Guía básica sobre el ransomware y cómo protegerse

¿Qué tan preocupado debe estar por el ransomware?

Esta guía detalla todo lo que necesita saber sobre el ransomware, incluyendo cómo protegerse de un ataque de ransomware y cómo eliminarlo si acaba infectado.

Ciudad de México, México.- 28 de Febrero del 2018. Por Charlotte Empey. La ciberseguridad es un problema de envergadura en el mundo actual, tanto en el ámbito de la empresa como a nivel personal. Nuestros equipos, dispositivos portátiles, hogares inteligentes y aparatos conectados a Internet son vulnerables a diversos ataques. Solo en 2017, Avast bloqueó 35.000 millones de ataques de seguridad contra PC y 208 millones contra dispositivos móviles Android. ¿Cuál fue una de las mayores amenazas a la seguridad? El ransomware.

¿Qué es el ransomware?

El ransomware es un tipo de software malicioso (también denominado «malware») diseñado para secuestrar los archivos del equipo y, a veces, incluso el equipo entero. El malware cifra sus archivos para que no se puedan abrir o bloquea por completo el acceso del usuario al equipo, de modo que no pueda ver ninguno de sus preciados vídeos, fotos, archivos de contabilidad, documentos de trabajo, etc. Posteriormente, los atacantes que han enviado el malware contactan con el usuario para pedir un rescate y prometen descifrar los archivos tras el pago (exigido, a menudo, en bitcoins).

El ransomware no es algo nuevo. El primer ataque conocido se produjo en 1989 y se propagó de un equipo a otro por medio de un disquete. En el mundo de hoy, donde todo está conectado en red, el fácil acceso a programas de ransomware de código abierto y el gran potencial de beneficios económicos han impulsado la popularidad de este tipo de malware.

¿El ransomware es un virus?

La mayoría de nosotros conocemos el término «virus» y lo empleamos para referirnos a todos los tipos de malware. En realidad, un virus solo es uno de los muchos tipos de malware que existen. Otros tipos comunes son los gusanos, los troyanos, el spyware y el ransomware. Cada tipo de malware tiene una finalidad concreta. Los gusanos se replican y merman el rendimiento del equipo. Los virus se diseñan para infectar el equipo, provocar daños en los archivos y, posteriormente, propagarse a nuevos huéspedes. Los troyanos buscan una puerta trasera secreta para acceder al equipo y hacerse con su información personal. Las razones que llevan a los ciberdelincuentes a crear y distribuir estos tipos de malware son numerosas.

En el caso del ransomware, el motivo está muy claro: el atacante quiere dinero. En general, la finalidad no es dañar ni destruir los archivos para siempre. Ni siquiera se trata de robar su identidad, sino de convencerlo para que pague la clave de descifrado.

El ransomware en los PC

Cualquier persona puede ser blanco de un ataque de ransomware. Los ataques de ransomware más sonados de 2017 afectaron tanto a individuos como a empresas, entre las que se cuentan grandes corporaciones, hospitales, aeropuertos y organismos gubernamentales.

El PC sigue siendo el blanco más popular de los ataques de ransomware. Los hackers aprovechan las vulnerabilidades conocidas, especialmente en el sistema operativo Windows.

En mayo de 2017, el ransomware WannaCry (https://www.avast.com/es-es/c-wannacry) se extendió rápidamente por todo el planeta y llegó a atacar a más de 100 millones de usuarios.

WannaCry aprovechó EternalBlue, un punto débil conocido de Windows. Se trata de un error que permite a los hackers ejecutar código de forma remota mediante una solicitud de uso compartido de impresoras y archivos de Windows. Dos meses antes del ataque de WannaCry, Microsoft había publicado un parche para EternalBlue; por desgracia, hubo muchas personas y empresas que no instalaron la actualización a tiempo para evitar el ataque. El origen de EternalBlue lo hallamos en Windows XP, un sistema operativo para el que Microsoft ya no ofrece soporte, motivo por el cual sus usuarios fueron los más perjudicados por WannaCry.

El ransomware en los dispositivos móviles

Los ataques de ransomware en dispositivos móviles cada vez se producen con más frecuencia. Los ataques a dispositivos Android aumentaron un 50 por ciento entre 2016 y 2017. Con frecuencia, el ransomware se introduce en estos dispositivos a través de una aplicación descargada de una página de terceros. No obstante, también hemos visto casos en los que el ransomware se ocultaba dentro de aplicaciones aparentemente legítimas en Google Play Store.

El ransomware en los productos de Apple

Los fans de Apple tampoco se salvan. Antes, los usuarios de Mac se consideraban menos susceptibles a los ataques de malware. Sin embargo, el crecimiento de la cuota de mercado de los productos de Apple ha hecho que los desarrolladores de malware les presten más atención. En 2017, dos compañías de seguridad descubrieron unos programas de ransomware y spyware especialmente diseñados para atacar a los usuarios de Apple. Se cree que los desarrolladores eran ingenieros de software especializados en OS X. Además, los autores de este malware llegaron a ponerlo a disposición, de forma gratuita, en la web oscura. Los atacantes maliciosos también han accedido a las cuentas de iCloud de los usuarios de Mac y han usado el servicio Buscar mi iPhone para impedir que la gente pueda usar sus equipos.

Tipos de ransomware

El ransomware puede adoptar diversas formas. En todas ellas, el denominador común es la solicitud de un rescate. (En 2017, se registraron algunos casos de ataques a instituciones con un software parecido al ransomware, pero no parecía que hubiese un móvil económico. Es posible que se usara el ransomware para ocultar actividades de espionaje o algún otro tipo de ciberataque).

  • Malware criptográfico
    El tipo más habitual de ransomware es el criptográfico o de cifrado: este ransomware cifra los archivos. Se puede iniciar sesión en el equipo, pero los archivos no se pueden abrir. WannaCry es un excelente ejemplo de este tipo de ransomware.
  • Bloqueador
    El ransomware bloqueador bloquea totalmente su acceso al equipo y le impide hasta iniciar sesión. El ransomware Petya, que surgió en 2016 y regresó en 2017 con más sofisticación, cifra la tabla maestra de archivos del disco duro con el objeto de bloquear el equipo.

  • Doxware
    Doxware descarga una copia de sus archivos confidenciales en el equipo del atacante, que luego amenaza con publicarlos en Internet si no se paga el rescate. Imagine que alguien amenaza con publicar sus fotos o vídeos más personales en un sitio web público donde todo el mundo los pueda ver. El ransomware Ransoc usaba este método.
  • Scareware
    Scareware es un programa de software falso que asegura haber encontrado problemas en el equipo y solicita dinero para solucionarlos. Este tipo de ransomware puede llegar a inundar la pantalla con ventanas y mensajes de alerta o bloquear el equipo hasta que se pague.

Uno de los factores que más han contribuido a la popularización del ransomware es que es un tipo de malware que se encuentra fácilmente en la red y cualquiera que tenga malas intenciones lo puede usar. Avast ha observado que alrededor de un tercio de todas las variedades «nuevas» de ransomware proceden de una variedad existente de código abierto. Además, los hackers están actualizando continuamente el código para perfeccionar el ransomware y mejorar el cifrado, de modo que una variedad de ransomware puede resurgir varias veces, como es el caso de Petna.

Como el objetivo final del atacante es propagar el ransomware en el mayor número posible de ordenadores para conseguir más dinero, ha aparecido una táctica alternativa para pedir el rescate.

En el caso del ransomware Popcorn Time, el delincuente le pide a la víctima que infecte a otros dos usuarios. Si esos dos usuarios pagan el rescate, la primera víctima podrá recuperar sus archivos sin tener que pagar nada.

¿Cómo se infectan los dispositivos?

Lo más preocupante del ransomware es que, a diferencia de los virus, puede atacar los dispositivos sin que los usuarios hagan nada. En el caso de los virus, el usuario tiene que descargar un archivo infectado o hacer clic en un vínculo infectado, pero el ransomware puede infectar un equipo vulnerable por sí solo.

  • Kits de exploits – Los atacantes maliciosos desarrollan kits de exploits que contienen código ya escrito diseñado para aprovechar vulnerabilidades como EternalBlue, descrita arriba. Este tipo de ransomware puede infectar cualquier equipo conectado en red que tenga un software desactualizado. Un día, encendemos el equipo y ¡oh! Todos los archivos están bloqueados.
  • Ingeniería social – Otras formas de ransomware utilizan métodos ya comprobados para infectar los equipos. La ingeniería social (o phishing) hace referencia al acto de persuadir a alguien para que descargue malware desde un archivo adjunto o un vínculo web. Estos archivos suelen llegar en un correo electrónico que parece proceder de una fuente fiable, y el archivo adjunto o el vínculo se asemejan a un formulario de pedido, un comprobante, una factura o un aviso importante. Por su extensión, el archivo parece un PDF o un archivo de Excel o Word, pero, en realidad, es un archivo ejecutable enmascarado. El usuario lo descarga, hace clic en él y comienza la debacle. (Puede que no sea algo instantáneo. Algunos tipos de ransomware se diseñan para que se oculten en el equipo durante un tiempo determinado; de esta forma, es más difícil averiguar exactamente su origen).

  • Malvertising – El malvertising es otro método de infección por el cual el atacante utiliza una red publicitaria para distribuir el malware. El anuncio falso podría aparecer incluso en sitios web de confianza. Si el usuario hace clic en el vínculo del anuncio, el ransomware se descarga en su equipo.

Las descargas silenciosas guardan archivos maliciosos en el equipo sin ninguna acción directa por parte del usuario. Algunos sitios poco fiables aprovechan los navegadores y las aplicaciones desactualizados para descargar, de manera subrepticia, malware en su equipo cuando está navegando por Internet inocentemente. Sea cual sea el método por el que ransomware haya llegado al equipo, cuando el programa se ejecuta suele funcionar del modo siguiente: empieza a modificar archivos (o estructuras de archivos) de modo que solo se puedan volver a leer o usar restaurándolos a su estado original. Para proteger la comunicación entre el malware y el equipo de control (el que emplea el delincuente para manipular el PC de la víctima), se utiliza el cifrado. El cifrado alberga la clave capaz de descifrar los datos o recuperar la clave de descifrado necesaria para restablecer la forma original de los archivos o el sistema de archivos.

Cuando todos los archivos están bloqueados, en la pantalla aparece una nota de rescate en la que se indica el importe que debe abonar para descifrar los archivos, adónde o cómo transferir los fondos y cuánto tiempo tiene para hacerlo. Si no cumple el plazo, la suma aumenta. Si intenta abrir alguno de los archivos cifrados, aparece un mensaje de error donde pone que el archivo está dañado, no es válido o no se encuentra.

¿Cómo se elimina el ransomware?

El hecho en sí de eliminar el ransomware no es tan complicado. Si el atacante ha usado ransomware de cifrado y se puede acceder al equipo, puede ponerlo en el modo seguro (aquí explicamos cómo) y ejecutar un análisis antivirus para buscar y quitar el malware.

Si el ransomware empleado es el que bloquea el acceso al equipo por completo, existen tres opciones: puede reinstalar el sistema operativo; ejecutar un programa antivirus desde una unidad externa o un disco de arranque; o restaurar el sistema y restablecer Windows a un punto anterior a la infección por ransomware. A continuación, detallamos los pasos para restaurar el sistema en ordenadores con Windows.

Restaurar el sistema en Windows 7:

  • Cuando el PC se esté encendiendo, pulse F8 para abrir el menú Opciones de arranque avanzadas.
  • Elija Reparar el equipo y pulse Intro.
  • Inicie sesión con su nombre de usuario y contraseña de Windows. Si no tiene, puede dejar estas opciones en blanco.
  • Seleccione Restaurar sistema.

Restaurar el sistema en Windows 8, 8.1 o 10:

  • Cuando el PC se esté encendiendo, mantenga pulsada la tecla Mayús. Se abre la pantalla de recuperación (si no es así, reinicie).
  • Elija Solucionar problemas.
  • Vaya a Opciones avanzadas.
  • Seleccione Restaurar sistema.

En dispositivos Android, los pasos detallados a continuación sirven para eliminar el malware entrando en el modo seguro y desinstalando las aplicaciones sospechosas. Nota: Estos pasos pueden variar según el dispositivo.

Para eliminar el malware en un dispositivo Android:

  • Arranque el dispositivo en modo seguro. Mantenga pulsado el botón de encendido unos segundos hasta que se muestre un menú. Haga clic en Apagar. Se abre un cuadro de diálogo en el que aparece la opción de reiniciar el dispositivo en modo seguro. Selecciónela y después elija Aceptar. Si no funciona, apague el dispositivo y luego vuelva a encenderlo. Cuando esté activo, mantenga pulsada la tecla de encendido, la de inicio y la de volumen al mismo tiempo para ver la opción del modo seguro.
  • Desinstale las aplicaciones desconocidas y maliciosas o sospechosas. Cuando esté en el modo seguro, vaya a Ajustes. Haga clic en Aplicaciones o Administrador de aplicaciones (el nombre puede cambiar según el dispositivo). Busque las aplicaciones sospechosas que hemos mencionado y desinstálelas.

Aunque el ransomware ataca menos a los Mac, el procedimiento general es el mismo: entrar al modo seguro y eliminar el malware.

Cómo eliminar el malware en un dispositivo Mac:

  • Para reiniciar el Mac en modo seguro, inmediatamente después de oír el tono de encendido, mantenga pulsada la tecla Mayús. Cuando aparezca el logotipo de Apple, suelte la tecla Mayús. En la pantalla de arranque de Mac OS X aparece Arranque seguro.
  • Use un software antivirus para eliminar el malware.

¿Cómo se recuperan los archivos?

Por desgracia, eliminar el ransomware no significa que, de repente, se tenga acceso a todos los archivos cifrados. La facilidad o dificultad de recuperar los datos depende del nivel de cifrado. Si es un ransomware básico que usa un cifrado también básico, una de las herramientas de descifrado de ransomware gratuitas de Avast puede servirle. Si el equipo está infectado con un ransomware más sofisticado, como WannaCry, que usa cifrado, puede ser imposible recuperar los archivos bloqueados.

Puede que algunos lectores estén pensando que la mejor forma de recuperar los archivos es directamente pagar el rescate. Muchas personas lo hacen, y por eso el ransomware se ha convertido en una forma de malware tan popular. Si los ciberdelincuentes siguen llenándose los bolsillos, seguirán creando ransomware.

No obstante, nunca debe olvidar esto: no hay garantía de que el atacante cumpla su promesa de descifrar los archivos después del pago. Es posible que se quede con el dinero y desaparezca. También puede pasar que, si ve que la víctima está dispuesta a pagar, aumente enseguida el importe del rescate. Además, la predisposición a pagar nos puede convertir en blancos de otro ataque en el futuro.

Cabe destacar también que algunos tipos de ransomware tienen una codificación tan deficiente que, una vez que se cifran los archivos, ya no se pueden descifrar y se pierden para siempre. Es el caso de Petna, por ejemplo. Así que, aunque la víctima pague, puede que no recupere los archivos.

Protección contra ransomware: cómo impedir un ataque de ransomware

La mejor forma de enfrentarse a un ataque de ransomware es impedir que suceda. Para ello, siga las recomendaciones siguientes:

  1. Actualice el sistema operativo y las aplicaciones. Sí, ya sabemos que esos avisos de actualización del sistema de Windows pueden ser un poco molestos, pero no los ignore. (Tampoco debe ignorar las actualizaciones de los dispositivos móviles ni las de los aparatos conectados a Internet). Muchas actualizaciones del sistema contienen parches de seguridad, los cuales son fundamentales a la hora de garantizar la seguridad de los dispositivos. Si sigue usando un sistema operativo antiguo, como Windows XP, para el que Microsoft ya no ofrece soporte, es una víctima especialmente vulnerable a los ataques y debe tomarse en serio la cuestión de actualizar a un sistema operativo más reciente.También es importante actualizar el software del equipo, sobre todo los navegadores web y los complementos.
  2. Realice una copia de seguridad de los archivos. Es importante que realice copias de seguridad periódicas del sistema en un dispositivo externo, como un disco duro USB, una unidad NAS o el almacenamiento en la nube. Como mínimo, debería hacer una copia de seguridad de los archivos más importantes y valiosos para que estén protegidos frente al malware y los fallos del disco duro. Hoy en día, el almacenamiento cuesta muy poco y existen numerosas opciones, tanto de tipo USB como de tipo NAS. También hay muchos sistemas de almacenamiento en la nube gratuitos, como Dropbox, Google Drive, MEGA y OneDrive. 
  3. Use un software antivirus y manténgalo actualizado. Avast ofrece varios niveles de protección antivirus (¡Avast Free Antivirus es gratis!) que protegen a los usuarios del ransomware y otros tipos de malware. En el caso de los clientes empresariales, nuestro nuevo software para la protección de terminales de Avast Business ofrece una exhaustiva protección de datos, dispositivos e identidades de calidad comercial que se adapta a todo tipo de presupuestos. Para el canal informático, también la hemos integrado en los productos Managed Workplace y CloudCare. Así como los ciberdelincuentes están siempre puliendo su malware, Avast siempre está perfeccionando su software antivirus; por eso, es importante tener el software actualizado.
  4. Manténgase alerta ante las técnicas de manipulación de ingeniería social. Está de más decir que nunca hay que abrir archivos ni hacer clic en vínculos que procedan de fuentes desconocidas. Si recibe un correo electrónico con un archivo adjunto dudoso, bórrelo sin siquiera abrirlo. Si conoce al remitente del correo, puede hablar directamente con él y preguntarle si el archivo adjunto es de fiar. Recuerde estar atento también a los mensajes que lo invitan a hacer clic en vínculos que llevan a sitios web maliciosos; podrían estar en un correo electrónico, un mensaje de texto o incluso en las redes sociales. Cuando vaya a introducir datos personales, asegúrese al 100 % de que la página tiene habilitado el protocolo HTTPS. ¿Y esto cómo se sabe? Busque el símbolo del candado verde en el navegador: una indicación visual que garantiza que la página es segura.

 

===============
Acerca de Avast:

Avast Software (www.avast.com), líder global en productos de seguridad digital para consumidores y empresas, protege a más de 400 millones de personas en línea. Avast ofrece productos con las marcas Avast y AVG que protegen a los usuarios de amenazas en internet y el escenario de amenazas de Internet de las Cosas que está en constante evolución. La red de detección de amenazas de la empresa está entre las más avanzadas del mundo, y utiliza tecnologías de aprendizaje automático e inteligencia artificial para detectar y detener amenazas en tiempo real. Los productos de seguridad digital Avast para dispositivos móviles, PC o Mac están clasificados como los mejores y certificados por VB100, AV-Comparatives, AV-Test, OPSWAT, ICSA Labs, West Coast Labs, entre otros. Avast cuenta con el respaldo de CVC Capital Partners y Summit Partners, que son sociedades de inversión de capital privado líderes en el mundo.

[Avast en ASI]

Deja un comentario