Día de la Seguridad de la Información: 2016, el año del Ransomware

1 Publicado en Seguridad

Ransomware2016 es el año en el que hemos visto cómo el Ransomware se convertía en la principal amenaza para los usuarios. Las infecciones por Ransomware están alcanzando índices de pandemia global, y la rápida monetización del ataque y rentabilidad obtenida indica que el fenómeno irá en aumento, cada vez será más difícil de contrarrestar, y los perfiles a los que irá dirigido serán de mayor nivel, llegando incluso a buscar la afectación de grandes corporaciones y gobiernos (como vaticinaba Mr. Robot).

Pero, ¿qué es el ransomware? ¿En qué afecta a los usuarios? La explicación parece casi tan antigua como la existencia de los ordenadores domésticos: Un virus que no permite al usuario acceder al sistema y/o sus archivos y que, y aquí radica su principal amenaza, nos solicita el pago de una cantidad a cambio de poder acceder (de aquí el término “ransom”, en inglés, secuestro). El precio de la restauración del acceso varía entre los 300 y los 1500€, y su pago no siempre garantiza la recuperación de los mismos.

La segunda derivada, los “cifradores”, implica dos cambios básicos e imprescindibles. Por un lado, la proliferación de las divisas virtuales (Bitcoin), permiten pagos de forma prácticamente indetectable, lo cual modifica de nuevo las reglas del juego y permite el repunte de este tipo de estafas. Por otro lado, en lugar de bloquear el acceso al equipo, que podría solucionarse eliminando el virus o, reinstalando el sistema operativo, el software malicioso se dedica a cifrar todos los archivos privados existentes en el equipo, que son únicos, y la reinstalación no permite recuperarlos. En el caso de cifrados lo suficientemente robustos, se convierte en técnicamente imposible la recuperación de la información sin que los delincuentes nos faciliten la operación.

Por último, desde 2014 se ha empezado a detectar la existencia e incremento constante de “cifradores” en dispositivos móviles con sistemas operativos Android, y su funcionamiento es muy similar al descrito anteriormente, dado que las aplicaciones que realizan este “secuestro”, cifran imágenes, vídeos, música y documentos existentes en el dispositivo.

Una cifra que ejemplifica la magnitud de la realidad que tratamos de exponer: el FBI estima en 206 millones de dólares las pérdidas ocasionadas por el ransomware en el primer trimestre de 2016.

¿Cómo puede atacarme un ransomware y qué puedo hacer para minimizar el impacto?

TECNOLOGÍA (33)_dchaUna vez hemos comprendido la amenaza a la que estamos expuestos como usuarios, así como el posible impacto de que nos infecte un virus del tipo Ransomware, nos preguntaremos, ¿cómo puedo infectarme?

Aunque existen multitud de métodos y variantes de los mismos por los cuales podemos infectarnos, el principal método de infección es a través de troyanos en páginas web malintencionadas o legítimas que han sido comprometidas por delincuentes con el único fin de contagiar a sus usuarios. Muchas veces no se detecta un comportamiento anómalo ni afecta a nuestra experiencia de navegación, simplemente se instala el virus en segundo plano pasando inadvertido para el usuario.

El segundo método más extendido de propagación se realiza mediante el envío de enlaces a webs comprometidas en correos masivos (spam), e incluso mensajería instantánea, redes sociales, e incluso al compartir ficheros en redes P2P (torrent, etc.).

Dentro de los ataques dirigidos en empresas, aunque como usuario esto es menos habitual, también se llevan ataques dirigidos a servidores explotando vulnerabilidades conocidas en el Protocolo de Acceso Remoto (RDP) que utilizan los administradores de sistemas para acceder a los servidores de las organizaciones.

Dado que hemos hablado del crecimiento de ataques detectados en dispositivos móviles, es importante conocer de qué forma puede introducirse un virus en nuestros dispositivos. La forma es similar, basada en engaños publicados en páginas web maliciosas, que hacen que el usuario acceda a copias de la Google Play Store con contenido malicioso, en las cuales el usuario acaba instalando una aplicación malintencionada que es la que ejecuta el “secuestro” del dispositivo.

Curiosamente, muchos de estos engaños se basan en hacer creer al usuario que tiene un virus en su dispositivo, y accede a descargarse un supuesto antivirus.

¿Qué puedo hacer para evitar ser infectado?

  • Entendiendo cómo funciona este tipo de programas y las formas más comunes para ser atacado, ¿qué se debe hacer para prevenir un ataque?
  • La realización de copias de backup de nuestros archivos de manera regular es el método sin duda más efectivo de combatirlos. Por desgracia, en la mayoría de casos la recuperación de los archivos o de los equipos afectados será imposible, de modo que poder recuperarlo mediante copias de seguridad es casi siempre la única vía posible.
  • Utilización de sistemas antivirus en los dispositivos. Como hemos visto, una de las vías más comunes es la ejecución de determinados archivos en nuestros equipos. Si se cuenta con un antivirus reconocido y actualizado, será más fácil repeler los ataques.
  • Para poder dar menos oportunidades a sufrir ataques de seguridad, tanto las aplicaciones como el sistema operativo de nuestro equipo deberán encontrarse actualizados a la última versión disponible y con todos los parches de seguridad instalados. Especialmente relevante el caso de los navegadores web (Chrome, Firefox, Internet Explorer, Safari… etc.), ya que en ocasiones las infecciones se producen al navegar por determinadas páginas web (bien porque este sea su propósito o bien porque hayan sido comprometidas previamente).
  • Utilizar el sentido común y como norma general, no confiar de sitios webs, archivos o links extraños o desconocidos. Si por ejemplo, nos llega un enlace a nuestro correo electrónico en relación a un pedido que no esperamos, no hacerle caso y ante la duda informarnos antes de darle. En muchas ocasiones, con una simple búsqueda en Google del asunto o del cuerpo del mensaje de correo electrónico puede ser suficiente para percatarnos de que lo que esperábamos fuese legítimo es en realidad una amenaza.
  • Tener habilitadas las extensiones de los archivos puede ayudarnos a identificar de mejor manera un intento de ataque. Si por ejemplo, en un correo electrónico esperamos recibir una imagen y sin embargo recibimos un fichero comprimido (un “.zip” por ejemplo) puede ser indicador de que algo no va bien.
  • Si tenemos la sospecha de que alguno de los archivos que hemos recibido recientemente puede tratarse de algún tipo de virus, lo primero de todo deberemos desconectar el equipo de la red. Ello mitigará el riesgo, especialmente en entornos empresariales, de que este se pueda expandir al resto de equipos de la red.

TECNOLOGÍA (19)_central

Seguridad de la Información, ¿qué hacer en caso de infección por ransomware?

Si por desgracia, no se han podido implementar lo controles citados anteriormente, y la infección se ha producido, ¿qué es lo que se debe de hacer entonces? En primer lugar, se recomienda no pagar el rescate pedido por los cibercriminales ya que haciéndolo no se garantiza la recuperación de los archivos y sin embargo se fomenta la realización de esta práctica criminal. Según estudios recientes de la empresa de antivirus Kaspersky, uno de cada tres usuarios paga por el rescate de sus archivos y aproximadamente un 20 % de los mismos no logra recuperarlos. En su lugar, y dependiendo de la magnitud del incidente, como primera acción se aconseja valorar la posibilidad de ponerlo en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado, especialmente si se consideran vulnerados ciertos derechos fundamentales o se pone de algún modo en riesgo la seguridad de las personas. En el particular de organismos públicos y empresas de interés estratégico para el país, esta comunicación debe canalizarse a través del CERT del Centro Criptológico Nacional, el cual es el organismo público dependiente del Centro Nacional de Inteligencia que tiene como misión velar por la seguridad de los sistemas de información en la administración pública.

Si tras ello se decide intentar recuperar los archivos, la forma de enfocar la “desinfección” de los mismos cambia respecto de un ataque por virus de otra naturaleza. En un escenario habitual de infección, los archivos quedan dañados o tienen un comportamiento diferente del esperado como consecuencia de la acción de un archivo malicioso. Para estos casos, ejecutar una aplicación antivirus tradicional puede solventar la mayoría de veces el problema, intentando volver los archivos a su estado anterior o eliminando directamente la amenaza. En el caso del Ramsomware, el problema es que los archivos no se han visto infectados sino cifrados, de modo que borrarlos o desinfectarlos no sirve. En este caso, la estrategia de recuperación debe de ser, primero la eliminación del archivo que produce el cifrado de los archivos en nuestro dispositivo y segundo la obtención de la clave, la llave, con la que han sido cifrados nuestros archivos.

Por suerte para nosotros, existen organismos y entidades privadas que trabajan activamente en esta tarea ofreciendo aplicaciones y recursos gratuitos que pueden servirnos para tal fin. Especialmente conocido en el mundo de la ciberseguridad es el proyecto “No More Ramsom”, liderado por la Europol y la unidad de crimen tecnológico de la policía holandesa en unión con alguna de las empresas privadas más importantes del sector. A través de esta organización, se ofrecen un conjunto de herramientas gratuitas que permiten descifrar los archivos atacados por una gran mayoría de Ramsomware, así como consejos o guías para abordar un incidente de esta naturaleza.

Bibliografía relacionada

Dado que el ransomware en dispositivos móviles es uno de los vectores en los que el crecimiento se prevé exponencial, si éstas interesado en conocer y explorar el mundo de la ciberseguridad en dispositivos móviles, te recomendamos a modo de bibliografía básica el libro ‘Mobile Hacking‘ de la editorial ANAYA donde se abordan éste tipo de cuestiones.

Colaboradores del artículo

Álvaro Trigo Martín de Vidales. Senior IT Security Analyst at MAPFREÁlvaro Trigo Martín de Vidales
Senior IT Security Analyst en MAPFRE
 
 
Ignacio Jiménez Pi. PCI DSS ISA and Senior IT Security Analyst at MAPFREIgnacio Jiménez Pi
PCI DSS ISA and Senior IT Security Analyst en MAPFRE

Etiquetas: Seguridad de la Información, Seguridad en Internet

Una respuesta a Día de la Seguridad de la Información: 2016, el año del Ransomware

  1. Un artículo interesante, talvez necesita una nueva versión actualizada, pero genial.

Deja un comentario en Día de la Seguridad de la Información: 2016, el año del Ransomware

Nos encantará conocer tu opinión, pero primero tenemos que indicarte que los comentarios están moderados, y no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos a los autores, a cualquier otro comentarista o la empresa propietaria de esta página. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades o suplantando a otros comentaristas. También, procura que tus opiniones estén relacionados con esta entrada. Los comentarios off-topic, promocionales, o que incumplan todas estas normas básicas serán eliminados.