{"id":947,"date":"2018-02-15T23:56:01","date_gmt":"2018-02-16T04:56:01","guid":{"rendered":"http:\/\/www.itechsas.com\/blog\/?p=947"},"modified":"2022-09-24T18:03:37","modified_gmt":"2022-09-24T23:03:37","slug":"todo-sobre-ransomware","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/malware\/todo-sobre-ransomware\/","title":{"rendered":"Todo sobre Ransomware"},"content":{"rendered":"

Gu\u00eda b\u00e1sica y preguntas frecuentes<\/strong><\/h1>\n

En vista de los recientes casos de secuestros de archivos que ocurrieron, y comenzando a pensar que se tratan de una nueva tendencia en aumento, hemos decidido responder algunas preguntas b\u00e1sicas y repasar algunos ataques para entender mejor de qu\u00e9 se trata y ayudarte a saber todo sobre\u00a0ransomware<\/em><\/a>.<\/p>\n

\u00bfQu\u00e9 es el ransomware?<\/h2>\n

El\u00a0ransomware<\/em>\u00a0(secuestro de informaci\u00f3n<\/strong>) es el t\u00e9rmino gen\u00e9rico para referirse a todo tipo de\u00a0software<\/em>\u00a0malicioso que le exige al usuario del equipo el pago de un rescate.<\/p>\n

<\/h2>\n

\u00bfDe qu\u00e9 forma puede infectarse mi equipo con un\u00a0ransomware<\/em>\u00a0como Cryptolocker?<\/h2>\n

Un m\u00e9todo t\u00edpico de infecci\u00f3n es abrir el archivo adjunto de un correo electr\u00f3nico no solicitado o hacer clic en un v\u00ednculo que asegura provenir del banco o de una empresa de mensajer\u00eda. Tambi\u00e9n encontramos versiones de Cryptolocker que se distribuyeron a trav\u00e9s de redes\u00a0peer-to-peer<\/em>\u00a0(P2P) para compartir archivos, haci\u00e9ndose pasar por claves de activaci\u00f3n para programas populares de\u00a0software<\/em>\u00a0como Adobe Photoshop y Microsoft Office<\/strong>.<\/p>\n

Si el equipo se infecta, Cryptolocker busca una amplia gama de tipos de archivos para cifrar y, una vez que termin\u00f3 el trabajo sucio, muestra un mensaje donde exige que hagas una transferencia electr\u00f3nica para descifrar los archivos, como se ve a continuaci\u00f3n:<\/p>\n

En algunos casos, la pantalla de bloqueo tambi\u00e9n incluye la transmisi\u00f3n en vivo de lo que la c\u00e1mara\u00a0web<\/em>\u00a0del equipo est\u00e1 viendo en ese momento, como muestra la siguiente captura:<\/p>\n

\"ransomware\"<\/a><\/p>\n

Es inquietante verse inesperadamente a uno mismo sentado frente al equipo, y puede ayudar a\u00a0hacerles creer a los usuarios con menos conocimientos t\u00e9cnicos que realmente est\u00e1n siendo observados por las autoridades.<\/strong><\/p>\n

El scareware, \u00bfqu\u00e9 es?<\/h2>\n

El\u00a0scareware<\/em>\u00a0(programas intimidatorios) es un\u00a0software<\/em>\u00a0que intenta\u00a0asustarte y enga\u00f1arte para que tomes un curso de acci\u00f3n<\/strong>\u00a0determinado. El m\u00e1s com\u00fan es el que se hace pasar por un producto antivirus que muestra una advertencia sobre problemas de seguridad presentes en el equipo o\u00a0smartphone,<\/em>\u00a0en un intento de enga\u00f1arte para que les pagues a los estafadores o para que sigas descargando m\u00e1s c\u00f3digos peligrosos desde la red.<\/p>\n

En algunos casos, el falso antivirus se presenta bajo el nombre de una empresa de seguridad genuina con el objetivo de que se incremente la cantidad de personas que caen en el enga\u00f1o y toman una mala decisi\u00f3n. Observemos la siguiente imagen:<\/p>\n

 <\/p>\n

\"scareware\"<\/a><\/p>\n

Al igual que el<\/strong>\u00a0<\/strong>ransomware<\/strong><\/em>, el<\/strong>\u00a0<\/strong>scareware<\/strong><\/em>\u00a0<\/strong>puede estar escrito para cualquier sistema operativo.<\/strong>\u00a0Ir\u00f3nicamente, algunas instancias del tipo falso antivirus tienen una interfaz de usuario mucho m\u00e1s impactante que la del producto leg\u00edtimo que est\u00e1n tratando de imitar.<\/p>\n

En el caso de algunos tipos de\u00a0scareware<\/em>\u00a0con desarrollo m\u00e1s siniestro, cuando no logran asustarte para que hagas una compra insensata, recurren a t\u00e1cticas de\u00a0ransomware<\/em>\u00a0y exigen el pago de una suma bajo una amenaza m\u00e1s evidente.<\/p>\n

\u00bfQu\u00e9 pasa si mi equipo se infecta con\u00a0ransomware<\/em>\u00a0y no quiero pagar el rescate?<\/h2>\n

En la mayor\u00eda de los ataques, hay una fecha l\u00edmite para realizar el pago: si no pagas a tiempo, podr\u00edas perder el acceso a los archivos en forma permanente.<\/p>\n

\u00bfY la gente termina pagando el rescate?<\/h2>\n

S\u00ed. En muchos casos lo pagan. Imagina qu\u00e9 pasar\u00eda si no tuvieras una copia de seguridad (backup<\/em>) verificada desde la cual pudieras restaurar tus archivos confidenciales o corporativos\u2026 probablemente termines pensando que vale la pena gastar algunos d\u00f3lares para recuperar el acceso a los datos.<\/p>\n

A los usuarios corporativos quiz\u00e1s no les preocupe demasiado el\u00a0malware<\/em>\u00a0de pantalla de bloqueo; despu\u00e9s de todo, con suerte tienen copias de seguridad y acceso a otros equipos de\u00a0hardware<\/em>. Pero es f\u00e1cil imaginar a los usuarios dom\u00e9sticos, intimidados por las falsas amenazas de la polic\u00eda o la menci\u00f3n de im\u00e1genes de abuso a menores, finalmente pagando el rescate en vez de llevar el equipo a la tienda local de reparaci\u00f3n de computadoras.<\/p>\n

Al pagar el rescate, \u00bfse descifran los datos?<\/h2>\n

S\u00ed, en general se restaura el acceso a los datos. Si pensamos en ello, los criminales tienen un buen sentido com\u00fan comercial. Si se corriera la voz de que los atacantes no mantienen su lado del acuerdo, la gente nunca pagar\u00eda el rescate.<\/p>\n

No obstante, el pago del rescate no significa que vas a estar fuera de peligro. Los criminales\u00a0pueden dejar<\/strong>\u00a0<\/strong>malware<\/strong><\/em>\u00a0<\/strong>en el equipo<\/strong>\u00a0y ahora saben que eres el tipo de persona dispuesta a pagar dinero en efectivo para recuperar el acceso al equipo o a los datos. En resumen, podr\u00edas volver a ser el objetivo de otro ataque futuro.<\/p>\n

Entonces, si soy v\u00edctima de un ataque de\u00a0ransomware<\/em>, \u00bftendr\u00eda que pagar el rescate?<\/h2>\n

No lo recomendamos. Recuerda: no hay forma de evitar que los atacantes te exijan el pago de m\u00e1s dinero. Si pagas el rescate est\u00e1s ayudando a crear un nuevo mercado para los cibercriminales, lo que puede conducir a m\u00e1s ataques cibern\u00e9ticos de\u00a0ransomware<\/em>\u00a0y de otros tipos en el futuro.<\/p>\n

En lugar de pagar, aprende la lecci\u00f3n: obt\u00e9n una mejor protecci\u00f3n y aseg\u00farate de llevar a cabo un r\u00e9gimen apropiado de creaci\u00f3n de copias de seguridad para recuperar tus archivos esenciales en caso de tener la mala suerte de que te vuelvan a atacar.<\/p>\n

\u00bfMi antivirus no puede simplemente quitar la infecci\u00f3n de\u00a0ransomware<\/em>?<\/h2>\n

S\u00ed, en la mayor\u00eda de los casos, un buen\u00a0software<\/em>\u00a0de seguridad tendr\u00eda que ser capaz de quitar el\u00a0ransomware<\/em>\u00a0del equipo. Pero ah\u00ed no se termina el problema, porque\u00a0si era un<\/strong>\u00a0<\/strong>filecoder<\/strong><\/em>, los archivos seguir\u00e1n cifrados.<\/strong>\u00a0El\u00a0software<\/em>\u00a0de seguridad puede llegar a descifrar la informaci\u00f3n confidencial si se utiliz\u00f3 un\u00a0filecoder<\/em>\u00a0b\u00e1sico en el ataque, pero los archivos que fueron atacados por un tipo m\u00e1s sofisticado de\u00a0ransomware<\/em>\u00a0como Cryptolocker son imposibles de descifrar sin la clave correcta.<\/p>\n

Por eso, la mejor medicina es la prevenci\u00f3n.<\/p>\n

Entonces, \u00bflos\u00a0filecoders<\/em>\u00a0que cifran tus archivos confidenciales son peores que el\u00a0malware<\/em>\u00a0de pantalla de bloqueo?<\/h2>\n

S\u00ed. En la mayor\u00eda de las situaciones, la recuperaci\u00f3n es m\u00e1s dif\u00edcil en ataques de\u00a0ransomware<\/em>\u00a0de cifrado de archivos que en otros tipos. Sin embargo, si tienes una copia de seguridad que no fue alcanzada por el ataque, no ser\u00e1 muy dif\u00edcil volver a dejar todo listo y funcionando r\u00e1pidamente.<\/p>\n

Para ser franco, el peor tipo de\u00a0malware<\/em>\u00a0siempre es el que infect\u00f3 tu equipo.<\/p>\n

\u00bfLa cantidad de\u00a0ransomware<\/em>\u00a0de tipo filecoder va en aumento?<\/h2>\n

Probablemente ya hayas adivinado la respuesta a esta pregunta\u2026 s\u00ed. Los investigadores de ESET est\u00e1n encontrando cada vez m\u00e1s cantidad de\u00a0malware<\/em>\u00a0de cifrado de archivos y durante el \u00faltimo a\u00f1o el crecimiento fue constante.<\/p>\n

\u00bfQu\u00e9 sistemas operativos fueron el objetivo?<\/h2>\n

En teor\u00eda, no hay nada que detenga a los cibercriminales para escribir\u00a0ransomware<\/em>\u00a0dirigido a cualquier sistema operativo, pero la mayor\u00eda de los ataques fueron dirigidos a usuarios de Windows. Cryptolocker, por ejemplo, solo se encontr\u00f3 para esa plataforma.<\/p>\n

No obstante, hace poco, los investigadores de ESET detectaron a\u00a0Android\/Simplocker<\/a>, el primer troyano de cifrado de archivos que\u00a0les exige a los usuarios de Android el pago de un\u00a0rescate mediante un centro de control oculto en la red de anonimato Tor.<\/strong><\/p>\n

Est\u00e1 claro que las cosas se est\u00e1n poniendo cada vez m\u00e1s sofisticadas en el mundo del\u00a0ransomware<\/em>, incluso para\u00a0smartphones<\/em>.<\/p>\n

\u00bfEs decir que los\u00a0smartphones<\/em>\u00a0tambi\u00e9n podr\u00edan estar en riesgo?<\/h2>\n

Correcto. Sin duda, la amenaza de\u00a0malware<\/em>\u00a0es mucho menor en dispositivos iOS (incluso los liberados) que en Android. Recuerda que hace poco publicamos una gu\u00eda que explica\u00a0c\u00f3mo mantener tu dispositivo Android a salvo del\u00a0ransomware<\/em><\/a>.<\/p>\n

Si bien la implementaci\u00f3n del cifrado en casos como Simplocker es bastante tosca comparada con otros malware para PC como Cryptolocker, puede igualmente destruir archivos. Lo \u00fanico que no debes hacer es pagar, recomienda Lipovsk\u00fd: \u201cEl malware es capaz de cifrar los archivos de un usuario, los cuales se podr\u00edan perder si la llave de descifrado no es prove\u00edda. Si bien posee la capacidad de descifrar los archivos, recomendamos no hacer el pago \u2013 no s\u00f3lo porque esto motivar\u00eda a otros cibercriminales a continuar con este tipo de operaciones, sino tambi\u00e9n porque no hay garant\u00eda de que el atacante cumpla su parte del trato y realmente devuelva los archivos\u201d.<\/p>\n

Recomendaciones:<\/strong><\/h2>\n

A ra\u00edz de los acontecimientos del ransomware propagado el viernes pasado (WannaCry) el cual aprovecha una vulnerabilidad de carpetas compartidas (que por cierto la NSA aprovechaba hasta que el grupo ShadowBrokers los puso en evidencia), el Instituto Nacional de Ciberseguridad de espa\u00f1a (Incibe) realiza las siguientes recomendaciones para evitar ser afectado:<\/p>\n

\u00bfEl de cifrado de archivos es el \u00fanico tipo de ransomware?<\/h2>\n

No, tambi\u00e9n existe el\u00a0ransomware<\/em>\u00a0de pantalla de bloqueo, que bloquea el equipo e impide que lo uses hasta haber pagado el rescate. Este\u00a0malware<\/em>\u00a0a veces usa trucos psicol\u00f3gicos para enga\u00f1arte y apresurarte a pagar.<\/p>\n

Por ejemplo, a veces, el mensaje de la pantalla de bloqueo se hace pasar por un aviso de la fuerza de polic\u00eda nacional donde se indica que las autoridades demandan el pago de una multa porque encontraron en tu equipo im\u00e1genes de abuso a menores o de zoofilia, evidencia de haber visitado sitios\u00a0web<\/em>\u00a0ilegales, o\u00a0software<\/em>\u00a0pirata.<\/p>\n


\nReveton<\/a>\u00a0es una de las familias encontradas con mayor frecuencia del tipo de\u00a0ransomware<\/em>\u00a0que bloquea los equipos de los usuarios y muestra un mensaje supuestamente proveniente de las autoridades.<\/p>\n