Quizás el título que lleva el siguiente artículo sea algo llamativo pero lo cierto es que estamos ante un negocio que queda a la mano de los hackers y las empresas que puedan estar detrás de ellos, pero antes de continuar, sigamos con algunos conceptos previos.
¿Qué es el Ransomware?…
Ransomware (del inglés «ransom» – rescate, y «ware» – software) es un tipo de malware que impide total o parcialmente el acceso al ordenador o a los archivos de un usuario, y pide un rescate para poder recuperarlos. Para entender mejor el concepto, quizás debamos diferenciarlo de los existentes:
Virus: fue el primer término acuñado a finales de los años 80, cuando empezaban a aparecer y a distribuirse estas amenazas. El término virus viene dado por su característica similar a la de un virus biológico, que necesita un huésped para insertar su ADN y seguir extendiéndose. Normalmente, un virus infecta hasta el último archivo del sistema dejando este inutilizable para el usuario.
Troyano: es un programa que se hace pasar por otro legítimo y que, una vez el usuario lo instala, permite al atacante tomar el control del equipo víctima. Normalmente este tipo de software malicioso es utilizado para instalar otro software de control como keyloggers, puertas traseras o ejecutar exploits que tomen el control del sistema.
Worms: también conocidos como gusanos informáticos. Su objetivo es extenderse por todos los archivos del sistema una vez la víctima ha sido infectada. También se caracterizan por su habilidad para extenderse a través de email, memorias USB, discos duros externos y cualquier dispositivo de almacenamiento. Un worm afecta directamente al rendimiento del PC o de la red llegando a ser imposible trabajar con ello.
Keyloggers: un keylogger se encarga de registrar todas las pulsaciones del teclado y se las envía al atacante con el fin de robar contraseñas y datos personales de las víctimas.
Dialers: a los dialers se les consideran prácticamente extintos. Cuándo se utilizaba el acceso a internet a través de la línea RTB, estos programas se encargaban de mandar al módem llamar a números de pago, lo que suponía un aumento exponencial en la factura de teléfono. Con las líneas ADSL ya no tienen ningún efecto y mucho menos si hablásemos de la fibra óptica.
Backdoors: las backdoors o puertas traseras son unas líneas de código que los desarrolladores introducen en los programas para permitir un control remoto de estos. Normalmente es una parte de código existente en los troyanos desde los que se puede acceder al sistema desde un equipo remoto.
Exploits: los exploits son programas que permiten “explotar” los fallos o vulnerabilidades de los diferentes programas. Con ellos, los atacantes pueden llegar a tomar hasta el control del sistema.
Spyware: este tipo de malware se encarga de recopilar una serie de datos, sin consentimiento del usuario y del equipo, para su posterior envío a los atacantes.
Adware: la función del adware es mostrar un sin fin de ventanas de publicidad al usuario. Por lo general no realiza ningún tipo de daño al sistema ni a los datos de este. Existen muchas aplicaciones hoy día gratuitas que incluyen Adware y que son totalmente inofensivas o molestas, en cambio, otras dan lugar a un sin fin de ventanas tipo popup que pueden llegar a ser tremendamente molestas.
Rootkit: un rootkit consta de varios elementos que otorgan el acceso al sistema de un atacante. Normalmente se esconden para no ser detectados bajo la apariencia y el nombre de proceso de diferentes programas. Un rootkit normalmente es utilizado a través de un exploit o un troyano.
Rogue / Scareware: también conocidos como «falsos antivirus«. Estas aplicaciones se instalan en el sistema y muestran una serie de falsos avisos y amenazas pidiendo a la víctima que compre un software para poder desinfectar el equipo. Por lo general suelen ser bastante complicados de desinstalar y causan problemas de rendimiento, haciendo creer al usuario que verdaderamente su equipo está infestado.
Ransomware: este tipo de malware está muy de moda y son considerados muy pelligrosos. Se encarga de cifrar el contenido completo del equipo de la víctima, bloquea el ordenador y le solicita un pago para descifrarlo y poder volver a usar el sistema.
El Ransomware no es como un virus que se propaga de un ordenador a otro, hay que instalarlo manual o automáticamente, mediante un engaño de la víctima. Se camufla dentro de un programa con un gancho muy apetecible para hacer que el usuario lo instale o entre en contacto con él de forma voluntaria. Por ejemplo: un email con una supuesta factura, un juego, una web para ver vídeos, un programa para descargar películas o juegos… Incluso se hace pasar por un antivirus o herramientas que aceleran la velocidad de funcionamiento de tu PC. También se camufla como actualizaciones del sistema Windows o de Adobe Flash o se cuela automáticamente, por ejemplo al entrar en ciertas webs de dudosa reputación o al abrir ciertos emails con ficheros adjuntos o enlaces, incluso cuando se adjuntan imágenes a los mismos.
¿Por qué hoy día el Ransomware es un modelo de negocio lucrativo?
La respuesta es sencilla, los objetivos del Ransomware y de sus creadores (hackers o empresas que contratan a éstos para crearlos) saben que encriptando la información y eliminando la que posiblemente se pueda recuperar tras el encriptado será necesaria la clave para poder desencriptar el contenido del disco duro del ordenador u ordenadores afectados, por lo que ponen un precio para obtener la herramienta y clave de desencriptado.
Son muchos, tanto usuarios como empresas que tras el chantaje ceden y pagan, lo cual ha contribuido enormemente y de forma masiva a que los cibercriminales sigan obteniendo provecho de ello.
¿Quiénes se lucran gracias al Ransomware?
Principalmente los denominados «crackers», los cuales, sus intenciones son maliciosas, seguido de las empresas que los contratan (pudiendo ser hackers que se dejan llevar por el círculo vicioso) y luego en la base tenemos a las empresas de Antivirus, AntiMalware, AntiSpyware, etc…, las cuales se lucran vendiendo sus productos de defensa. Pero aquí no acaba la cosa. En Internet existen otras empresas que se dedican a recuperar datos y he visto muchas que aseguran poder desencriptar cualquier tipo de Ransomware (por un mínimo de 250€), algo que verdaderamente llama la atención. ¿Quién asegura que las mismas no han formado parte en el proceso de creación del Ransomware?
Asegurando nuestros datos…
Todos, tanto usuarios como PYMES, podemos ser víctimas del Ransomware, víctimas del engaño mediante el empleo de la «Ingeniería Social». Quedarnos sin acceso a nuestra información puede suponer un verdadero problema y una amenaza para la continuidad del negocio.
Existen muchas variantes hoy día de Ransomware, entre las más conocidas se encuentran CryptoLocker, Locky, TeslaCrypt y CTB-Locker, siendo la más actual Troldesh. Todos operan de la misma forma, emplean ficheros adjuntos con extensión .EXE y suplantan la identidad de documentos como Word, PDF, archivos de imagen, etc. En España, por ejemplo, CryptoLocker se dio a conocer por el envío de emails que simulaban provenir de Correos, Endesa u otras empresas de prestigio, ni los Bancos escaparon de la suplantación.
La mejor forma de defensa para el Ransomware, a parte de disponer de las indispensables herramientas que permitan detectarlo es, sin lugar a dudas, disponer de copias de seguridad de nuestras bases de datos más importantes, así como copias clonadas de nuestros discos duros y lógicamente tenerlas repartidas fuera del equipo en el cual se encuentren.
¡Recuerda!, las herramientas de detección no son la solución, son simplemente ayudas necesarias.
