¿Qué es ransomware?

Ransomware es un tipo de software malicioso que encripta los archivos en el ordenador infectado impidiendo al propietario que acceda a ellos. Al usuario del ordenador se le exige que pague dinero como rescate a cambio de la clave para desencriptar sus archivos, de ahí el nombre, ransomware (software de rescate). El valor a pagar por el rescate varía según a quien este destinado el ataque. En la mayoría de los casos, los hackers piden que el rescate se pague en criptomonedas como Bitcoin, para que las autoridades no los puedan rastrear. El ransomware normalmente se distribuye a través de emails de phishing que contienen enlaces a contenido dañino o archivos adjuntos peligrosos. Además, los usuarios pueden descargarlo sin saberlo cuando visitan páginas web infectadas que instalan software malicioso en su ordenador sin su consentimiento. Hoy en día, el ransomware también se distribuye a través de las redes sociales y aplicaciones de mensajería instantánea.

Si usted llega a instalar ransomware en su ordenador, este codificará sus archivos en cuestión de segundos, así que no tendrá mucho tiempo para reaccionar. Por lo general, verá una pantalla de inicio que le informará de la encriptación y le indicará las instrucciones para realizar el pago. Si su pantalla no está bloqueada, tal vez aún pueda ver sus archivos, pero al intentar abrirlos le saldrá un mensaje de error. Algunos tipos de ransomware también muestran logotipos del FBI o Interpol para asustar a la víctima y hacerla pensar que la policía está implicada. Este tipo de amenaza informática a lleva en circulación desde 1989, aun así, el ransomware todavía es muy nuevo y es escasamente investigado.

¿Cómo se puede infectar?

El ransomware puede infectar su computador de varias formas. Uno de los métodos más habituales es a través de spam malicioso, o malspam, estos son mensajes no solicitados que se utilizan para enviar malware a través del correo electrónico. El mensaje puede incluir archivos adjuntos, como PDF o documentos de Word. También puede contener enlaces a sitios web de poca reputación donde se recurre al engaño para descargar contenido malicioso.

El malspam usa ingeniería social para engañar a las personas con el fin de que abra archivos adjuntos o haga clic en vínculos que parecen legítimos, aparentando que proceden de una institución de confianza o de un amigo. Los cibercriminales emplean la ingeniería social en otros tipos de ataques de ransomware, por ejemplo, presentarse como el FBI para asustar a los usuarios y obligarles a pagar una suma de dinero por desbloquear los archivos.

Otro método de infección que alcanzó su rango máximo en 2016 fue la publicidad maliciosa, esta consiste en el uso de publicidad en línea para distribuir malware con poca interacción por parte del usuario o incluso ninguna. Mientras navegan por la web, incluso por sitios legítimos, los usuarios pueden ser conducidos a servidores delictivos sin necesidad de hacer clic en un anuncio. Estos servidores clasifican los detalles de los ordenadores de las víctimas y sus ubicaciones y, a continuación, seleccionan el malware más adecuado para enviarlo. Frecuentemente, ese malware es ransomware.

Regularmente la publicidad maliciosa usa un iframe infectado, también llamado elemento invisible de una página web, para hacer su trabajo. El iframe redirige a una página de aterrizaje de un exploit y el código malicioso ataca el sistema desde esta mediante un kit de exploits. Todo esto sucede sin el conocimiento del usuario, por lo que a menudo se conoce como ataque drive-by-download (por descarga oculta).

¿Cómo evitar el Ransomware?

Aunque existen métodos para tratar una infección con ransomware, en el mejor de los casos son soluciones imperfectas, y a menudo requieren unos conocimientos técnicos que el usuario de a pie no posee. Por tanto, estas son algunas recomendaciones fáciles de llevar a cabo para evitar las consecuencias de los ataques por ransomware:

• Se recomienda mantener el sistema operativo actualizado.
• Tener instalado un buen producto antivirus y mantenerlo siempre actualizado.
• No abrir correos electrónicos o archivos con remitentes desconocidos.
• Evitar navegar por páginas no seguras o con contenido no verificado.
• Si tu información es sensible, ten una copia de seguridad actualizada, es la mejor forma de evitar pérdida de información.

Tipos de ransomware

Basados en la manera de afectar la funcionabilidad de su ordenador, la mayoría de los programas de ransomware pertenecen a uno de estos tres tipos:

Scareware

Normalmente se disfraza de software antivirus, scareware utiliza ventanas emergentes para informar a la víctima sobre supuestos problemas encontrados en su ordenador. En lugar de exigir dinero directamente, el scareware presiona a las víctimas para que compren rápidamente un software antivirus falso, que reparará todos los problemas instantáneamente. Una vez instalado y pagado, sin embargo, el software actúa como malware y recopila la información personal de la víctima.

Otro posible comportamiento sería que podría recibir un mensaje emergente que le informa de que se ha detectado malware y que la única forma de librarse de él es pagar. Si no lo hace, seguramente continuará siendo bombardeado con mensajes emergentes, pero sus archivos están básicamente a salvo. Un programa de software legítimo de seguridad informática no se dirigiría a los clientes en esos términos. Además, si no tiene instalado un programa de esa compañía en el ordenador, esta no tiene por qué estar supervisándole para detectar una infección por ransomware. 

Bloqueadores de computador

También conocidos como ransomware bloqueador, los bloqueadores de computador impedirán el acceso a la interfaz de su máquina, por lo tanto, le impedirán que lo use. Si su ordenador está infectado con ransomware bloqueador, una pantalla de inicio con el mensaje del autor y las instrucciones para el pago aparecerán durante el arranque del sistema. El autor también puede intentar convencerle de que el rescate es una multa que le han puesto las fuerzas de la seguridad como el FBI por ejemplo.

Este tipo de ransomware generalmente solo impide el acceso a la interfaz de su computador y no afecta sus archivos o el sistema. Por lo tanto, tal vez pueda eliminar el ransomware y mantener todos sus archivos intactos.

Si se infecta con este malware al encender el ordenador aparecerá una ventana que ocupa toda la pantalla, a menudo acompañada de un emblema de aspecto oficial del FBI o del Departamento de Justicia de los Estados Unidos, que le indica que se han detectado actividades ilegales en su ordenador y que debe pagar una multa. Sin embargo, el FBI no actuaría nunca así ni le exigiría ningún pago por la realización de una actividad ilegal.

Ransomware de cifrado

El ransomware de cifrado puede ser considerado como el peor de todos. Este es el que le secuestra los archivos y los cifra, exigiendo un pago para volver a descifrarlos y devolvérselos. La razón por la que este tipo de ransomware es tan peligroso es porque una vez que los ciberdelincuentes se apoderan de los archivos, no hay ningún software de seguridad ni restauración del sistema capaz de devolvérselos. Si decide no pagar el rescate puede despedirse de sus archivos. E incluso si lo paga, no hay ninguna garantía de que los ciberdelincuentes le devuelvan los archivos.

Qué hago si ya me infecté de un ransomware

Departamentos de seguridad como el FBI aconsejan no pagar el rescate si se es víctima de una infección por ransomware. Todo lo que conseguiría sería animar a los ciberdelincuentes a lanzar ataques adicionales contra usted o contra otras personas. No obstante, es posible recuperar algunos archivos cifrados mediante desencriptadores gratuitos, pero no siempre son una garantía, no todas las familias de ransomware disponen de desencriptadores creados para ellas debido, en muchos casos, a que el ransomware usa algoritmos de cifrado avanzados y sofisticados. E incluso si existe un desencriptador, no está siempre claro que sea para la versión correcta del malware. Y no querrá cifrar aún más sus archivos usando el script de descifrado equivocado. Por tanto, debe prestar mucha atención al mensaje de rescate en sí, o incluso solicitar el consejo de un especialista en seguridad/TI antes de intentar nada.

También se puede hacer frente a una infección por ransomware si se descargar un producto de seguridad conocido para la desinfección y se ejecuta un análisis para eliminar la amenaza. Puede que no recupere todos sus archivos, pero puede estar seguro de que la infección se ha solucionado. En el caso del ransomware que bloquea las pantallas, puede que necesite realizar una restauración completa del sistema. Si eso no funciona, puede intentar ejecutar un análisis desde un CD de arranque o unidad USB.

Si planea intentar derrotar una infección por ransomware de cifrado, deberá permanecer especialmente atento. Si observa que el sistema se ralentiza sin ningún motivo aparente, apáguelo y desconéctelo de Internet. Si, una vez que lo encienda de nuevo, el malware sigue activo, no podrá enviar ni recibir instrucciones desde el servidor de comando y control. Eso significa que sin una clave o forma de obtener un pago, el malware permanecerá inactivo. Ese sería el escenario preciso para que descargue e instale un producto de seguridad con el cual pueda ejecutar un análisis completo. Por ultimo hay que mencionar que hay otras maneras más costosas en tiempo y recursos que se pueden emplear para recuperar los archivos después del ataque de un ransomware, que no todos son capaces de costear, lo mejor es ser cauteloso aplicar buenas prácticas de protección en la web y tener un buen sistema de seguridad/TI que lo respalde.