GRANDES AMENAZAS – RAMSONWARE

Ramsomware, una de las amenazas de tipo cibernético más dañina de los últimos años. Llamados así por los términos en inglés, ramson (rescate) y ware (mercancía). Esta amenaza comenzó a actuar de manera masiva a principios de la década de 2010, creciendo de manera muy notable en los últimos años. Aunque como casi todo en la informática la idea de su creación fue hace mucho más tiempo, allá por la década de 1980.

¿Qué son?

Los ramsonware “secuestran” los ficheros de empresas y particulares, cambiando el encabezado y la extensión de los mismos dejando la información en un estado inaccesible. Cuando un usuario intenta abrir su fichero se abre un bloc de notas o una web, en la que el delincuente informático, pide un rescate y da instrucciones más o menos precisas de como pagarlo. Generalmente solicitan el pago en criptomonedas y hacen pasar por una pesadilla a los usuarios, empresas y técnicos informáticos. Existen diversas variantes, una de las más populares fue Wanacry que en 2017 consiguió penetrar en sistemas de grandes empresas con potente seguridad informática.

¿Cómo entran?

Principalmente, su puerta de entrada es el correo electrónico. Como, por ejemplo, el famoso e-mail que imitaba a Correos Express avisando de una recogida. En dicho envío se indicaba un enlace para que el usuario descargara un localizador que realmente contenía el virus. Además el usuario, sin dudar, se encargaba de ejecutar esta descarga infectando su equipo y carpetas compartidas de la red.

A día de hoy, es usual que sea el propio virus quien lanza envíos masivos de correo con un remitente conocido del destinatario, incluso de su propia agenda y un asunto común importante, referente a un pago, trabajos, etc. Además normalmente en el idioma del perceptor. Simplemente con abrir el adjunto, un .doc, .xls, etc. Metemos el virus en nuestro sistema. Es cierto que el cuerpo del mensaje incorpora traducciones poco elaboradas pero lo suficiente para que caigan un porcentaje importante de usuarios.

Otra forma de entrada es desde fuera. Sobre todo en empresas que tienen IP fija, algún puerto abierto en su router y contraseñas weak o débiles. En este aspecto si ha sido muy notable la evolución y sofisticación de los ataques recientemente. Además de infectar los ficheros, estos virus son capaces de explorar la red e ir infectando equipo por equipo, parando servicios para secuestrar ficheros en uso como bases de datos y el sistema completo propiamente dicho, incluidas las copias de seguridad conectadas.

¿Cómo nos protejemos?

Lo primero y muy aconsejable, es hacer y seguir un plan de seguridad. Exigírselo a su departamento de IT o a la empresa externa que lleve nuestros sistemas. Hacer el plan de seguridad, con el mapa de usuarios y niveles de permisos es el primer paso. Muchos puntos son básicos y fáciles de implementar, a continuación definimos una serie de pasos de un plan de seguridad.

  • Sistemas operativos actualizados, definir bien las políticas de seguridad, de carpetas y permisos de usuarios. No solo de acceso a ficheros si no de ejecución. Régimen de actualización de sistemas, con los parches de seguridad pertinentes.
  • Copia de seguridad. De diversas formas, dispositivos externos securizados, copias on-line, etc. La copia es la único realmente útil al 100% en caso de cualquier amenaza. A ser posible con sistemas profesionales, system-state o instantáneas. Con las actuales velocidades de transmisión la copia remota comienza a ser asequible para todos los bolsillos y garantiza la existencia de los datos ante otro tipo de amenazas como robos o causas de fuerza mayor.
  • Correo electrónico profesional. Proveedores como Microsoft, Google, etc. Garantizan servicios de mensajería electrónica muy fiables, poco o nulo SPAM, y potentes filtros de entrada que eliminan los propios virus antes de que lleguen al destinatario.
  • Cortafuegos y Antivirus, por este orden. Cerrar cualquier acceso externo directo entre nuestra red e Internet hace que la probabilidad disminuya notablemente. La implantación de sistemas de VPN se hace esencial en cualquier empresas que requiera acceso exterior o tenga delegaciones. Si además dotamos a nuestro sistema de un buen antivirus, que detecte y elimine todo lo que pueda llegar a entrar, aumentamos la seguridad.
  • Aunque están en franca retirada, los dispositivos de almacenamiento interno físicos, (pendrive, tarjetas de memoria, etc.) ocasionaron en el pasado importantes daños en redes de PYMES e incluso redes de empresas más grandes. A día de hoy se inhabilitan, por políticas de seguridad, las posibilidades de meter estos dispositivos en equipos corporativos.

¿Es muy caro protegernos?

Este tipo de planes y elementos de seguridad son cada vez más asequibles, por ejemplo, con tener un par de discos externos de un tamaño más o menos amplio, (unas 4 TB) podemos hacer una copia de nuestro servidor y almacenar varias semanas de forma incremental. Esto nos ayuda a, como mínimo a recuperar nuestra información en caso de catástrofe. Hay cortafuegos y antivirus a precios muy asequibles. Anteriormente eran prohibitivos (sobre todo los primeros) para las PYMES, pero a día de hoy podemos comprar un Firewall físico por menos de 600 euros.

Me ha entrado un Ramsonware y no tengo copia. ¿Qué hago?

Aquí lo más importante, es no pagar el rescate bajo ningún concepto. Pagar además no garantiza la recuperación de la información. Con el pago fomentamos y financiamos estas redes criminales. Lo primero, es denunciar a la policía el secuestro, como si de una persona se tratara. Facilita presentar la denuncia si algún experto o perito informático nos hace un informe de situación.

Lo siguiente es comunicar al Instituto Nacional de Ciberseguridad, en la página www.incibe.es existe una sección concreta para informar de esta situación. Además hay herramientas para poder desencriptar los ficheros, y manuales bastante explicativos. En caso de que no haya software anti-virus disponible, hay que ponerse en manos de las empresas que presten servicios de desencriptación. En el propio catálogo de empresas del INCIBE hay muchas corporaciones con las que puede encontrar la solución a su problema.

Conclusión

Las previsiones indican que los ataques de ciberseguridad aumentarán de forma casi exponencial en los próximos años. La llegada de redes cada vez más rápidas y eficientes acrecentará el problema. Por eso, bajo mi humilde opinión, es necesario ser conscientes y conocedores de este escenario y a lo que nos debemos enfrentar.

Víctor Pérez Martín

Perito Judicial Informático