Iniciamos una serie de artículos dedicado a la familia de software malicioso Ransomware, que se está extendiendo de forma muy alarmante y puede producir daños muy severos en equipos de particulares y en redes de empresas o administraciones públicas.

En esta primera entrega explicaremos en qué consiste y su gravedad. En las siguientes veremos mecanismos de prevención, estudiaremos sus variantes y finalmente trataremos algunas posibles soluciones para los casos en que el contagio ya es un hecho.

Eco en los medios de comunicación

La seguridad informática no es temática habitual fuera de los círculos de especialistas en la materia, sin embargo en los últimos meses los medios de comunicación generalistas se están haciendo eco de campañas e incidentes de seguridad que están afectando gravemente a personas particulares, empresas y administraciones públicas. Telediarios, programas sobre política y sociedad, así como matinales todoterreno como los programas presentados por Ana Rosa Quintana o Susanna Griso, han fijado su atención en unos hechos alarmantes que cada vez son más frecuentes.

La proximidad de algunas de las campañas realizadas por las mafias que explotan el Ransomware son tan llamativas como efectivas. Mensajes contaminantes simulando notificaciones de entrega de paquetes por parte de Correos, otros aparentando formar parte de la actual campaña de la Renta o el famosísimo “virus de la policía”, que causó estragos durante 2011 y 2012.

¿Qué efectos tiene un contagio de Ransomware?

Un malware de tipo Ransomware utiliza técnicas de cifrado para impedir el acceso a la información contenido en los archivos a sus legítimos propietarios. Una vez manipulados los archivos, el virus mostrará un mensaje pidiendo un rescate a cambio de su descifrado. Las cantidades solicitadas suelen ser de entre 100 y 300 €, relativamente pequeñas, para que así puedan ser asumidas por un particular.

Desde las primeras versiones de este tipo de malware hasta la actualidad, las técnicas que utilizan para el contagio y sobre todo para el cifrado de la información se han sofisticado enormemente. Así, en los primeros casos tras un contagio era posible solucionar el problema con cierta facilidad, revertiendo el cifrado, pero en la actualidad esto se ha vuelto muchísimo más complicado, al utilizar algoritmos avanzados de cifrado o combinando algoritmos simétricos y asimétricos, lo que en la práctica hace dificilísimo solucionar el problema por esa vía.

En los primeros virus de este tipo, los mensajes que se mostraban al usuario trataban de atemorizarle, amenazándole con desvelar algún secreto que afectara a su reputación. Por ejemplo, en el caso del “Virus de la Policía”, el mensaje aludía a la supuesta visita a páginas de contenidos pedófilos o ilegales. En otros casos también se señalaba el acceso a páginas pornográficas, de descargas de archivos protegidos por derechos de autor o de contenidos relacionados con el terrorismo. Con el paso del tiempo han dejado ese tipo de amenazas para ser mucho más directos: se han secuestrado los datos, se pide un rescate y se informa de la forma de pago.

Los tipos de archivos que “secuestran” son aquellos que los delincuentes confían en que son más apreciados por las personas: principalmente documentos ofimáticos y archivos de imágenes.

La elección se basa en las extensiones de los archivos y la lista de los tipos que se ven afectadas cada vez es más amplia, si bien los ataques hasta el momento están dirigidos principalmente al entorno particular. Ciertamente, un secuestro de documentos de procesadores de texto u hojas de cálculo puede tener terribles consecuencias para una organización, pero el día que opten por cifrar documentos de CAD/CAM, código fuente de aplicaciones, o código ya compilado y en ejecución, los efectos pueden ser catastróficos.

No se libran ni los móviles y tabletas, ni los servicios tipo Dropbox

El pasado verano, del año 2014, se detectó el primer Ransomware que actuaba en smarphones y tabletas. Se llamaba Simplocker, atacaba dispositivos Android y secuestraba fotos, videos y otros datos.

Se extendió principalmente por Rusia, Ucrania y varios países del este europeo, además de Estados Unidos, donde su grado de penetración también fue apreciable.

Para propagarse utilizó “stores” no oficiales y páginas de pornografía.

Por otra parte, servicios como Dropbox tampoco están a salvo. Porque las últimas generaciones de malware tipo Ransomware son capaces de detectar los clientes instalados en el PC de este tipo de servicios, para así cifrar la copia local de los datos o bien acceder al contenido remoto y proceder a su secuestro.

Los delincuentes han aprendido a ocultar su rastro

El primer malware tipo Ransomware que alcanzó la fama de forma masiva fue el ya citado “Virus de la Policía”. Sus creadores eran un grupo de delincuentes ucranianos, aunque distribuidos por varios países, que había logrado un virus que se adaptaba automáticamente a la nacionalidad de cada víctima, para mostrarle un mensaje supuestamente enviado por las fuerzas y cuerpos de seguridad de su país.

Desarticular el entramo fue muy complicado, pero finalmente resultó posible. En otoño de 2013 se fueron sucediendo las noticias de la caída de los implicados en sus diferentes ramas, de la tecnológica a la económica, incluyendo detenciones en España.

Las cifras de dinero que llegó a manejar aquel grupo fueron espectaculares. Según la web oficial de la Policía Nacional de España, en una nota de prensa publicada el 27 de septiembre de 2013: “Detenidos en Madrid dos expertos informáticos ucranianos que vendían el acceso a los servidores de más de 21.000 empresas de 80 países, más de 1.500 de ellas en España (…) Este sofisticado entramado blanqueaba 10.000€ diarios a través de diferentes sistemas de pago electrónico y divisas virtuales”.

Los nuevos sistemas de pago les sirven a este tipo de delincuentes para recibir sus cobros y dificultar su localización. Inicialmente solicitaban transferencias, el adquirir tarjetas prepago u otras artimañas similares, apoyadas en rutas para el dinero llenas de saltos intermedios hasta que lo recibían. Pero hoy la fórmula preferida para ellos es utilizar Bitcoins: son muy fáciles de adquirir por la persona estafada y muy difíciles de perseguir por las fuerzas de seguridad.

Además están sacando partido al empleo de la red Tor y a estrategias basadas en el P2P, para que sea mucho más complicado seguirles el rastro persiguiendo IPs o conexiones a servidores de “mando y control”.

El caso IFEMA

Aunque no existen datos públicos sobre el número de particulares, empresas o administraciones públicas afectadas, presumiblemente es muy alto, por el carácter masivo de las campañas y por que de tanto en tanto salta algún caso particular a la prensa.

Uno de los más recientes y llamativos es el caso IFEMA, del que se hicieron eco varios periódicos de tirada nacional. Entre ellos el diario El País, que publicó un artículo el 16 de marzo de 2015 explicando lo acontecido.

Bastó con que un solo empleado picara en la campaña de emails que simulaban ser notificaciones de Correos para que en menos de un minuto se cifraran 400.000 archivos, lo que puso a toda la organización en jaque y bloqueo su actividad casi en su totalidad.

La Directora de Sistemas Informáticos lo explicaba así en ese artículo. “Afectó a varios departamentos, como compras o gestión, pero no llegó al área de clientes, que es mucho más sensible. Estos datos estaban en otro servidor ajeno al de ese empleado”.

Para solucionar el incidente pidieron ayuda a la Unidad de Investigación Tecnológica de la Policía Nacional (UIT) y gracias a que tenían unas buenas políticas de copias de respaldo pudieran salvar el incidente sin consecuencias traumáticas.

Uno de los subtitulares del artículo indicaba: “La Policía Nacional logró el código para acabar con el ataque en solo cuatro días”. Este periodo de tiempo, “solo cuatro días”, para muchas organizaciones que vean mermada significativamente o incluso bloqueada su actividad, puede significar un perjuicio muy grande.

Se puede consultar la noticia en: http://ccaa.elpais.com/ccaa/2015/03/13/madrid/1426272342_374007.html

Entregas de la serie de artículos sobre Ransomware:

– “Ransomware, parte I – El negocio del secuestro digital“.

– “Ransomware, parte II – Contagio y prevención”.

– “Ransomware, parte III – Principales variantes”.

– “Ransomware, parte IV – Estrategias y técnicas para afrontar situaciones de desastre”.

Post By Florián Manuel Pérez Sánchez (64 Posts)

Me apasiona la tecnología, pero también el arte y el periodismo. Tres ámbitos aparentemente dispares pero que a lo largo de mi vida se han ido entrelazando con naturalidad. Soy Ingeniero en Informática, he administrado redes y dirigido proyectos informáticos bastante diversos, también he colaborado con un montón de revistas, he hecho radio, escrito dos libros y publicado un disco (con el grupo Soul Dealers, del que fui compositor y productor musical). Actualmente trabajo en ciberseguridad y en mi tiempo libre disfruto dirigiendo La Factoría del Ritmo (la web de información musical pionera en español, que lleva en activo desde 1995: www.lafactoriadelritmo.com ), escribiendo en las revistas Rockdelux y Hip Hop Life (con una sección fija en la que analizo tecnología aplicada a la creación musical), y aprendiendo diseño gráfico y composición musical. También me encanta participar en iniciativas tan frescas como este blog.

Website: → La Factoría del Ritmo

Connect

Ciberseguridad, Ransomware