Si quiere volver a ver sus archivos, pague

Los virus forjaron su mala fama hace décadas, cuando se dedicaban a borrar archivos y formatear discos duros. Los buenos viejos tiempos, podría decirse. Porque lo que algunos de estos bichos hacen hoy es de verdad perverso.

Les presento a los viejos, pero poco conocidos ransomware, unos troyanos (un tipo de malware que llega a tu sistema por medio de falsas promesas y no hace copias de sí) que primero encriptan los archivos importantes de tu computadora y luego te solicitan, no sin cierta cortesía malsana, un depósito de dinero para que recuperes tu información. Usan, claro, medios de pago difíciles de rastrear, medios que eran relativamente raros cuando la idea de los ransomware hizo su debut, en 1989.

El escenario ha ido cambiando durante los últimos 15 años, con la aparición de tarjetas prepagas como MoneyPak y Ukash y, sobre todo, los Bitcoins, que son bastante anónimos –aunque más fáciles de rastrear que el dinero en efectivo– y pueden enviarse sin fronteras y de forma instantánea.

Los ransomware, en suma, están de regreso, me dice Ignacio Sbampato, chief sales & marketing officer de la compañía de seguridad ESET. Y recargados con mejor tecnología.

Mejor, se entiende, en el más estricto sentido técnico. Porque lo que hacen no es, con toda franqueza, como para ufanarse de ninguna estatura moral.

También llamados criptovirus, el primer paso de su ataque consiste en cifrar ciertos tipos de archivo de tu computadora (todos los documentos de Office, los MP3 y los JPG, pero también los de AutoCAD), así como los que encuentren en los discos externos conectados a la máquina y los de las unidades de red. Un encanto.

El ransomware que empezó a dar vueltas en los últimos meses se llama CryptoLocker y cifra los archivos de la víctima con el algoritmo RSA y claves de 2048 bits. Traducido: el jefe de sistemas mirará el desastre provocado por este criptovirus y moverá la cabeza con resignación; es virtualmente imposible quebrantar su cifrado.

Un cuarto de siglo atrás los ransomware usaban criptografía simétrica y, por esto, existían chances de recuperar los archivos por medio de fuerza bruta . Hoy ya no es así.

Lo que me lleva al pedido de rescate, la parte perversa.

RSA es uno de los algoritmos de lo que se conoce como criptografía asimétrica, es decir, que no usa una sola contraseña, sino dos, una pública y otra privada.

Si se cifran los archivos con la clave pública, sólo se podrán descifrar con la clave privada. Esta clave es la que prometen los delincuentes detrás del CryptoLocker a cambio de 300 dólares o euros. Ya sé, no es lo mismo, pero bueno, para qué molestarse con las minucias del cambio, ¡arriba las manos!

aquí.

Los más expuestos

Hasta ahora, los ransomware no causaron más que daños aislados, nunca llegaron a la epidemia. Primero, porque no había una forma de pago electrónico lo bastante anónima; segundo, porque las grandes corporaciones instrumentan costosos mecanismos para filtrar esta clase de ataques (más sobre esto enseguida).

El tema de la moneda está cambiando rápidamente, como adelanté. A propósito, durante esta semana los Bitcoins rompieron la barrera psicológica de los 1000 dólares por unidad (de hecho, superaron los 1200 USD el jueves). Más allá de la volátil cotización, es poco probable que después de los Bitcoins el fenómeno de las criptomonedas se desvanezca, por lo que los delincuentes seguramente seguirán disponiendo de medios de pago más seguros que un depósito bancario y menos engorrosos que el efectivo. Esto significa que los ransomware podrían haber vuelto para quedarse.

Las víctimas más expuestas y en las que pueden causar un verdadero desastre son las pymes, que, teóricamente, no pueden costearse sistemas de defensa sofisticados. Las pequeñas y medianas empresas locales, hasta ahora, habían estado más o menos protegidas por la barrera del idioma; no obstante, me confirma Sbampato, hubo casos de ransomware en nuestro país, incluidos ataques del CryptoLocker.

¿Barrera idiomática? Sí, porque a estas alturas un adjunto raro, proveniente de un desconocido y en inglés despertaba sospechas en una proporción importante de los usuarios. Eso, lamentablemente, también está cambiando. Los traductores automáticos pueden potenciar peligrosamente los ransomware. Ya intentaron hacerlo con la estafas del tipo nigeriano, pero la movida no les salió del todo bien . La mala noticia, en este sentido, es la forma en que atacan la mayoría de los troyanos.

En pocas palabras

Al revés que la estafa nigeriana –conocida entre nosotros como El Cuento del Tío–, que requiere una larga y compleja argumentación, los gusanos tienden a ocultarse no tanto detrás de explicaciones como de señales visuales. En el caso del CryptoLocker, valiéndose de la vieja técnica de impostar la fachada de una compañía conocida, envía un mail con un archivo ajunto que exhibe el ícono de los documentos PDF. Como Windows, de forma predeterminada, oculta la extensión de los ficheros, es fácil confundirse. Así, con unas pocas palabras prometedoras en español, el logo de alguna empresa respetada y el iconito de los ubicuos PDF, ¿quién dudaría?

No es, por desgracia, la única forma en que los ransomware atacan. También pueden entrar en la máquina por sitios Web infectados, por conexiones de Escritorio Remoto que viajan por la Internet pública y que están (horriblemente) mal configuradas, o pueden ser descargados mediante backdoors con los que se ha infectado de antemano el equipo. En resumen, un completo menú de trampas que pueden engañar hasta al mejor pintado.

Ahora, vos no querés que esto pase en tu compu y mucho menos en la red local de tu pyme. La buena noticia es que no hace falta gastar una fortuna en sistemas de protección de grado militar para desactivar estos monstruitos codiciosos.

Normalmente, lo que debe hacerse con los virus es evitar que entren. Eso es cierto siempre, incluso en este caso. Pero casi la única buena noticia acerca de los ransomware en general –y del CryptoLocker en particular– es que son fáciles de desinstalar. Así que, si entran en una computadora o en una red y cifran tu información, ¿qué salvavidas podrías tener, fuera de perder dinero a manos de una banda de facinerosos? Exacto: un backup. Pero no de cualquier tipo.

El backup bien entendido es automático y requiere que los discos externos y de red estén conectados todo el tiempo. En este caso, sus contenidos serían también cifrados por el CryptoLocker. Lo único que no pueden romper los ransomware es un backup fuera de línea, es decir, una computadora o un disco externo que no estén conectados todo el tiempo a la red y que tengan copias actualizadas de los archivos importantes de tu computadora o de tu pyme.

¿Costo? En dinero, nada, fuera de los equipos, que de todas maneras necesitarías para mantener tus backups. Sí hay, no obstante, un costo en esfuerzo o en personal de sistemas. Regularmente, habrá que hacer una copia de seguridad en ese backup fuera de línea, si sabemos que el sistema está libre de ransomware, lo que no es difícil de verificar, porque estos bichos no sólo piden rescate enseguida, sino que además imponen plazos perentorios para pagar. En el caso del CryptoLocker, 72 horas, y está claro que pagar no es garantía de nada.

Fuera de esta mínima disciplina, no se necesita otra cosa: el backup puede automatizarse por medio del software de respaldo de Windows o de los programas disponibles sin cargo para este sistema operativo, que es el único vulnerable al CryptoLocker.

Así que sólo habría que conectar el disco externo o la computadora y ejecutar el perfil de backup correspondiente. Por supuesto, también hay sistemas de backup para los otros sistemas operativos. La cuestión es mantener una copia todo lo actualizada que se pueda en una máquina offline.

Según el experto en seguridad Brian Krebs, los servicios de almacenamiento en la Nube, como Google Drive y Dropbox, no son afectados por el CryptoLocker .

Otras medidas de seguridad

• Configurar el Escritorio Remoto de la forma correcta, es decir, que pida una contraseña, en lugar de dejar entrar a cualquiera.
• Preferentemente, usar una red privada virtual para las comunicaciones de la empresa.
• Evitar mediante filtrado que los empleados ingresen de forma indiscriminada a sitios Web desde las PC y dispositivos móviles de la empresa o que usan la red de la empresa. Si por la actividad de la pyme esto es inviable, instalar extensiones como WOT (https://www.mywot.com), disponible para Firefox y Chrome. WOT advierte a tiempo que el sitio que estamos por visitar es sospechoso; no los bloquea, sin embargo.
• Capacitar a los empleados para que no abran adjuntos sin antes verificar que son lo que dicen ser, aunque parezcan archivos legales y conocidos; no, ni siquiera si vienen de un familiar, un amigo, el padrino de la boda o el presidente de la compañía (esto no cuenta en el caso del CryptoLocker, pero sí en el de los gusanos, que se reenvían de forma autónoma en nombre de la víctima).
• Sé que el punto anterior es uno de los eslabones más débiles de la cadena, porque por mucha capacitación que se instrumente, un mail con trucos realmente sucios de ingeniería social (como los del nefasto virus LoveLetter) pueden desatar la tempestad. Así que no estaría mal que el servidor de correo filtre todos aquellos adjuntos que conllevan un riesgo.
• Configurar Windows para que muestre siempre las extensiones de los archivos (Panel de control> Opciones de carpeta> Ver y, allí, sacar el tilde a Ocultar las extensiones de archivo para los tipos de archivo conocidos).
• Se entiende que un software de seguridad en Internet actualizado y políticas de uso adecuadas son de rigor. En el post de Krebs citado más arriba se citan una serie de herramientas útiles. Pero acordate de que esto del malware es un juego del gato y el ratón, y no hay mejor defensa que el conocimiento y la capacitación.