Ransomware: el secuestro de datos

Vivimos en un mundo cada vez más conectado y la tendencia indica que el número de dispositivos conectados será cada vez mayor. Esto nos proporciona indudables ventajas, puesto que nos permite el desarrollo de tecnologías como el Internet of Things, pero también tiene sus inconvenientes, siendo el principal de ellos la vulnerabilidad de los sistemas, ya que el riesgo de sufrir un ataque informático es más elevado. En este sentido, cada vez son más comunes los ataques mediante virus de tipo ransomware.

Qué es un ataque ransomware

El ransomware es un tipo de malware que se infiltra en un equipo o sistema y bloquea su contenido, pidiendo a continuación un rescate para que el usuario pueda recuperar el acceso al sistema o a la información. Este tipo de ataque puede afectar a cualquiera, ya sea un usuario particular o una gran empresa, trabaje en entornos Windows o MacOS, e incluso Android. Como hemos visto en los últimos meses, con los ataques a algunas de las compañías más importantes de nuestro país, nadie está totalmente a salvo de sufrir un ataque de estas características.

Los primeros ataques con ransomware empezaron a verse en los años 80, exigiendo el pago del rescate por correo postal. En la actualidad, el rescate suele pedirse a través de bitcoins, ya que se trata de criptodivisas muy difíciles de rastrear, o también de plataformas como Paypal. Algunos de los ransomware más –tristemente– conocidos son el Cryptolocker, activo entre 2013 o 2014; el Crytpowall, que surgió a principios de 2014 y se propagaba a través del correo electrónico con suplantación de identidad, o el Wannacry, que en mayo de 2017 saltó a la actualidad tras afectar a más de 100.000 equipos a nivel mundial.

En la mayoría de los casos, su objetivo no es acceder a la información, sino que se trata de un lucrativo negocio cuyo fin es obtener dinero del rescate. De hecho, los datos normalmente no llegan a salir del equipo en el que se encuentran, sino que el propietario de la información, simplemente no puede acceder a ella. Sin embargo, sus efectos pueden ser devastadores, especialmente en el caso de empresas de pequeño y mediano tamaño. Se estima que en torno al 60% de las pymes, tras sufrir un ataque con ransomware, puede desaparecer antes de un año.

Cómo funciona el ransomware

El código malicioso suele llegar al usuario camuflado en contenido aparentemente atractivo, que invita a hacer clic en él: un adjunto en un correo electrónico, incluyendo archivos en Word o Excel; un vídeo; una supuesta actualización del sistema; descargas gratuitas de programas en principio fiables; publicidad maliciosa…

Una vez el ransomware ha llegado al equipo, se infiltra en él y procede a encriptar todos los archivos con una clave compleja que solo el ciberdelincuente conoce. Generalmente, cuando el usuario se dispone a acceder al sistema, se encuentra con una pantalla que le informa de que el equipo ha sido infectado, y le proporciona las instrucciones para desbloquearlo. Estas instrucciones suelen consistir en una (o varias) direcciones de correo electrónico con las que el usuario tiene que contactar y a través de la cual se le indicará cómo hacer el pago del rescate.

Cómo prevenir un ataque ransomware

Lo cierto es que es casi imposible estar protegido completamente. Sin embargo, sí existen una serie de medidas que pueden ayudar a que este tipo de malware no se propague y a minimizar sus efectos:

• Realizar todas las actualizaciones que el sistema nos solicite.
• Disponer de un antivirus de calidad y mantenerlo correctamente actualizado.
• Formar a los usuarios en un uso responsable del correo electrónico y de los dispositivos de almacenamiento de datos: regular el uso de memorias usb, no abrir correos electrónicos de procedencia desconocida, no abrir adjuntos no solicitados, alertar ante correos con estética o redacción extrañas…
• Ser responsables también en lo relativo al acceso a páginas web: no acceder a páginas desconocidas, no descargar ejecutables que no sabemos qué van a hacer, evitar acceder a direcciones acortadas, utilizar VPN…
• Repasar las opciones de seguridad en los navegadores. Si desactivamos los plug-in de Java o Flash, nos pedirán permiso antes de actuar.
• Y la más importante: contar con copias de seguridad de todos los documentos offline.

Mi equipo ha sido infectado por un ransomware, ¿puedo solucionarlo?

Si un ataque ransomware se detecta de forma temprana, antes de que los archivos hayan sido cifrados, puede solucionarse. Sin embargo, si lo descubrimos una vez que el cifrado esté en proceso o haya concluido, es prácticamente imposible revertirlo. Aunque existen algunas aplicaciones que pueden ayudar a desencriptar los archivos, también es cierto que los ciberdelincuentes saben lo que se hacen y que utilizan claves privadas imposibles de averiguar. En estos casos, la mejor solución es restaurar el sistema y recuperar los archivos gracias a la copia de seguridad.

Si no disponemos de copia de seguridad, otra opción, evidentemente, es pagar el rescate. Sin embargo, no recomendamos sucumbir al chantaje. Por una parte, pagar no garantiza que vayamos a recuperar la información y, por otra, en el caso poco probable de que exista un método de descifrado de los archivos, esto implicaría que los atacantes son expertos en lo que hacen y que, dado que ya han conseguido acceder una vez a nuestro sistema, probablemente vuelvan a intentarlo de nuevo pronto. Por último, una consideración ética: pagar supone subvencionar al cibercrimen.

Para tener bien protegidos nuestros datos y evitar sustos, es importante disponer de un buen antivirus y de la infraestructura necesaria para poder realizar copias de seguridad con garantías. En GDX Group disponemos de expertos en consultoría IT, que pueden ayudarte a tener bien protegidos los archivos de tu empresa. Además, nuestros consultores especialistas en Protección de Datos también pueden proporcionarte el asesoramiento necesario para garantizar la seguridad de la información.