El Ransomware, una amenaza constante

Una amenaza real que hay que conocer para evitarla 

Hoy queremos hablar de algo de suma importancia debido a la gran cantidad de delitos de Ransomware que se están produciendo; todos conocemos algún caso de alguien a quien le ha ocurrido aunque no sepamos que se llama así, Ransomware.

Os contaremos qué es, cómo prevenirlo, cómo reconocerlo y cómo actuar si somos atacados.

Con la era digital aumentan cada año los llamados “ciberdelitos”, debido al mayor número de usuarios de la red y al uso cada vez más intensivo que hacemos de ella; el último año se han incrementado en un 175% este tipo de delitos, siendo España el tercer país del mundo que más los sufre, después de Estados Unidos y Reino Unido.

El Ransomware es un tipo de ciberdelito muy habitual últimamente, cualquiera puede ser víctima de él, desde un particular hasta una gran empresa.

¿En que consiste el Ransomware?

Consiste en el envío de correos masivos, casi siempre simulando ser una empresa conocida, con su logo, colores y formato corporativo, alguien de quien nunca desconfiaríamos, incitando a hacer clic en varias partes del mensaje.

Estos correos son prácticamente imposibles de detectar porque en sí no son peligrosos ya que no portan ningún tipo de archivo, el peligro está en la página a donde nos lleva cuando hacemos clic en él.

Una vez el usuario hace clic en ese enlace (pinche aquí para ver el estado de su envío, para ver la oferta, etc) es reenviado a un sitio web malicioso, una web tosca que nos introduce un programa que encripta todos los archivos del pc, quedando inservibles y perdiendo así toda la información del disco duro.

A continuación aparece un mensaje en el que se nos dice que nuestros archivos han sido encriptados, y de hecho no podremos acceder a ningún archivo, debiendo de pagar unos 300€ en bitcoins si queremos que todo vuelva a su estado inicial. Para ello se nos da un plazo que suele ser de 72 horas, pasado ese tiempo, que podemos comprobar en un reloj de cuenta atrás que aparece en la página, el precio se multiplica y nos dan un nuevo plazo. Un secuestro en toda regla de nuestro ordenador del que no podremos escapar aún pagando la cifra requerida.

Normas para prevenir este tipo de ataques

Esto no evitará un ataque, aunque puede reducir la posibilidad de recibirlo.

  • Software actualizado, a ser posible la última versión del sistema operativo disponible.
  • Antivirus activo, actualizado y pasado manualmente con regularidad.
  • Marcar como “no deseado” cualquier correo sospechoso, con ello reducimos las posibilidades de que nos vuelva a enviar el mismo remitente.
  • Involucrar a los empleados, ellos deben de conocer esta amenaza, como evitarla y cómo reaccionar en caso de sufrirla para minimizar las consecuencias.
  • Compartir información con otros para advertirles de este tipo de amenzas, a ellos también les puede ocurrir, clientes, conocidos…
  • Hacer copias de seguridad periódicamente, esto no previene los ataques pero al menos si sufrimos uno de ellos no perderemos información.

¿Cómo reconocerlo para evitarlo?

  • Desconfiar de los mensajes de empresas muy destacadas (Movistar, Correos, Endesa, DHL…), es el caso más habitual ya que al ser conocidas los usuarios no desconfiamos y hacemos clic donde nos digan.
  • Desconfiar también de los mensajes de empresas o particulares que no conozcamos.
  • En general desconfiar de cualquier correo que nos incite a hacer clic en alguna parte del contenido del mensaje, para ver el estado de reparto de un supuesto paquete que nos tiene que entregar, sea para ver una oferta, para darnos de baja de una lista de correo, etc.
  • Poner atención al remitente que indica, en ocasiones en lugar de poner su nombre ponen nuestra cuenta de correo, así no vemos nombres que no nos suenen al previsualizar el mensaje.
  • Fijarse en la dirección de correo de quien envía, especialmente si es una empresa conocida, porque no pertenecerá al mismo dominio. Por ejemplo, si imitan a Movistar, no enviarían como @movistar.es sino con una cuenta alternativa, como podría ser @promomovistar.es, @clientevipmovistar.net, etc.
  • Ver a donde nos va a redireccionar ese clic, poniendo el puntero del ratón sobre el enlace sin hacer clic y observando abajo a la izquierda de nuestra pantalla, veremos una franja gris en la que nos indica a que url vamos a ser dirigidos para ver si es de confianza.

¿Cómo actuar si ya hemos sido atacados?

  • Lo primero apagar inmediatamente el ordenador y sacar el cable de conexión a internet; con esto impedimos que se siga propagando y quizá podamos salvar parte de la información.
  • Buscar ayuda informática. Un técnico lo iniciará de manera segura para intentar salvar lo que aún no haya sido infectado.
  • Se deben de cambiar todas las contraseñas, bancos, nubes, perfiles… ya que pueden haber sido robadas y podrían utilizarlas con otro tipo de ciberataque.
  • Comunicar al proveedor de hosting para que cambie también contraseñas del alojamiento, web, correos…
  • No intentar restaurar una copia de seguridad que tengamos en un disco externo hasta que el ordenador este limpio, ya que si hacemos esto lo que conseguiremos es infectar también ese disco y perderíamos esa valiosa copia.
  • En caso de estar afectado por completo, hay empresas que se dedican a recuperar este tipo de archivos encriptados. Esto puede costar varios cientos o miles de euros y un par de semanas, pero puede ser una opción si la información perdida es imprescindible.
  • Informar al CSIRT, Centro de Seguridad de la Comunidad Valenciana, u otro organismo competente similar; poco podrán hacer por nosotros pero comunicándoles el incidente contribuimos a la toma de datos para luchar contra estas cosas que tanto nos preocupan.

Esperamos que os ayude este post para evitar este tipo de problemas en el futuro y que en caso de que os ocurra que podáis reaccionar rápidamente para minimizarlo.

Ya me lo contareis.