Imagen de portada de Marco Verch en Flickr bajo licencia Creative Commons
Siempre ha sido una máxima de la seguridad informática que los creadores de malware van un paso por delante de los desarrolladores de antivirus y de soluciones de seguridad.
Eso nos lleva a tener que adoptar medidas de cautela y protección que van más allá de la instalación de un software de protección integral en nuestros sistemas informáticos, o bien de varias soluciones concretas, como un antivirus, un firewall, y un antispam.
El caso del ransomware es algo especial, y además de la habitual protección mediante un software antimalware, deberemos tomar también medidas proactivas para evitar sus efectos, así como algunas medidas a posteriori si nuestro sistema resulta infectado.
Pero antes de profundizar en dichas medidas…
¿En qué consiste el ransomware?
“Ransom”, en inglés significa rescate, y esto aplicado al software -y más concretamente al malware– nos indica un programa que se apodera de nuestro ordenador y nos demanda un rescate por liberarlo.
Efectivamente, lo que hace el ransomware una vez ha superado o burlado las defensas instaladas en nuestra máquina, es encriptar nuestros ficheros personales (fotos, documentos de texto, hojas de cálculo,…) con un sistema de encriptación lo suficientemente fuerte para, en teoría, evitar intentos exitosos de desencriptación por fuerza bruta (es decir, descubrir cuál es la clave a partir de la realización sucesiva de intentos).
No obstante, cabe señalar que, en algunos casos, ha sido encontrado algún fallo en el código fuente del ransomware que ha facilitado la creación de un programa que descifra los archivos encriptados.
Siguiendo con la descripción de lo que es un ransomware, una vez realizada la encriptación de los contenidos, el programa exige un rescate a cambio de “liberarlos”, es decir, desencriptarlos.
Algunas veces, estos ransomware dicen proceder de alguna fuente oficial, engañando al usuario con una supuesta multa, o bien se revelan directamente como un chantaje llevado a cabo por parte de mafiosos.
Algunos son tan sofisticados y tienen tras de sí organizaciones mafiosas de tal entidad que ofrecen verdaderas líneas de atención al -involuntario- “consumidor”, chats en los cuales indican como pueden llevarse a cabo los pasos necesarios para realizar el pago del rescate, que generalmente se efectúa en Bitcoins.
El Bitcoin es una moneda virtual, exclusivamente electrónica, la cual no se corresponde con la moneda de ningún país y no está apoyada por ningún banco central. Presenta algunas ventajas, pero también algunos inconvenientes, como una opacidad que la llevan a ser una moneda de cambio para la comisión de crímenes online, como los correspondientes al ransomware.
Cómo protegernos del ransomware
Esta modalidad de malware se nutre de la información que tenemos almacenada en el ordenador, por lo tanto el primer paso es realizar copia de seguridad de esta, pero no de una forma cualquiera.
Descartad en primer lugar que la copia vaya a parar a una unidad conectada físicamente o a través de red a nuestro ordenador; dichas unidades son visibles en el árbol de directorios del sistema operativo y, por lo tanto, susceptibles de ser encriptadas también cuando el sistema sea infectado.
El efecto, pues, sería el mismo que tener el ordenador y las copias infectados. Por el mismo motivo, descartad también la realización de copias en un sistema de almacenamiento en la nube, si no es que después lo desconectáis de vuestro sistema operativo, de forma que el acceso no sea automático y no se produzca desde el sistema de ficheros.
Con esto creáis compartimentos estanco, de forma que evitáis que la infección se transmita fuera del ordenador.
También es una buena idea contar con un disco duro externo autoarrancable para la realización de las copias de seguridad, que tenga un sistema operativo distinto del instalado en el ordenador (por ejemplo, GNU/Linux si tenemos Windows en el ordenador), con un sistema de ficheros que no pueda ser leído por el sistema operativo instalado en el ordenador, pero que el disco del ordenador sí esté formateado con un sistema de ficheros que reconozca el sistema operativo del disco de copia.
¿Complicado? Te lo simplifico: ordenador Windows formateado con NTFS, disco duro externo con GNU/Linux formateado en ext4. Para realizar las copias de seguridad, reiniciamos el ordenador con el disco externo conectado y arrancando desde este (es decir, desde el Linux), y desde ahí copiamos los ficheros.
También es buena idea mantener un par o tres de copias de los ficheros, de fechas distintas, e indispensable marcarnos una periodicidad para la realización de las copias. Pero no una vez al mes, sino un par de veces por semana, por ejemplo.
Sobra decir que un buen antivirus instalado y la prudencia habitual cuando navegamos por Internet, deben estar presentes, no ya por el ransomware, sino como medida general para no caer víctimas de ninguna treta que pueda encontrarse en línea.
Qué hacer si ya ha infectado nuestro ordenador
Debido a la naturaleza de encriptación fuerte de nuestra información que lleva a cabo el ransomware, una vez infectado nuestro ordenador, lo mejor será que nos hagamos a la idea de perder toda la información de forma irremediable. Ello no quiere decir que echemos la toalla y no intentemos recuperarla, al contrario, pero la tarea es ardua, y me permito recomendar esto atendiendo a la máxima “aspira a lo mejor, pero prepárate para lo peor”.
Ni que decir tiene que nunca, y bajo ningún concepto, debemos pagar el rescate propuesto. Primero porque no tenemos la seguridad de que con ello podremos desencriptar los archivos encriptados y, con ello, recuperar nuestra información y, en segundo lugar, porque no podremos estar nunca seguros que no se vuelva a repetir el problema.
Seguidamente, debemos informar a las autoridades pertinentes (Policía Nacional, Guardia Civil, Mossos d’Esquadra, Ertzaintza), ya que, si bien no será una acción que contribuya de forma efectiva a limpiar nuestro ordenador ni recuperar nuestra información, sí puede ser de utilidad como prueba en un futuro juicio por la comisión de un delito por parte de quienes hayan creado el patógeno.
Si tenemos copias de seguridad realizadas recientemente de la información y las pérdidas son mínimas, a partir de este momento podemos formatear el ordenador y reinstalar el sistema operativo y las aplicaciones. Es algo molesto, pero debemos pensar que en un momento u otro tendremos que hacerlo, incluso si conseguimos recuperar la información.
En el caso que optemos por luchar hasta el final, no tengamos copias de seguridad, o estas no estén suficientemente actualizadas, podemos buscar una solución específica a través de Internet, llevar el ordenador a un servicio técnico especializado, o bien ponernos en contacto con uno o varios proveedores de soluciones de seguridad informática, para ver si hay posibilidad de solucionar el problema y con qué herramientas contamos.
Finalmente, y tanto hayamos podido recuperar como no la información, se impone un formateo completo y a fondo, y reinstalación del software del ordenador. De lo contrario, podrían quedar trazas del patógeno instaladas en el sistema que abrieran la puerta a una futura infección.
¿Te has visto alguna vez afectado por un ransomware? ¿Conoces alguien que lo haya sido? ¿Qué medida de seguridad tomas?