Ransomware: paga o lo pierdes todo

Ransomware: paga o lo pierdes todo

Descubre por qué es tan peligroso... y tan antiguo como el ser humano

El ransomware -al menos su idea de fondo- es tan antiguo como el propio ser humano; como el Caballo de Troya y el timo de la estampita. Tampoco los medios informáticos que usa son especialmente novedosos, aunque sí muy efectivos y sofisticados. Sin embargo, el 71% de las empresas que son atacadas con ransomware acaban siendo infectadas.

El último ataque de estas características ha tenido éxito en más de 150 países. ¿Cómo es posible? ¿Es tan deficiente la seguridad informática? No, no lo es. La explicación es otra, tan sencilla como que al final, son personas las que hacen 'click'. Así que si eres confiado, ingenuo o avaricioso, permanece atento.

ransomware big data detectives caballo de Troya
Representación del caballo de Troya hallada en el Vaso de Mikonos (Museo Arqueológico de Mikonos, Grecia), datada en el siglo VII a. C.

¿Qué es el 'ransomware'?

Hace ya unos meses hablábamos en nuestro blog de detectives privados sobre investigación y seguridad digital. En aquella entrada analizábamos cómo el ransomware era la más grave amenaza para la seguridad digital particular y empresarial.

Por desgracia, esta semana un ataque informático a nivel mundial basado en 'ransomware' (del inglés 'ransom':rescate y 'software':programa informático) ha acaparado titulares de todo tipo. Su brutal éxito y su virulencia ha golpeado empresas y estructuras vitales como hospitales o administraciones, en España y en todo el mundo.

Básicamente, ahora mismo el ransomware está en boca de todos. Y es que, tras conocerse que importantes empresas españolas como Telefónica han sido sus víctimas, también  sabemos ya que la reproducción del virus WannaCry se ha desarrollado a escala mundial. De hecho, se puede catalogar de haber desencadenado uno de los mayores ataques ciberdelictivos conocidos.

ransomware ataque seguridad digital big data detectives privados
Imagen de archivo de un ataque basado en ransomware perteneciente a 2013. El virus avisa de la encriptación de los datos del equipo atacado, y de la destrucción de la clave personal de restaurado si no se paga el rescate antes de 72 horas.

¿Qué lo hace tan agresivo?

En realidad, su peligrosidad nace del hecho que, actualmente, los virus informáticos son increiblemente sofisticados. En un ataque basado en ransomware, el ordenador de la víctima acaba bloqueado, los datos cifrados a merced del ciberdelincuente, y un claro mensaje en la pantalla: paga o te lo borramos todo. Esto, extrapolado a toda una estructura empresarial, como la de una banco o un gigante de las telecomunicaciones, es un desastre absoluto. De hecho puede dejarla completamente fuera de servicio, y con todos sus datos fuera de juego si no se accede al chantaje: operaciones, clientes, transacciones comerciales, todo.

Es lo sucedido en Telefónica. Por seguridad y para detener la infección, hubo de apagar su sistema informático. Y no son 10 ordenadores y 4 impresoras, precisamente. Mientras no se estudió el ataque, y al no poder trabajar, se mandó a los empleados a sus casas. Es decir, K.O. técnico, directo, en el primer asalto.

Este tipo de ataques afecta a todo el mundo, particulares y empresas
Este tipo de ataques afecta a particulares y empresas, aunque los objetivos prioritarios son estas últimas, ya que poseen información muy valiosa por la que están dispuestos a pagar un rescate.

Investigaciones digitales: Big Data Detectives Privados

ransomware seguridad digital bitcoin big data detectives privados

Desde un punto de vista de los detectives privados, las herramientas informáticas son increíblemente útiles. Para nuestros clientes pueden brindar información clave en casos de investigación de infidelidades, custodias de menores, bajas laborales fingidas... En resumen, siempre que se requieren pruebas digitales para defender sus intereses.

Sin embargo, como todo invento, son un arma de doble filo. Un ejemplo de ese mal uso, en el mundo digital, son las promesas de servicios gratis. Esas estafas las encontramos en programas gratis para espiar whataspp, leer correos electrónicos, saber con quien se 'mensajea' mi pareja... También en aquellos, como el de Netflix comentado, que ofertaban acceso gratuito a servicios de pago.

El ser humano, Troya, y el timo de la estampita

Lo realmente nuevo es pedir un rescate por los datos, no destruir por destruir

Hace algunos años, los virus que podían infectar nuestro ordenador tenían la desagradable costumbre de mostrar un mensaje de que habíamos sido infectados; otros podían borrar datos. Sin embargo, los autores de aquellos programas maliciosos, hablando de dinero, no ganaban demasiado con sus infecciones.

En realidad, su éxito destruyendo información se lo cobraban en reputación y reconocimiento. Así, entre la comunidad informática, podían pavonearse por haber infectado esta o aquella red, o de haberse saltado con éxito éste o aquel sistema de seguridad. Por decirlo de algún modo, su tarjeta de visita era dejar destrucción a su paso. Algo así como un 'yo estuve aquí, fui más listo que tú y me lo salté todo'.

ransomware ataques seguridad digital big data detectives privados
Evolución de ataques ransomware hasta mediados 2015. En 2016 se estimaron en 1000 millones de € los beneficios de los ciberdelincuentes por este tipo de ataques.

De ganar reputación a ganar (muchísimo) dinero

La verdad es que tal manera de funcionar tenía poco sentido. Así que a algún listo con pocas o ninguna idea buena se le ocurrió una forma de hacer lo mismo, pero 'sacando tajada'.

De ese modo, pasaron de ganar notoriedad a ganar mucho dinero. ¿Cómo? Borrando y destruyendo igualmente, pero cobrando rescate por ello. Y es que el paga o te lo borro todo es mucho más lucrativo, dónde vamos a parar.

Así, pedir un rescate por la información contenida en el ordenador, la red o toda la empresa de la víctima es la última moda entre los ciberdelincuentes. Para qué vas a borrar datos gratis, si puedes cobrar por ello. Directamente, como en las mejores películas de ciencia ficción.

En resumidas cuentas, los ciberdelincuentes encontraron la manera de hacer lo mismo, pero con mucho más beneficio. En 2016, más de 1000 millones de €, directamente a sus bolsillos. De ellos, 325 millones de € sólo con una variante de virus especialmente agresiva.

El ransomware es original como el caballo de Troya...

Sin embargo, la idea del ransomware no es nueva. Su funcionamiento básico es el de un 'troyano': programa informático que tiene apariencia de una cosa, pero en realidad hace otra, infectar nuestro equipo. De esa falsa apariencia se vale para que lo descarguemos y lo ejecutemos. Y son tan antiguos como la historia misma: deben su nombre al famoso 'caballo de Troya'.

ransomware big data detectives seguridad informatica investigaciones digitales virus
Caballo de Troya (Çanakkale, Turquía)

Cuenta la Odisea de Omero que, los griegos, tras 10 años de batallas e intentar tomar sin éxito la ciudad fortificada de Troya, fingieron retirarse de la guerra. Como ofrenda para sus dioses, y a cambio de un retorno a salvo a Grecia, dejaron a las puertas de la ciudad al enorme caballo de madera.

La realidad era muy distinta a la apariencia, pues el gran caballo estaba hueco por dentro y en su interior se ocultaban los mejores soldados griegos, esperando el momento de atacar. En este caso, la vanidad de los troyanos, de la que eran conocedores sus enemigos, hizo que la estrategia funcionase.

Y así, estos, víctimas de su propio ego y su afición a contentar a los dioses, tomaron el caballo como ofrenda propia, y en señal de victoria, lo introdujeron en su ciudad invencible. Una vez dentro, los soldados griegos salieron del interior, abrieron las puertas de la ciudad inexpugnable durante una década, y Troya cayó para siempre.

... y tan antiguo como el timo de la estampita

En el timo de la estampita intervienen varios actores. Uno de ellos fingirá no ser consciente del valor del fajo de billetes falso que lleva entre las manos. Cuando la víctima muestra su más que interés por ese extraño hecho, el timador ofrecerá a la víctima cambiarlos por una cantidad de dinero muy inferior al supuesto valor real.

A mitad de actuación aparecerá otro actor, supuestamente ajeno al suceso, que ayudará a dar credibilidad al asunto. De hecho, este último se ofrecerá a quedarse él mismo con las 'estampitas' si la víctima no se decide. La presión de la situación, la habilidad de los timadores, la elección de la víctima adecuada y el propio afán de ésta de aprovecharse, a su vez, de la supuesta falta de conocimiento ajeno harán el resto. En resumidas cuentas, víctima de su propia codicia.

 

ransomware estampita ataque digital seguridad big data detectives privados
Si Tony Leblanc levantara la cabeza...

Sólo el año pasado, en Aragón, los timadores se embolsaron por este medio cerca de 126.000 euros, con una media por engaño de 4500€ por individuo engañado. Eso hacen muchas abuelitas con ganas de cambiar estampitas, ¿verdad?. La propia Policía Nacional asegura que no son pocas las ocasiones en las que la víctima acaba en el cajero, sacando miles de euros para entregárselos a los estafadores a cambio de un sobre lleno de papeles. Eso sí, no les obliga nadie a punta de navaja, caen solitos.

La estampita 'digital'

Pensabas que no había tantas abuelitas en el mundo dispuestas a conseguir duros a cuatro pesetas, ¿cierto? Pues resulta que sí las hay, y si lo trasladas al mundo digital, la cosa se multiplica. De hecho, en 2016, tan solo con el virus ransomware que se usó para la variante 'Netflix', los ciberdelincuentes se embolsaron 325millones de €.

En total, más de 1000 millones de € en 2016. Y esa cantidad es estimada, porque a nadie le gusta reconocer que ha sido víctima de un virus y menos que ha terminado pagando el rescate.

En ese caso, el ransomware se camuflaba bajo un generador de contraseñas gratis. La estrategia era clara: aprovecharse de la avaricia de la víctima, que pretendía conseguir gratis acceder a series y películas de pago.

Por supuesto, el resultado era otro, porque una vez ejecutado en el ordenador, de su interior salían en realidad los 'soldados griegos'. Y así, al final no había palomitas y 'pelis' gratis, sino el mensaje de 'paga (unos 300€) o te lo borramos todo'.

Así que, ¿quién es quién en realidad?

En el caso del timo de la estampita, la mayoría de las ocasiones las víctimas son ancianos de entre 75 y 85 años. Evidentemente, no lo eran los millones de usuarios que pretendían aprovecharse de conseguir contraseñas gratis para acceder a Netflix.

¿Acaso no saben tanto unos como otros realmente el valor de lo que les ofrecen y lo que dan a cambio? Desde un punto de vista legal, ni la codicia ni la avaricia son delitos. Pero sí es evidente que la víctima no lo es tanto, y pretendiendo aprovecharse de la situación, encuentra la horma de su zapato.

Y es que, aunque ser avaricioso o creerse muy listo no es delito, ser víctima de la propia codicia sí es fácilmente utilizable en nuestra contra.

No todo el mundo es tan malo: el 'phising'

Aprovecharse de la avaricia humana o el del amor por lo ajeno no es la única estrategia utilizada por los ciberdelincuentes. En realidad, en múltiples ocasiones, es tan sencillo como utilizar la confianza del usuario a su favor.

Así, el virus puede estar camuflado en un fichero adjunto, y llegar desde el e-mail de un amigo. También en un supuesto correo de nuestro banco en el que nos piden que hagamos 'click' para actualizar los datos. O en una factura desproporcionada que nos hace dudar, y ante el temor, consultamos el supuesto gasto. Básicamente, es la mezcla de la apariencia de verdad y confianza, de curiosidad, despreocupación o temor lo que nos hace caer.

phising endesa ransomware seguridad digital big data detectives privados
En ocasiones, es sencillo detectar el engaño, pero los trucos y artimañas de los delincuentes cada vez son más sofisticados. En especial, han mejorado mucho en las traducciones. Al final, a fuerza de enviar millones de esos correos a personas y organizaciones de todo el mundo, alguno cuela.

Últimamente se han conocido casos de phising con el acceso a cuentas de Google, intentando suplantar la identidad de casi todos los bancos conocidos, con facturas de empresas de telecomunicaciones, energéticas...  Por estadística, un día, algún usuario más ingenuo, despreocupado, o simplemente temeroso de lo que puede ocurrir si no abre ese fichero adjunto, hace click donde no debe.

¿Normas, yo? ¡Tururú!

Por último, siempre está quien se cree más listo que nadie, y se salta las normas 'a la torera'. Aunque en este caso sí depende mucho de lo bien que esté configurada la seguridad digital de la empresa. Y es que ese comportamiento humano también es tan antiguo como el existir.

Así que el virus que de repente bloquea todo el edificio puede venir del exterior, pero no a través de Internet. Puede entrar dentro de una memoria flash, o en un USB con las fotografías de las últimas vacaciones.

Claro que la infección tambien puede ser interna. Sin ir más lejos, alguien que accede a su correo electrónico privado desde el ordenador del trabajo y acaba guardando una descarga peligrosa donde no debe. O pudiera ser que la primera infección provenga de un smartphone de empresa, si estuviese infectado y conectado a la red interna.

ransomware virus normas a la torera
En su casa cada cual hace lo que quiere ... pero en el trabajo no suele ser buena idea saltarse 'a la torera' las normas corporativas sobre seguridad informática

¿Tiene preguntas? Tenemos respuestas. Para pruebas, Big Data detectives

consultas virus ransomware big data detectives privados en zaragoza(+34) 611 492 294

consultas@bigdatadetectives.es

La novedad del ransomware es el uso del bitcoin y la tecnología punta

El último ataque basado en ransomware utilizó algo que se conoce como 'exploit' en el argot informático. En este caso el virus aprovechó un fallo en el sistema operativo Windows. El hecho de no tenerlo actualizado permitió que el virus se multiplicara sin freno por todos los equipos conectados.

Por supuesto que eso no es nuevo en absoluto. Todos los días aparecen actualizaciones para programas que tenemos instalados en nuestro móvil, ordenador, etc. Pero en este caso concreto, la mayoría de máquinas no estaban actualizadas, y los creadores del virus lo sabían. Aprovecharon ese agujero de seguridad para esparcir la infección a 5000 (cinco mil) conexiones por minuto.

simbolo bitcoin ransomware investigacion digital big data detectives
Los bitcoins son dinero, y como tal, integradosen el sistema bancario desde 2010. Es un bien escaso, altamente divisible (8 decimales), denso en valor (una sola cartera digital puede contener millones de euros), fácil de almacenar y de transportar, durable, reconocible como tal con el software adecuado y resistente a falsificaciones.

El bitcoin como moneda de cambio

Lo realmente nuevo del ransomware, y tampoco lo es tanto, es la petición de rescate por los datos bloqueados. Así, es la propia evolución informática quien lo ha hecho posible.

Es un proceso similar a que los virus informáticos fueron posibles al aparecer los ordenadores. Por lo demás, el misterio de exigir el pago en bitcoins no es tanto, puesto que es la moneda digital por excelencia y más difícil de rastrear. 

De hecho, algunas características la hacen especialmente apetitosa. Por ejemplo, la posesión de la clave privada, que es el control sobre esta moneda. Además, la longitud de estas claves no es especialmente compleja. Basta con memorizarla o guardarla en una cartera electrónica.

Este detalle, junto con el hecho de que la dirección Bitcoin es un seudónimo y no refleja la identidad real de su propietario, hace que los bitcoins sean difíciles de confiscar, o de contener mediante técnicas de control de capital.

 

Y si esta última frase te acaba de sonar a 'la forma perfecta de que los delincuentas se cobren un trabajito'... bueno, tampoco te alejas tanto de la realidad.

grafica evolucion precio bitcoin tras ataque ransomware
Evolución del cambio 1 Bitcoin / 1 USD (dólar americano). Con los último ataques, el Bitcoin está cotizando alrededor de 1800$

Cómo actuar en caso de ataque

ransomware bitcoin seguridad informatica big data detectives privadosIntentar recuperar los datos cifrados: El Instituto Nacional de Ciberseguridad de España (INCIBE) , a través del CERT de Seguridad e Industria (CERTSI),  dispone de un servicio gratuito de análisis y descifrado para ciertos tipos de ransomware. Puede contactar con el servicio a través del correo incidencias@certsi.es.

No pagar por recuperar los archivos: La recomendación de organismos oficiales y expertos es no pagar el rescate. Y es que, a ciencia cierta, no existe garantía de recuperar los datos. Además, el ceder al chantaje puede llevar a ataques posteriores, o a que sigan pidiendo dinero tras el primer pago.

Desinfectar el ordenador y la red atacados: Se puede intentar eliminar la infección usando un antivirus auto-arrancable actualizado. Antes de ello, se recomienda realizar copia de la información, aún estando infectada. Esto es así puesto que es muy probable que el futuro aparezcan herramientas capaces de descifrar los datos bloqueados. También el clonado o copia es importante para interponer una denuncia. Los archivos serán necesarios para la investigación.

Definitivamente, el ransomware no es algo nuevo

Por eso decimos que el ransomware no es nuevo. Lo nuevo son los medios informáticos, muy hábilmente utilizados, y el hecho de pedir un rescate asociado a esos ataques.

En realidad, la trampa, engaño, timo, estafa... viene sucediendo desde hace mucho tiempo. Y como hemos visto, con variedad de programas y 'anzuelos'. En algunos de ellos, la víctima inocente lo es casi al 100%. El engaño se camufla de correo que se hace pasar por tu banco, de powerpoint divertidísimo que no te puedes perder, al seguir un enlace enviado por alguien en quien confías, un falso vale-regalo a canjear en Mercadona...

En otros casos, es obvio que la víctima cae por culpa de su propio peso. Bien por obtener contraseñas para los últimos juegos, conseguir gratis la música más actual o esa película recién estrenada. Y ya puestos, hacerse con un programa para espiar whatsapp, descubrir (ilegalmente) con quién chatea su pareja, pagar a un 'hacker' para que consiga las contraseñas de Facebook del noviete...

ransomware bitcoin seguridad informatica big data detectives privadosAsí que ya sabe: haga copia de seguridad periódicas, no se fie de las apariencias y ojo con los duros a cuatro pesetas. Los delincuentes no tienen escrúpulos... y caer en la trampa de uno mismo es tan antiguo como el ser humano.