El secuestro de contenidos y datos para pedir rescates eclipsa a los otros tipos de malware, según un informe de Europol
Un perito informático forense asegura haber encontrado en España múltiples casos de uso de software malicioso contra empleados a los que se pretende despedir.
"Ataques como el ransomware [...] se han convertido en la norma, eclipsando a las amenazas de malware tradicionales como los troyanos dirigidos contra la actividad bancaria". Sobre los cimientos de esta afirmación se levanta el último informe de Europol, que analiza las amenazas informáticas a las que están expuestos los europeos en lo que llevamos de 2016.
El ransomware hace referencia a un tipo de software malicioso que secuestra los contenidos y datos del dispositivo afectado. Estos no son liberados hasta que su propietario satisface el pago de un rescate. En ocasiones, quienes practican este tipo de extorsión pueden optar además por dar un plazo concreto para abonar la cantidad. Una vez vencido, se destruye la clave y esa persona no podrá recuperar sus archivos.
Cuando el contenido del ordenador afectado se secuestra mediante encriptación recibe el nombre de cryptoware y es precisamente esta variedad la que se está encargando de poner este tipo de amenaza a la cabeza en Europa.
De acuerdo con el informe de Europol, mientras que el software malicioso más conocido y disponible para su adquisición -casi de forma "comercial"- está pensado para atacar el sistema operativo Windows en ordenadores de sobremesa, el ransomware ha ampliado el abanico y sus objetivos han pasado a ser "dispositivos de usuarios individuales, los sistemas utilizados en un determinado sector productivo, la sanidad o incluso el gobierno".
Fuentes del Ministerio del Interior confirman a eldiario.es que en España rige la misma tendencia que en el resto de Europa en cuanto al aumento de los ataques con ransomware.
Atendiendo a los datos facilitados por el centro de respuesta a ciberincidentes en la seguridad y la industria, el CERTSI, el año pasado se registraron un total de 2003 incidentes de este tipo. En lo que llevamos de 2016 constan 1.815 mientras que el año pasado por las mismas fechas era de 1.648.
Cuando afecta al funcionamiento de una compañía, "el coste puede ser altísimo ya que si la empresa no cuenta con las adecuadas contramedidas ante este tipo de ataques, [...] su actividad puede llegar a verse totalmente paralizada". En contraposición de aquellos troyanos dirigidos a clientes de servicios bancarios, que tienen un coste económico, pero "no paralizan su actividad", precisan desde el Ministerio.
Una carta de despido en forma de ransomware
Sin embargo, según Carlos Aldama, perito informático forense de Aldama Informática Legal, las empresas no solo son víctimas de este tipo de ataques, sino que además, pueden estar detrás de casos en los que los afectados son los trabajadores.
En declaraciones a eldiario.es, advierte de que casos en torno al "ransomware están llegando a los juzgados continuamente a través de dos vías: por un lado, porque hay gente a la que se le instala ese programa, pero también porque determinadas empresas lo están utilizando para despedir a trabajadores".
"Me llegan trabajadores de compañías a los que han despedido durante el último año y medio por el ransomware, pero ellos aseguran que no se han bajado nada". Los afectados explican además que habían sido advertidos por familiares o amigos para no descargar estos programas maliciosos.
"Entonces empezamos a detectar que ese virus se había instalado en el ordenador del trabajador desde el departamento de informática durante la noche y luego nos decían que se había perdido el disco duro y que no nos lo podían dar". Para Aldama la cuestión está clara, se está utilizando el ransomware para despidos procedentes que "en realidad no lo son”.
Pensar dos veces antes de hacer clic
No es tan fácil protegerse de los ataques de este tipo de ransomware, porque las normas más elementales de precaución como no abrir enlaces o archivos de dudosa procedencia no rigen en en este caso, debido a que, como señala Aldama, se presenta en forma de enlace o correo "amigo".
Sin embargo, eso no significa que se pueda obviar la importancia del factor humano. Aldama pone como ejemplo el caso de unos individuos que atacaron la web de una compañía. Para ello, "pusieron una foto de una mujer atractiva en un perfil falso de LinkedIn donde mencionaron que trabajaba en esa empresa" e incluyeron un enlace que llevaba al usuario hasta una página donde supuestamente se podían ver más imágenes. "¿Qué hizo todo el mundo?", pregunta retóricamente el perito: "Pinchar en el enlace para ver más fotos". Y ahí se desató la tragedia.
Por ello, aconseja a las empresas que "pongan una serie de filtros en el cortafuegos para evitar todo esto", ya que según él hay "medidas que se llevan poniendo en práctica desde hace tiempo y que funcionan muy bien, porque buena parte de este tipo de virus viene de los mismos países".
Por su parte, fuentes del Ministerio del Interior recomiendan además a las empresas contar con copias de seguridad de sus archivos y que dichas copias estén en soportes "no conectados" a la red de uso cotidiano o que no permitan la alteración de los datos, como pueden ser un CD, un DVD, etcétera.
Culpar a las herramientas
Cuando en el informe de Europol se lee sobre el modus operandi de distintos criminales que actúan en la red con fines de robo, explotación sexual o terrorismo se alude a menudo al supuesto uso por parte de estos criminales de herramientas para facilitar el anonimato en la navegación por Internet -como TOR- , a la hora proteger los datos -como TrueCrypt-, o cuando se comunican por email con programas específicos para el cifrado de correo electrónico.
Aunque Europol habla de "mal uso" o de "abuso" de estas herramientas para cometer delitos, asumiendo entonces que se puede hacer un buen uso de las mismas o por lo menos un uso no ilícito, es habitual encontrar a lo largo del documento quejas acerca de cómo este tipo de recursos dificultan -o imposibilitan directamente- la investigación policial.
El documento dedica un apartado específico a la encriptación, donde lamenta que el uso de la misma "priva a las fuerzas de seguridad de oportunidades clave para obtener pruebas". El informe continúa explicando que muchas plataformas de comunicación disponibles en el mercado tienen la encriptación activada por defecto, lo que está "llevando a situaciones donde estos servicios no se pueden interceptar". Incluso, se llega a afirmar que "el uso de comunicaciones cifradas ha estado fuertemente asociado a casos de extorsión y chantaje sexuales".
"Me parece muy fuerte", comenta sorprendido Aldama, y explica que "cada vez nos llaman más empresas con una actividad muy normal para cifrar sus datos, y no tienen nada que ocultar, simplemente lo que quieren es que no venga el malo y les saque la información". Desde el punto de vista de este perito informático, por tanto, el cifrado de datos y comunicaciones no solo no estaría relacionado con el delito de forma indisociable, sino que además podría servir para prevenirlo.
No nos libramos de Locky
Por lo que respecta a los nombres propios de esta amenaza cibernética, un ransomware concreto que menciona el informe de Europol en su lista es Locky. Hizo su entrada en escena a mediados de febrero y se pronostica que va a convertirse en el cryptoware preponderante en lo que queda de año. España se encuentra junto a Alemania, Francia e Italia entre los diez estados más amenazados por él.
Locky es capaz de cifrar más de 160 tipos de archivos incluyendo entre ellos discos duros virtuales, bases de datos y carteras de bitcoins. Generalmente se transmite como adjunto a un correo electrónico enviado en una campaña masiva de spam.
Leave your comments
Post comment as a guest