Ransomware: un virus con el que un niño puede ‘secuestrar’ tus archivos

29 agosto 2017 | 15:06 hrs | Infobae

Actualmente, no es necesario contar con un equipo sofísticado, una larga experiencia en los sótanos de internet o una abultada cuenta bancaria para lanzar un poderoso ciberataque con consecuencias devastadoras para miles de personas. Esta nueva arma de guerra es tan barata y fácil de usar que, incluso, un niño podría representar un grave peligro para los documentos privados de cientos de miles de internautas.

Así lo han dicho múltiples expertos y lo han advertido, en papel, empresas como Sophos, una compañía especializada en fortalecer las redes de seguridad de gigantes como Pixar, Ford y Toshiba: en los últimos años ha crecido alarmantemente la venta en la “internet profunda” de un tipo de programa que puede costar menos de 20 dólares y que tiene la potencia para colapsar las finanzas de una persona, una familia, una empresa e, incluso, de un país.

Esos programas se conocen como ransomware, es decir, un software que al entrar en un sistema con internet —computadora, teléfono, tableta, etcétera— bloquea ciertos documentos y pide una recompensa o rescate a cambio de regresar el acceso a ellos.

VICE News entrevistó a Chester Wisniewski, un veterano científico especializado en ciberataques, para preguntarle sobre este nuevo fenómeno que está en aumento y que cada día pone en riesgo la información de miles de personas y empresas.

Para comprender la magnitud del problema que estudia Chester Wisniewski, un dato: en mayo de este año un tipo de ransomware se propagó en alrededor de 230.000 computadoras en, por lo menos, 150 países. El mundo lo conoció como ‘Wannacry’ y según especialistas consultados por el diario británico The Guardian la crisis pudo convetirse en tragedia, pues el virus estuvo cerca de tomar como rehén la programación de infraestructura básica en las ciudades como sistemas de ferrocarril de pasajeros.

VICE News: ¿Qué recursos debe tener una persona para hacer dinero con ransomware?
Chester Wisniewski: Es en realidad muy sencillo de fabricar. Hay dos o tres formas principales en que se están vendiendo herramientas para ransomware. El primer paso es que debes acceder a la deep web (internet profunda), que es bastante fácil de hacer. Con una simple búsqueda de Google puedes aprender a hacerlo. Lo siguiente sería visitar alguno de estos mercados digitales clandestinos. He estado monitoreando al “dream market”, uno de los mercados más grandes que hay actualmente. Hay un ransomware que puede conseguir en ese mercado usando bitcoins (moneda digital). Lo venden por 389 dólares y, como cualquier otro programa de computadora, una vez que lo compras tienes uso ilimitado para atacar a personas con esto.

El segundo método no usa dinero, es totalmente gratis de descargar. Se encuentra en la nube, si vas a un foro en la web y creas una cuenta, puedes descargar y personalizar el archivo ransomware: cuántas personas vas a afectar, qué tipo de archivos quieres bloquear. Y después por cada víctima que infectas, los criminales y grupos de creadores toman el 30 por ciento de lo que pague esa persona para que le devuelvan sus archivos.

El tercer método es algo así con un modelo de suscripción en donde se paga un precio para tener acceso al ransomware, digamos, por un mes. Y fijan un precio de 500 dólares mensuales y automáticamente te brinda en ransomware. Con esto podrías infectar a cientos de personas y puedes hacer un millón de dólares.

¿A qué te refieres con que inclusive un niño puede poner en riesgo a una compañía?
Absolutamente, es así de fácil (…) Le tomaría un par de horas averiguar cómo descargar una de estas cosas y buscar una forma de infectar las computadoras.

¿Qué puede hacer una persona después de darse cuenta que está infectada por ransomware?
Hay muchas opciones. Una es no hacer nada y esperar a que el criminal sea honesto y desbloqueé tus archivos. Dos, decidir que no necesitas los archivos y formatear tu computadora. Tres, recuperar tu información de respaldo. Nosotros alentamos a todos a hacer respaldos para poder recuperarlos después. Los respaldos te protegen de muchas cosas, además del ransomware. Los respaldos te protegen de temblores, huracanes, robos, si tiras tu teléfono al inodoro… Hay muchas cosas de las que te protegerá un respaldo, incluyendo el ransomware.

¿A quién puede acudir alguien que sospecha que ha sido infectado o que ha caído en la trampa de una infección?
Yo creo que lo mejor es contactar a alguien de tu confianza, es decir, un técnico. Si no eres un técnico, acude a la persona a la que acudes normalmente cuando tienes problemas con tu computadora. Esa persona te puede ayudar a identificar qué tipo de ransomware te infectó y luego te puede decir si hay un software de recuperación para ese particular tipo de virus. Si no has hecho respaldo, tienes que decidir si puedes prescindir de los archivos o si vas a pagar lo que se te pide como rescate. Tengo entendido que muchas personas que pagaron el ransomware recuperaron sus archivos. En realidad esa es una decisión personal.

¿Son las únicas opciones: respaldo, ceder ante la extorsión o decir adiós a los archivos?
Hay muy poco que puedes hacer una vez que has sido atacado. Otra cosa que se puede hacer es desconectar unidades de red, memorias USB o de respaldo. Probablemente también te deberías desconectar de la red de tu computadora. El ransomware tratará de pasar esos canales. Es buena idea desconectar para reducir el daño, mientras determinas si vas a reconstruir tu información o vas a conseguir el dinero para pagar el rescate.

Hemos leído en este tema una palabra que varios repiten: “compasión”. ¿Qué significa en tu ámbito de estudio?
Es un tema interesante, ya algunos de estos grupos están mostrando simpatía con las víctimas. Yo estuve trabajando con un periodista del New York Times hace tres años. Su mamá fue infectada con ransomware. Los criminales le pedían como 500 dólares en bitcoins para liberar su información. Ella es una mujer de la tercera edad y realmente no entendía sobre bitcoins, así que le pidió ayuda a un amigo y a su hija para pagarles a los criminales. Y durante el tiempo que tardó en comprar los bitcoins —un par de días—, el precio de los bitcoins se redujo a 400 dólares. Entonces ellos mostraron simpatía con la víctima (ante el bajo costo que terminaría siendo un rescate así).

Sin embargo, también vimos lo opuesto: que algunos grupos implementaron el ransomware en un hospital y eso puso en peligro a la vida de personas. En vez de pedir 400 o 500 dólares por computadora, pedían muchos miles de dólares porque sabían que los infectados no tenían otra opción que pagarles porque se jugaba con la vida de sus seres queridos. Entonces, vemos compasión ocasionalmente, pero también vemos que los criminales exponen a las personas a grandes peligros.

¿Hay un perfil de personas que usan estos ransomware para dañar a personas y empresas?
No sabemos mucho de estos criminales, así que es difícil perfilarlos. Sin embargo, hay indicadores que nos acercan a ellos. En muchos de los primeros grupos de ransomware, hace unos años, muchos de ellos usaban computadoras con lenguaje ruso (…) Pero como ahora los kits están en venta en la “internet profunda”, ahora hay criminales de todas partes del mundo. Hay una tendencia en aumento de criminales inmaduros que utilizan ransomware. Así que vemos a mucha gente acudiendo a salas de chat underground, a foros, pidiendo ayuda para resolver un problema técnico muy básico. Para mí esas personas parecen tener el inglés como su primer lenguaje, o ciertamente un inglés de muy buena calidad, así que la personalidad de estos criminales inexpertos yo diría que es la de un joven que habla inglés y que está experimentando.

Mucha gente que inicia en el ransomware y que no tienen mucho éxito haciendo dinero es porque no son muy sofisticados. En cambio, los grandes grupos, los sofisticados, los que hacen mucho dinero, parecen ser del este de Europa y probablemente estén relacionados con el crimen organizado.

¿Estos criminales pueden afectar a través de versiones piratas de un software?
Sí, esa es una manera muy común de infectar teléfonos de Android, y también OS X, de Apple. Cuando bajas un software pirata estás aceptando voluntariamente algo así. Eso significa que pueden traspasar tu control de seguridad fácilmente. Tu sistema de protección emerge y te advierte sobre el programa que estás instalando. Probablemente lo apagues porque crees que es un software seguro, cuando en realidad incluye software malicioso que se almacena en tu software. Esa es una técnica común.

¿Cómo se enfrenta un ataque tan corrosivo como ‘WannaCry’?
Nosotros resolvimos muchos casos de clientes afectados por ‘WannaCry’, que fue una red muy inusual, porque no parecía que su propósito haya sido hacer dinero, en mi opinión. Ciertamente hizo dinero, pero si querían que ‘WannaCry’ fuera mucho más rentable hubieran atacado de otro modo.

Estos criminales entienden que necesitan lavar su dinero, es por eso que la mayoría tiene mucho cuidado en cómo aceptan los bitcoins. Por ejemplo, digamos que yo te ataco y ataco a tu compañero de trabajo. Todo lo que pido es que pagues el rescate en una especie de cuenta bancaria especializada en bitcoins, en lugar de una cuenta bancaria tradicional. Esto hace más difícil a la policía de tener un control sobre cuántas víctimas, cuánto dinero se hizo (…) Con los años, los criminales se han vuelto más astutos al esconder entre múltiples carteras bitcoins a dónde va el dinero (…) En ‘WannaCry’, todo el dinero se dirigía a una cartera bitcoin, algo muy inusual y muy poco profesional, porque si eres criminal, debes preocuparte por ser arrestado o ir a prisión. No harías eso, porque así es muy fácil para la policía encuentre tu dinero.

Investigadores que conozco y en los que confío parecen tener evidencia que sugiere que pudo haber sido Norcorea (el creador de ‘Wannacry’) y eso, para mí, tiene sentido. Me parece lógico, porque un gobierno no teme ser arrestado, así que no necesita esconder los bitcoins, de la misma manera que un típico criminal. A veces los gobiernos están interesados en ver qué tan bien funcionan. Y parece para mí que un ataque como el de ‘WannaCry’ sirvió como ensayo: cómo es propagar un malware, qué tan rápido se propagaría, dónde se propagaría.

Y esto es algo que sería muy útil para un próximo ataque.

Nota de origen