba su erradicación. Es el primero en pedir un pago en criptomonedas y en utilizar el navegador TOR para asegurar el anonimato de los criminales. Durante la segunda década de los 2000, surgen diversas amenazas, cada vez más complejas; sin embargo es en el 2016 donde surgen los programas de mayor alcance: comenzando con Petya y Mischa, los cuales cifraban tanto archivos como el disco completo, hasta el infame WannaCry, el cual paralizó a la industria logística, ocasionando pérdidas millonarias.
En últimas instancias, los ataques por ransomware han aumentado, debido al vuelco industrial que se ha dado, de manera forzada, a la nube. Al no contar con una estrategia de acción y un mecanismo planeado y formal, las vulnerabilidades que permiten el acceso de los programas maliciosos a un sistema de red han aumentado, pues la responsabilidad recae de forma directa en el usuario promedio. Expertos en Cibserseguridad de Kaspersky Labs, han podido descifrar datos secuestrados en algunos casos, pero admiten que esto no siempre es posible si el cifrado es muy potente, como en el caso de CryptoLocker. Es fundamental que los usuarios privados y las empresas realicen copias de seguridad periódicas de sus computadoras, para evitar la pérdida de datos importantes y que, al mismo tiempo, cuenten con un mecanismo de acción de Respuesta a Incidentes.
Ejemplos de ransomware
El scareware es el tipo de software malicioso más usado: utiliza tácticas de intimidación para hacer que las víctimas paguen y, como su nombre lo indica, asustar al usuario y hacerlo tomar una decisión precipitada. Este tipo de malware puede adoptar, por ejemplo, la forma de un programa antivirus que despliega diferentes brechas de seguridad, y el usuario debe efectuar un pago en línea para corregirlos. Existe scareware en muchas gamas, es decir, su nivel de ataque es variable, pues puede simplemente ser una herramienta que abruma a los usuarios con alertas y mensajes emergentes o, en casos más extremos, tomar control completo de la computadora.
Existe otro tipo de ransomware que se hace pasar por una fuerza de seguridad, como algún departamento de policía o gubernamental, y que fuerza al navegador a desplegar una página, aparentemente legítima. En ésta, aparece un mensaje que afirma que el usuario de la computadora fue atrapado realizando algo ilícito y, a continuación, los archivos se bloquean con cifrados complejos, difíciles de recuperar por los usuarios, a menos que paguen un rescate.
Independientemente de la situación, incluso si el usuario paga el rescate, no existe garantía de que volverá a acceder a lo secuestrado. Aunque algunos hackers indican a las víctimas que deben pagar a través de Bitcoin, MoneyPak u otros métodos de pago digital, usualmente criptomonedas, los atacantes también pueden exigir información bancaria para vulnerar aún más la seguridad del usuario y perpetrar ataques.
Prevención y eliminación
Los usuarios deben asegurarse que sus firewalls estén activados, contar con una protección antimalware adecuada, evitar visitar sitios web de dudosa reputación y tener cuidado cuando abran cualquier mensaje de correo electrónico sospechoso. Si eliges una solución de software antivirus certificado por normas de seguridad y provista por una empresa de prestigio, podrás proteger tu computadora contra las amenazas de ransomware más recientes y mas dañinas.
Así mismo, si sospechas que tu empresa o tu red es vulnerable o ha sido blanco de ataques, ¡contáctanos! Nordstern, en equipo con Kaspersky, ha formado el primer Centro de Respuesta a Incidentes en América, y el tercero en el mundo, donde te brindaremos asesoría altamente calificada y altamente especializada, adaptada a tus necesidades y a tu negocio. Es importante contar con un plan de acción ante amenazas que vulneran no solo tu negocio, sino la información y el bienestar de tus clientes. La Ciberseguridad es un tema de todos nosotros y, entre más demanda exista hacia las tecnologías de la información, es más necesario contar con un mecanismo para prevenir y resolver, de manera eficaz, los ataques.
