Viernes, ocho de la mañana. Tras sortear a una marabunta de gente en el transporte público, llegas a las oficinas de la empresa y enciendes el ordenador. El cansancio de toda la semana pesa como una losa y, mientras arrancas el pc, tu imaginación vuela hacia los planes que has hecho para el fin de semana. Introduces usuario y contraseña y pulsas ‘enter’, como cada día, pero, a diferencia de ayer, hoy el escritorio está vacío.
Después de varios minutos investigando en la vacuidad de la pantalla con el puntero, optas por la solución clásica y reinicias la máquina. Repites el proceso de inicio de sesión -usuario, contraseña y ‘enter’- y esta vez en lugar del escritorio aparece un mensaje desconcertante: “Hola, he cifrado todos los datos importantes de tu empresa. Puedes recuperarlos de forma rápida y segura enviando bitcoins por valor de 3.000 euros a la siguiente dirección…”.
En los últimos años han sido muchas las empresas que se han enfrentado a una situación de estas características. Un cifrado de datos vitales por parte de un ransomware con el que las compañías afrontan dos opciones críticas, pagar una elevada suma por el rescate de sus archivos sin ninguna garantía o perderlos de forma irremediable.
Los ataques de ransomware saltaron al conocimiento del gran público con el secuestro masivo de datos de importantes empresas en 2017, cuando una variante de este malware conocida como WannaCry puso en jaque a compañías como Telefónica. Sin embargo, el día a día de este tipo de ciberdelincuencia discurre a una escala mucho menor, entre pymes y autónomos, donde la ciberseguridad y la repercusión son menores y las posibilidades de extorsión, por lo tanto, mayores.
“En nuestra empresa recibimos a diario decenas de solicitudes de diagnóstico tanto de particulares como de empresas que han sufrido el ataque de un ransomware y han visto sus datos comprometidos”, afirma Ricardo Labiaga, director técnico de la compañía de ciberseguridad OnRetrieval.
Una vez se ha producido la infección del sistema se pueden dar dos casos, que la empresa tenga una copia de seguridad actualizada y pueda recuperar sus archivos comprometidos o, por el contrario, que el cifrado haya secuestrado datos claves de los que no se tienen copias.
Este último es “el escenario más apocalíptico que se puede dar” según Marco Antonio Lozano, responsable de Servicios de Ciberseguridad de Empresas y Profesionales en el Instituto Nacional de Ciberseguridad de España (Incibe), puesto que es muy difícil descifrar este tipo de malware y muy pocas compañías a nivel mundial ofrecen garantías para recuperar los archivos.
En esas circunstancias la empresa o usuario afectado puede acudir tanto al Incibe como a compañías de ciberseguridad privada como OnRetraival, así como al proyecto internacional No More Ransom, en el que participa la Europol. Aunque en muchas ocasiones lo más que podrán hacer será identificar el tipo de ransomware, contener la infección y aislar los equipos comprometidos.
Página principal del proyecto No More Ransom
¿Pago el rescate?
De esta forma, el usuario se puede encontrar ante la desesperante circunstancia de ver archivos de importancia capital para el funcionamiento de su empresa comprometidos, sin soluciones posibles por parte de los técnicos de ciberseguridad y el pago como única alternativa al hundimiento de la compañía. ¿Qué debería hacer?
“En ningún caso recomendamos pagar”, subraya Lozano, una opinión que comparten tanto desde OnRetraival como en No More Ransom. “Pagar no garantiza obtener una solución al problema. Además, así se demuestra a los cibercriminales que este tipo de extorsiones funcionan”, explican desde el proyecto internacional antirransomware.
"Si pagas te vas a quedar con un sistema que no sabes si está comprometido"
En este sentido, los expertos hacen hincapié en que el usuario no puede saber si el malware que ha infectado su sistema tiene la funcionalidad de descifrado o no. Es decir, que hay programas malignos que sólo pueden bloquear los datos, pero no liberarlos, por lo que el pago no resolverá nada.
Asimismo, Lozano señala que, aun consiguiendo que los ciberdelincuentes desbloqueen los archivos mediante el pago, nada garantiza que el malware no siga en el sistema y a los pocos meses vuelva a pedir otro rescate. “Puede haber rebrotes. Al final, si pagas, te vas a quedar con un sistema que no sabes si está comprometido o no. No sabes si los archivos siguen infectados”, subraya.
¿Por qué es tan complicado combatirlo?
Las dificultades para luchar contra el ransomware radican en su complejidad como malware, pues utiliza una herramienta legítima como es el cifrado de datos, que otros muchos programas normales usan a diario al desarrollar sus funciones, para secuestrar los archivos.
“Los primeros malware criptográficos (de cifrado de datos) utilizaban una clave simétrica, es decir, la misma clave para cifrar y descifrar. De esta forma, la información corrupta podía ser descifrada con éxito por una compañía de ciberseguridad. Con el tiempo, los cibercriminales empezaron a utilizar algoritmos de cifrado asimétricos, con dos claves diferentes, una pública para cifrar los archivos y otra privada para el descifrado que sólo tienen ellos”, explican desde No More Ransom.
Por lo tanto, con anterioridad las empresas de ciberseguridad podían descifrar este tipo de malware al rastrear la clave de cifrado, necesariamente presente en el equipo infectado para bloquear los archivos. Ahora, sin embargo, los delincuentes han conseguido que las claves de cifrado y desbloqueo sean distintas, por lo que no dejan rastro alguno y es imposible solucionar el ataque por este método.
Así, la única forma de resolver una agresión de estas características es que los ciberdelincuentes cometiesen un error al crear el ransomware y dejasen una brecha por la que puedan acceder las empresas y herramientas de ciberseguridad para romper el cifrado, o que la policía capture los servidores con las claves.
Otra de las dificultades que presenta este malware es que está en auge y cada poco tiempo surge una nueva variante con un mejor cifrado y nuevas características que dificultan el trabajo de la policía y las empresas de ciberseguridad. De hecho, en la actualidad existen más de 50 familias de ransomware en circulación.
¿Cómo actuar ante un ransomware?
Pese a todas estas complicaciones, organismos públicos y privados tienen una serie de protocolos para tratar de resolver, siempre que sea posible, los ataques de ransomware.
Desde el Incibe recomiendan que el primer paso tras la infección sea crear una copia del disco duro comprometido para tratar de recuperar los datos sobre el clon, de forma que se deje el equipo principal intacto por si se dañan los archivos al tratar de desencriptarlos. Así se podrá volver siempre al punto de partida. Además, de esta forma también podrá ser usado como prueba en una investigación judicial.
Tras hacer eso, el usuario tendrá que desinfectar la copia mediante un antivirus para que, en caso de que se consigan liberar los documentos, el malware no los vuelva a cifrar. Con esto se elimina el programa malicioso que bloqueó el acceso a los datos, pero no el cifrado en sí. Es decir, el sistema ya estaría limpio pero todos los archivos afectados siguen encriptados.
Sede del Instituto Nacional de Ciberseguridad de España (Incibe).
Para tratar de solventar esto, el Instituto Nacional de Ciberseguridad recomienda usar la herramienta Crypto-sheriff de No More Ransom, que ayuda a identificar la variante de malware que ha atacado el sistema. Una vez reconocida, desde el proyecto encabezado por la Europol recomendarán el programa de descifrado más indicado para esa variante de ransomware, si existe.
Pese a todo esto, puede que el programa de desencriptado no funcione. En ese caso, desde el Incibe recomiendan conservar el disco duro cifrado por si apareciese alguna solución en el futuro.
Por otra parte, la víctima del ataque también puede acudir a una empresa de ciberseguridad, donde técnicos expertos en estos malware tratarán de ofrecer una solución más personalizada e intensiva al cifrado. “Identificamos la familia y la versión del ramsonware y aplicamos técnicas de ingeniería inversa para tratar de descifrar y recuperar la información afectada”, explica Labiaga.
La prevención, fundamental
A pesar de todos estos esfuerzos, la complejidad para resolver los ataques de ramsonware a posteriori es tan elevada que en muchas ocasiones no se pueden recuperar los archivos encriptados. Por ello, todas las fuentes consultadas por Xataka coinciden en que la mejor forma de defenderse contra este tipo de malware es la prevención.
“Es el único método efectivo, con soluciones de ciberseguridad para empresas, auditorías continuas de vulnerabilidades, formación de los usuarios en buenas prácticas y, por supuesto, la realización de copias de seguridad de toda la información crítica de la empresa”, explica el director técnico de OnRetrieval.
Además de las soluciones de protección que ofrecen empresas de ciberseguridad como OnRetrieval, el Instituto Nacional de Ciberseguridad y No More Ransom disponen en sus sitios web de una gran cantidad de pautas, guías y herramientas para adoptar las mejores medidas de prevención en cada caso.
Entre ellas, la más efectiva siempre será la de crear copias de seguridad de forma exhaustiva. “Lo ideal es tener una política de ciberseguridad que contemple los problemas de tipo ransomware con duplicados de la información, es decir, hacer prácticamente una copia diaria que pueda garantizar la restauración de los archivos en el caso de que haya algún problema con ese tipo de malware”, concluye Marco Antonio Lozano.
Imágenes | Autor 1
Ver 30 comentarios