“El mensaje de correo electrónico entró en el buzón genérico del Ayuntamiento de Rialp (Llleida, 660 habitantes) con un enunciado aparentemente inocente: “Factura Carmen”. La administrativa que lo abrió no sospechó tampoco del archivo adjunto que incoporaba el mensaje. Al descargar el supuesto recibo, un virus cibernético secuestró en el acto las bases de datos que almacenaba el sistema informático del Consistorio. Los hackers exigían el pago de un rescate a cambio de liberar la información”.
Así comenzaba una noticia del diario El País del pasado 20 de abril, titulada “Un pueblo del Pirineo de Lleida sufre un secuestro informático”. Se trataba de un secuestro digital de datos, tal vez otro ataque de ransomware, que alertaba una vez más de los peligros que conlleva ese software malicioso que infecta un equipo y cifra todos los datos para luego exigir rescate por ellos. .
En efecto, tras esta operación, la víctima se encuentra con un mensaje del ciberdelincuente en el que se pide un rescate para poder recuperar esos archivos. El importe puede ser elevado o no y se solicita en la moneda virtual “bitcoin” con el fin de evitar rastros. De esta forma obtienen grandes cantidades de dinero en muy poco tiempo, motivo por el que el “ransomware” se ha convertido en uno de los negocios más rentables en el ciberespacio,
A pesar de todo, esta modalidad no constituye novedad en el mundo del ciberdelito, ya que en 1989 se tuvo noticia del primer ataque de ransomware. El malware utilizado fue el troyano AIDs el cual, después de ser instalado, encriptaba los archivos de los usuarios y les pedía que enviaran 189 dólares a una oficina de correos de Panamá para “renovar su licencia”. Desde entonces, los ataques de ransomware se han multiplicado y las previsiones de crecimiento son impresionantes. La competencia entre distintas bandas de ciberdelincuentes las lleva continuamente a buscar maneras más eficaces de extender sus códigos maliciosos.

Según Mario García, director general de Check Point para España y Portugal “en los últimos años, los secuestros online se han convertido en una epidemia global. Ninguna industria está a salvo de este tipo de ataques, que afectan desde hospitales hasta administraciones públicas, pasando por grandes empresas y pymes. Es fundamental que nos concienciemos de esta realidad: el ransomware es una de las principales amenazas de las empresas a nivel mundial y su crecimiento se multiplica de forma exponencial”.
Ante este chantaje en toda regla el consejo de Check Point es rotundo: no ceder al chantaje. “Pagar el rescate no garantiza que se vayan a recuperar los documentos y contribuye a que la ciberdelincuencia se lucre y crezca, y por lo tanto, el número de malware enfocado a este tipo de secuestros aumente”, recomienda Mar García, directora general de Check Point para España y Portugal.
Si la repercusión de lo del Ayuntamiento de Rialp – al menos en España – fue un aviso más para quienes no supieron o no quisieron – voluntaria o involuntariamente – reflexionar sobre este aviso, el pasado viernes recibieron la lección completa. Se enteraron de lo que significaba un ataque un gran ataque cibernético impactando en organizaciones de toda Europa y con una dimensión nunca antes vista. Aunque un parche para reparar la vulnerabilidad fue liberado por Microsoft el pasado mes de marzo, muchos sistemas pueden no haber tenido la actualización instalada, según los expertos.
Las autoridades en el Reino Unido declararon que tenían un “incidente importante” después de que varios hospitales del Servicio Nacional de Salud (NHS) en Inglaterra y Escocia se vieran afectados. Como el NHS cuenta con muchos socios y proveedores que se conectan a su red central y dado que la complejidad es enemiga de la seguridad, es razonable aventurar que áreas de esa red, especialmente las operadas por los proveedores, no están tan bien mantenidas como deberían. Esto puede significar que no se aplicaron parches que podían haber desbaratado el WannaCry. Así que, una vez que el gusano entró, pudo extenderse de forma descontrolada.
Entre las empresas españolas afectadas figuraba Telefónica, que confirmó que estaba lidiando con un “incidente de seguridad cibernética”, pero aseguró que sus clientes no se verían afectados. Las compañías energéticas Iberdrola y Gas Natural también registraron problemas en sus sistemas. En Italia, los ordenadores de un laboratorio universitario quedaron bloqueados por el mismo programa.
Sobre las 18 horas del pasado día 12 Costin Raiu, de Kaspersky hablaba ya de 45.000 ataques en 74 países, describiendo el virus como un gusano” que se autorreplicaba y esparcía a gran velocidad. Dos horas más tarde Jakub Korustek, en un blog de la firma de seguridad informática Avast, escribía “Hemos visto más de 75.000 casos en 99 países”. Por su parte Forcepoint Security señalaba que el gusano de estaba multiplicando vía correos electrónicos maliciosos con más de 5 millones de emails.
Kaspersky Lab por su parte, dio a conocer un nuevo post en su blog Securelist, donde analiza la actividad de WannCry, el ransomware utilizado para atacar a organizaciones de todo el mundo, ámbito en el que los productos de Kaspersky Lab detectaron y bloquearon con éxito un gran número de ataques de ransomware. En estos ataques, los datos se cifran con la extensión «.WCRY» añadida a los nombres de archivo. El análisis indica que el ataque, denominado «WannaCry», se inicia a través de una ejecución remota de código SMBv2 en Microsoft Windows. Pero desafortunadamente, parece que muchas organizaciones aún no habían instalado el parche.
“¡Ups, tus archivos han sido encriptados!” decía el ransomware conocido como WannaCryptor o WanaCrypt0r 2.0, aunque también es se le conoce ya como “WannaCry” (quiero llorar, en inglés). En una de las pantallas bloqueada este viernes se exigía un pago a cambio de liberar el sistema, que debía de ser completado antes del 15 de mayo o de lo contrario los archivos se eliminarían cuatro días después. El monto, los mencionados 300 dólares que debían de ser pagados mediante bitcooins.
“No pierdas el tiempo, nadie puede recuperar tus archivos sin nuestro servicio de desencriptación” decía el mensaje que supuestamente garantiza la devolución de la información a cambio del pago.
Este malware parece haberse extendido a través de un gusano. A diferencia de muchos otros programas maliciosos, Wanna Cry tiene la capacidad de moverse por una red por sí mismo. Si la mayoría de los otros gusanos necesitan la actividad humana para expandirse, intentando engañar a la víctima potencial para que abra un documento adjunto que alberga el código de ataque, WannaCry en cambio una vez que está dentro de una organización rastreará las máquinas vulnerables y las infectará también. Su impacto público ha sido tan grande debido a que grandes cantidades de máquinas en cada organización que ataca quedaron en situación de vulnerabilidad.
Aunque hasta ahora se desconoce quién puede estar detrás de los ataques y si fueron ejecutados de forma coordinada, sin embargo, varios expertos que dan seguimiento a la situación apuntan a las vulnerabilidades dadas a conocer por un grupo conocido como The Shadow Brokers, que recientemente afirmó haber robado herramientas de hackeo a la Agencia de Seguridad Nacional (NSA, en inglés) de EE.UU. Sin embargo, no hay ninguna indicación de quién está específicamente detrás del ataque ni sabemos exactamente cómo infectó los sistemas del NHS.
WannaCry parece haber sido creado para explotar un fallo detectado por la Agencia Nacional de Seguridad de EE.UU. (NSA, por sus siglas en inglés). Cuando se filtraron detalles del error, muchos investigadores de seguridad predijeron que esto llevaría a la creación de gusanos de ransomware automáticos. En ese caso, puede ser que los hackers sólo hayan necesitado unos meses para hacer realidad esa predicción.
El virus WannaCry sólo infecta máquinas que funcionan con Windows. Si no actualizas Windows y no se es precavido al abrir y leer correos, se puede estar en evidente situación de riesgo.
A día de hoy, recuerda Check Point el malware tiene dos formas principales de atacar a las empresas: bloqueando la pantalla del usuario o encriptando sus archivos.
1) El ransomware de bloqueo de pantalla hace que el ordenador se congele y muestre un mensaje con las exigencias del cibercriminal. El equipo no funciona hasta que el malware es eliminado. A pesar de ser una molestia, se puede sobrevivir a este tipo de ransomware, ya que por lo general afecta a un solo ordenador, y es relativamente fácil de eliminar – es la forma más primitiva de este malware.
2) El ransomware de encriptación de datos constituye una gran amenaza para las empresas. Este tipo de malware, aparecido en 2013, es capaz de restringir el acceso a los usuarios a sus propios archivos e información, tanto en ordenadores individuales como en redes corporativas en su totalidad. Este tipo de ataque, cuya variante más famosa es Cryptolocker, puede considerarse una auténtica epidemia.
La pregunta de muchos usuarios ¿afecta a los ordenadores personales?. La respuesta es sí y además, es una de las modalidades que más han crecido entre usuarios de ordenadores personales, normalmente a través de correos electrónicos. Una de las variantes de ransomware más extendidas se llama Locky. Se trata de un virus troyano que recibe la víctima a través de un correo electrónico que le pide abrir un archivo adjunto con un título similar a «documento de pago» o «recibo». Una vez abierto, a través del programa Word o en archivo comprimido, los comandos (macros) se ejecutan de forma automática y «toman» el control del ordenador. Lo siguiente que ve la víctima es una pantalla con instrucciones de pago en bitcoins como los que se vieron este viernes alrededor de mundo. Otros ransomware comunes son CryptoWall4, PadCrypt o Fakben. La otra angustiosa pregunta: ¿Se pueden detener estas infecciones? La verdad es que no. Pero las organizaciones trabajan duro para protegerse. Colocan cortafuegos, instalan programas antivirus, aplican filtros para los archivos, ejecutan programas de detección de intrusos y actualizan su software de forma regular para mantener lejos el malware y a los hackers. Pero hay que ser conscientes de que ninguna protección es 100% perfecta o total. La razón es simple, las organizaciones están gestionadas por personas y las personas cometen errores. Sabedores de esto, muchos ciberdelincuentes intentan engañar a quienes trabajan en estas empresas para que abran documentos adjuntos o enlaces enviados por correo electrónico que pueden iniciar la infección, que es la práctica que se conoce como phising. Pero no olvidemos miles de millones de nombres de usuario y contraseñas han sido robados y compartidos por hackers en los últimos años. Algunas ciberbandas están estudiando y analizando estos datos para encontrar credenciales de organizaciones a las que pueden atacar. Esto les permite iniciar sesión como si fueran un empleado de la empresa y comenzar su ataque desde dentro. ¿Qué se puede hacer para evitarlo? La herramienta más eficaz para luchar contra el ransomware es la prevención. Check Point está siempre por delante de las amenazas y para evitar que el ransomware afecte a las empresas, enumera las 5 claves fundamentales que deben tener en cuenta:
|
🙂
Muy motivante tu artículo y hay cuantiosas información que no conocía
que me has aclarado, esta maravilloso.. te quería devolver el espacio que dedicaste, con unas
infinitas gracias, por preparar a personas como yo jajaja.
Besos, saludos