¿Qué es el ransomware y cómo evitarlo?

Según la empresa de seguridad informática S21sec, España es el segundo país del mundo en donde se producen más ciberataques, sólo superado por Estados Unidos.

El 22% de todos los ataques ocasionados por el malware bancario se llevan a cabo en España, frente al 5% de Alemania o el 1% de Rusia.

El fabricante de antivirus Kaspersky también asegura que el software malicioso se ha triplicado en los últimos seis meses. De entre todos los tipos de software maligno que circulan por Internet, el ransomware es uno de los más problemáticos, por la tensión que genera en sus víctimas.

El ransomware crea una falsa amenaza en el ordenador para intentar sacarle el dinero a su dueño. Bloquea el equipo, bien encriptando el disco duro o tomando el control de los archivos del sistema, y muestra un mensaje indicando que un hay un potente virus, o bien que la policía ha detectado que tienes pornografía infantil, programas piratas, o música descargada. Para hacer más efectiva la amenaza, incluso muestra fotos pornográficas que no se pueden quitar, lo cual podría ponerte en un aprieto. Utilizando el miedo o la vergüenza, incita a la víctima a pagar una cantidad de dinero enviando un SMS de alto coste o ingresando una cantidad en una cuenta anónima.

En muchos casos, aunque pagues no te devolverán el control del ordenador, y tendrás que formatearlo. Según Symantec, casi el 3% de las personas que sufren la infección, acaban pagando. Teniendo en cuenta que se ha detectado más de medio millón de infecciones de determinados ransomware, con chantajes que van desde los 10 a los 100 euros, es fácil calcular el beneficio...

Así funciona el ransomware

La clave para evitar ser infectados por este tipo de malware, es conocer cómo actúa exactamente este tipo de amenaza. Así sabrás cómo eludirlo, o cómo reaccionar si ha conseguido superar las barreras de tu ordenador. El ciclo de vida del ransomware se compone de varios pasos:

Infección

Este tipo de malware no puede considerarse un virus, porque no se propaga de un ordenador a otro. Hay que instalarlo manual o automáticamente, mediante un engaño de la víctima. El ransomware se camufla dentro de un programa con un gancho muy apetecible para hacer que la víctima lo instale o entre en contacto con él de forma voluntaria. Por ejemplo, un juego erótico, una web para ver vídeos, un programa para descargar películas o juegos... Incluso se hace pasar por un antivirus o herramientas que aceleran la velocidad de funcionamiento de tu PC.

A veces se camuflan como actualizaciones del sistema Windows o de Adobe Flash, o incluso como codecs para poder ver ciertos vídeos. De esta forma la víctima piensa que está instalando un antivirus o una actualización de Windows.

Hay casos en los que se cuela automáticamente, por ejemplo al entrar en ciertas webs de dudosa reputación o al abrir ciertos emails con ficheros adjuntos o enlaces, pero eso sólo suele ocurrir si no tienes el navegador o el propio Windows actualizado.

El chantaje

Una vez ha penetrado en el ordenador, el malware se activa, produciendo un bloqueo del sistema operativo. Entonces en pantalla aparecerá un mensaje con la amenaza y el importe del chantaje. Para asustar todavía más, se muestra tu dirección IP, tu ciudad y el nombre de tu proveedor de Internet. En realidad estos datos son públicos y es fácil acceder a ellos. Existen muchos tipos de ransomware. Estos son los más populares:

• Contenido pirateado: En pantalla aparece un mensaje de una falsa agencia de copyright, y te informa que ha realizado un rastreo en tu ordenador y ha encontrado material pirateado: películas, juegos, o música. Si no pagas la multa, procederán a denunciarte. En España se hizo muy popular el “virus de la SGAE”.
   
• Falsos virus: En muchos casos, el mensaje te informa que has sido infectado por un virus muy potente, y debes descargar un antivirus pagando con un SMS o similar, para obtenerlo. Casi siempre, aunque pagues, este supuesto “antivirus” es un gusano que infectará tu PC con un verdadero virus, difícil de eliminar.
   
• Software caducado: Otras versiones de ransomware se camuflan como un aviso de Microsoft, o de un antivirus o programa de pago que tengas instalado, indicando que la versión ha caducado, y por tanto debes pagar por la nueva actualización.
   
• Contenido embarazoso: Una amenaza muy popular consiste en mostrar imágenes pornográficas en la pantalla, que no desaparecerán hasta que no pagues. Mucha gente, para evitar que las vean su familia y se cree un situación embarazosa, acaba sucumbiendo al chantaje.
   
• Contenido ilegal: Una variante más agresiva, muy popular en España, es la del “Virus de la Policía”. Un supuesto aviso de la Policía Española, el FBI, u otra agencia de seguridad, te informa que has accedido a una web con pornografía infantil. La denuncia será inmediata si no pagas una multa. La web de seguridad InfoSpyware ha creado una página web en Facebook en donde recogen imágenes de todas las variantes de Virus de la Polícia que se han distribuido en España.

Tipos de bloqueos

Para proceder al secuestro, el ransomware utiliza diferentes métodos de “captura” de tu ordenador. Es la clave para saber si podrás rescatarlo.

• Bloqueo sin encriptación: Se produce una toma de control del sistema sin encriptar los datos. Por regla general, el malware desactiva el Administrador de tareas, blinda el acceso al registro e infecta el fichero EXPLORER.EXE para hacer desaparecer los iconos del escritorio y así impedir que uses programas. Los más sofisticados también impiden arrancar en Modo Seguro. Pese a que no son fáciles de quitar, al no existir encriptación de datos es posible recuperar el equipo instalando un antivirus.

• Bloqueo con encriptación: Esta variante encripta los datos del disco duro con códigos de encriptación que son casi imposibles de desencriptar, si no conoces la clave. Si la encriptación sólo afecta a archivos del sistema, un antivirus puede recuperar el control reinstalándolos. Pero si está encriptado todo el sistema operativo o, aún peor, los datos del usuario, la única solución es formatear el disco duro, con la inevitable pérdida de datos.

El pago

Todos estos chantajes de ransomware ofrecen una alternativa a la víctima: pagar una determinada de cantidad de dinero para eliminar la amenaza, ya sea una multa a “la policía”, a la agencia de copyright, o al creador del supuesto antivirus que desbloqueará tu equipo.

La cantidad nunca suele ser muy elevada, para que no merezca la pena realizar la denuncia. Los chantajes más habituales varían entre los 10 y los 50 euros, pero hay variantes que te exigen más de 100 euros.

Los sistemas de pago a través delransomware son muy variados:

• Los más comunes te exigen que envíes un SMS de pago.
   
• Otros te obligan a llamar a un número con tarifas de pago muy altas. Permanecerá descolgado unos minutos hasta que crean que has pagado lo suficiente.
   
• El ransomware más sofisticado usan sistemas de pago online con tarjeta de crédito anónimas o tarjetas canjeables tipo PaySafeCard o uKash.

En pocos casos, al pagar sí se produce el desbloqueo del PC, especialmente en el caso de los datos encriptados, pues te envían la clave. Pero la mayoría de las veces la liberación nunca se produce.

Consejos para evitar el ransomware

Hemos visto los mecanismos que utiliza el ransomware para secuestrar un ordenador y pedir rescate. Sabiendo cómo funciona, resulta más sencillo evitar sus trampas.

Con este tipo de software maligno hay que prestar más atención que con un virus estándar, porque en muchos casos eres tu mismo el que abres las puertas al ransomware. Ya hemos visto cuales son artimañas, pero a veces van un paso más allá, y cuando se disfrazan de viruso actualización de Windows incluso piden a la víctima que desactive el antivirus o el cortafuegos porque “van a instalar una actualización muy delicada”. Si quieres evitar el ransomware, pon en marcha estas medidas:

• Instala todos los parches y actualizaciones del sistema.
   
• Usa un navegador de Internet moderno, y actualizado.
   
• Instala todas las actualizaciones de Java, Adobe Flash, y otras librerías de Internet, en el mismo momento en que se produce la actualización.
   
• Ten siempre funcionando en segundo plano un antivirus y un cortafuegos actualizados.
   
• Un par de veces al mes, realiza un chequeo con algún programa especializado en troyanos y gusanos, tipo Malwarebytes Anti-Malware.
   
• No abras correos de fuentes desconocidas ni entres en webs de mala reputación, llenas de publicidad con ventanas emergentes, que ofrecen contenido sospechosamente atractivo.
   
• Si descargas algún archivo dudoso, antes de usarlo chequéalo con un antivirus. Medidas para eliminarlo

Medidas para eliminarlo

A pesar de tomar todas las precauciones posibles, o quizá porque has llegado demasiado tarde, es posible que alguna versión de ransomware se instale en tu equipo. Ante todo, lo importante es que no cunda el pánico. Tienes la tranquilidad de saber que los chantajes son falsos: ni la policía ni el FBI han analizado tu ordenador, ni tienes un potente virus que requiere comprar un antídoto. Ahora ya sólo queda confiar en los antivirus de verdad...

En la mayoría de los casos tendrás que crear un disco de rescate: descargas un fichero ISO y lo grabas en un CD o DVD grabable con un programa que extraiga ISOs, como CDBurnerXP. O bien usas un pendrive. Introduces este disco o pendrive en el ordenador, y lo reinicias. El antivirus se instalará en memoria antes que el sistema operativo e intentará retomar el control. Es posible que tengas que arrancarlo en Modo Seguro. Si el ransomware no ha encriptado los ficheros del disco duro, las posibilidades de eliminarlo son bastante altas. Si hay encriptación, vete haciéndote a la idea de que tendrás que formatear... Seguro que tienes hecha una copia de seguridad, ¿verdad?...

Cualquier malware es un hueso duro de roer, pero con las precauciones y las herramientas adecuadas, conseguirás bloquear la amenaza antes de que entre en tu PC.

También en android

Al tratarse de un sistema operativo abierto, Android permite instalar apps de terceros a través de servicios de descarga alternativos a Google Play, o incluso de forma manual. Esto es aprovechado por el malware para disfrazarse de apps con algún tipo de gancho -juegos, apuestas, vídeos eróticos- e “invitarte” a que las instales desde fuera de Google Play, y así introducir el virus en tu smartphone.

Por ejemplo, Fakedefender, se camufla como una app que detecta software maligno pero en realidad bloquea el acceso al smartphone y pide una cantidad de dinero para desbloquearlo. La única forma de recuperarlo sin pagar es regresar a los valores de fábrica, lo que significa perder todos los datos. Para evitar este tipo de ataques es imprescindible instalar un buen antivirus para Android.