Ransomware, no todos los cifrados son buenos

RansomwareMe parece que se me había pasado comentaros pero…

Generalmente decidir cifrar un disco duro es razón de fiesta y jolgorio, ya que significa que te estas preocupando, de un modo u otro, de la seguridad de tu equipo. Esto impide, por ejemplo, que alguien se salte la autenticación de nuestro sistema operativo de forma trivial mediante un live USB y que acceda a todos los archivos personales. En cambio, cuando es un malware el que decide cifrar el disco sin previo aviso y pide un rescate para recuperar los datos del mismo, la historia toma tintes de novela de terror.

Este tipo de ataques se originaron en Rusia en 2005 con Gpcoder, pero no fue hasta 2012 que se empezaron a esparcir por todo el mundo hasta llegar al punto en el que el ransomware, que así se llama este tipo de malware, es uno de los métodos más utilizados a día de hoy por atacantes para lograr una financiación rápida. Aunque existen diferentes tipos de ransomware, como puede ser el basado en “bloquear” la pantalla, nos centraremos en analizar el que se dedica a cifrar archivos como si no hubiera un mañana.

El ransomware más famoso y prolífico sin lugar a duda ha sido CryptoLocker (Cryptographic Locker) que desde que apareció en 2013 no ha dejado de “trabajar duro” hasta la fecha. De todas formas, eso no significa que el código se haya mantenido puro todo ese tiempo, sino que se ha ido modificando para adaptarse mejor a los objetivos de cada una de las oleadas. Existen muchas otras variantes y familias que comparten su modus operandi, como pueden ser TeslaCrypt o CryptoWall, pero no han “triunfado” tanto porque recordad que el que da primero da dos veces.

Aunque normalmente los ransomware no suelen ser auto-replicantes, si pueden cifrar recursos compartidos que tengamos con otros equipos, dispositivos externos o incluso carpetas de almacenamiento en la nube, por tanto controlad el acceso a dichos archivos y tened en mente que realmente no solo nos jugamos nuestros datos sino que también dejamos los de otras personas en manos del azar.

El precio del rescate suele oscilar entre los 2 y 8 bitcoins, que actualmente en euros serían entre 400 y 1600 euros más o menos. Sí, habéis leído bien, los rescates se pagan en bitcoins y como no podía ser menos, a través de la deep web para mantener el anonimato y no ser pillados a la mínima de cambio. Muchas veces esto mismo es lo que hace que muchas personas no abonen los rescates aunque lo deseen con toda su alma, ya que una persona que tenga conocimientos básicos de informática puede tener complicado llegar a entregar el dinero. Personalmente recomiendo no liquidar los rescates ya que nadie te asegura i) que, metafóricamente hablando, no hayan tirado la llave al fondo del mar y ii) que en caso de tener la clave, tras el desembolso vayan a descifrar el disco. Pagando, también conviertes al ransomware en un modelo de negocio muy rentable, lo que finalmente conllevará una mayor expansión de este tipo de malware, con las consecuencias que esto acarrea para todo el mundo.

En algunos casos, siendo realistas bastantes pocos, es posible descifrar el equipo. Esto suele ocurrir porque esa variante no está muy bien diseñada y se puede llegar a explotar cierto bug o porque determinada casa antivirus/grupo policial ha conseguido algunas claves de descifrado, para una campaña de un ransomware especifico, en operaciones contra el cibercrimen.

El punto clave para que un ransomware no sea ese gran desastre que siempre recordéis, aparte de fortificar tu sistema y tener cierto sentido común al descargar cosas, es hacer copias de seguridad de forma periódica. Aunque parezca engorroso, realizar una copia incremental (solo copia los ficheros creados o modificados desde el backup previo) por USB 3.0 no lleva mucho tiempo y puede salvarte de muchos disgustos futuros. Ya sé que el tiempo no tiene precio, pero ¿y tus archivos?

El que avisa no es traidor.

Iskander Sanchez-Rola
Acerca de
Founder/Content Director
Expertise: Web Security and Privacy
iskander-sanchez-rola.com