Para utilizar las funcionalidades completas de este sitio, es necesario tener JavaScript habilitado. Aquí están las instrucciones para habilitar JavaScript en tu navegador web .

Ransomware, el secuestro de datos en la era digital

01 Noviembre, 2018 | Para defenderse de una amenaza primero se debe entender qué es, qué hace, cómo funciona y cuál es su objetivo. Ransomware es un software malicioso que restringe el acceso a determinados archivos del sistema infectado. Uno de los métodos más comunes de restricción es la encripción de datos u archivos completos. De esta manera, se pierde el control de toda la información y los datos almacenados. El objetivo de esta práctica es pedir un rescate monetario por medio de dinero virtual, como por ejemplo el Bitcoin. Normalmente un ransomware se transmite como un troyano o como un gusano, infectando el sistema operativo del afectado. Esto puede suceder al descargar un archivo, video o programa en el cual se haya ocultado o embedido la amenaza. Ataques Ransomware más conocidos Reveton: En 2012 se comenzó a distribuir un ransomware llamado “Reveton”. Estaba basado en el troyano Citadel, el cual estaba a su vez basado en el troyano Zeus. Su funcionamiento se basa en desplegar un mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al país donde reside la víctima.  Por este funcionamiento se lo comenzó a nombrar como “trojan cop”, o “policía troyano”, debido a que alegaba que el computador había sido utilizado para actividades ilícitas, tales como descargar software pirata o pornografía infantil. El troyano muestra una advertencia informando que el sistema fue bloqueado por infringir la ley y de ese modo deberá pagar una fianza para poder liberarlo. Para hacer creer a la víctima que su computador está siendo rastreado por la ley, se muestra la dirección IP del computador en pantalla, además se puede mostrar material de archivo y simular que la cámara web está filmando a la víctima. CryptoLocker: En septiembre de 2013 hizo su reaparición el ransomware basado en el cifrado de archivos también conocido como CryptoLocker, el cual genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se cifran archivos de un tipo de extensión específica. El virus elimina la clave privada a través del pago de un Bitcoin o un bono prepago en efectivo dentro de los tres días tras la infección. Debido al largo de la clave utilizada, se considera que es extremadamente difícil reparar la infección de un sistema. CryptoLocker y TorrentLocker: En septiembre de 2014, una ola de ransomware llegó a sus primeros objetivos en Australia, denominados “CryptoWall” y “CryptoLocker”. Las infecciones se propagaban a través de una cuenta de correo australiana falsa, la cual enviaba un correo electrónico notificando entregas fallidas de paquetes. De este modo, evitaba los filtros y conseguía llegar a los destinatarios. Esta variante requería que los usuarios ingresaran en una página web y, previa comprobación mediante un código capcha, accedieran a la misma, antes de que el malware fuese descargado. De esta manera, se evitó que procesos automáticos puedan escanear el malware en el correo o en los enlaces insertados. Symantec, determinó la aparición de nuevas variantes conocidas como CryptoLocker.F, el cual no tenía ninguna relación al original debido a sus diferencias en el funcionamiento. TorrentLocker es otro tipo de infección con un defecto, ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado pasó a ser trivial pero antes de descubrirse ya habían sido 9,000 los infectados en Australia y 11,700 en Turquía. CryptoWall: Es una variedad de ransomware que surgió a principios de 2014 bajo el nombre de CryptoDefense dirigida a los sistemas operativos Microsoft Windows. Se propaga a través del correo electrónico con suplantación de identidad, en el cual se utiliza software de explotación como fiesta o magnitud para tomar el control del sistema, cifrar archivos y así pedir el pago del rescate del computador. El rango de precios se encuentra entre los US $500 y US  $1000. En marzo 2014, José Vildoza, un programador argentino, desarrolló una herramienta para recuperar los archivos de las víctimas de manera gratuita. La recuperación de archivos fue posible gracias a una falla en el programa malicioso por el cual las claves de cifrado quedaban guardadas en el equipo afectado. Cuando los autores se percataron del error, actualizaron el criptovirus nombrándolo CryptoWall, pasando luego por distintas actualizaciones hasta llegar a la versión 3.0. CryptoWall 3.0 ha sido reportado desde enero de 2015 como una infección que surge donde hackers rusos se encuentran detrás de esta extorsión. TeslaCrypt: Es uno de los ransomware que se considera como eliminado ya que la clave maestra para el descifrado de los ficheros atacados es pública. Existe una herramienta gratuita de la empresa ESET que permite realizar este trabajo. Mamba: Un grupo de investigadores de seguridad de Brasil, llamado Morphus Labs, descubrió un nuevo ransomware de cifrado de disco completo (FDE - Full Disk Encryption) llamado “Mamba”. Utiliza una estrategia de cifrado a nivel de disco en lugar de uno basado en archivos convencionales. Para obtener la clave de descifrado, es necesario ponerse en contacto con alguien a través de la dirección de correo electrónico proporcionada. Sin eso, el sistema no arranca. Este ransomware se identificó el 7 de septiembre 2017 durante un procedimiento de respuesta a incidentes por parte de Renato Marinho, un experto en seguridad de Morphus laboratorios. Esta amenaza de malware utiliza el cifrado a nivel de disco que causa mucho más daño que los ataques basados en archivos individuales. Los desarrolladores criminales han utilizado el DiskCryptor para cifrar la información, una herramienta de código abierto. Se hizo una comparación con el virus Petya que también utiliza disco cifrado. Sin embargo, Petya cifra solamente la tabla maestra de archivos (MFT) con lo que no afectan a los datos en sí. WannaCry:  Es  un  ransomware  “activo”  que apareció el 12 de mayo de 2017 con origen en el arsenal estadounidense de malware Vault 7 revelado por WikiLeaks pocas semanas antes, el código malicioso ataca una vulnerabilidad descrita en el boletín MS17-010 en sistemas Windows que no estén actualizados de una manera adecuada. El ransomware cifra los datos y para poder recuperarse pide que se pague una cantidad determinada, en un tiempo determinado.  Si el pago no se hace en este periodo, el usuario no podrá tener acceso a los datos cifrados por la infección.  WannaCry  se ha ido expandiendo por Estados Unidos, China, Rusia, Italia, Taiwán, Reino Unido y España. Se señala que los sistemas operativos más vulnerables ante el ransomware son Windows Vista, Windows 7, Windows Server 2012, Windows 10 y Windows Server 2016.   Un ordenador infectado que se conecte a una red puede contagiar a otros dispositivos conectados a la misma, incluso a dispositivos móviles. A su inicio WannaCry cifra los archivos de la víctima de una manera muy rápida. Afortunadamente en la actualidad se pudo detener su expansión gracias a un programador de Reino Unido, autor del blog Malware TechBlog. Mitigación Al igual que ocurre con otras formas de malware, los programas de seguridad puede que no detecten la carga útil (payload) de un programa ransomware hasta que el cifrado de archivos está en proceso o ha concluido, especialmente si se distribuye una nueva versión. Si un ataque se detecta de manera temprana, se puede eliminar de manera sencilla sin darle tiempo de comenzar el proceso de cifrado. Expertos en seguridad informática han sugerido medidas preventivas para hacer frente al ransomware. Usar software o políticas de seguridad para bloquear cargas útiles conocidas ayudará a prevenir las infecciones, pero no protegerá contra cualquier ataque. Mantener copias de seguridad offline en lugares inaccesibles para el ordenador infectado, como por ejemplo discos duros externos, evita que el ransomware acceda a ellas, lo que ayuda a restaurar los datos en caso de infección. Sin embargo, la prevención puede requerir altos recursos financieros y humanos a nivel empresarial. Expertos en seguridad también han señalado que las pobres prácticas de administración de información es una causa importante del grave impacto de ransomware, y recomiendan entre otras medidas disminuir el uso de software pirata o no legal.