Cuando un ransomware infecta un ordenador, encripta toda su información y el usuario debe pagar un rescate para recuperarla
De vez en cuando alguien inventa una nueva forma de ganar dinero en internet con la que se obtienen beneficios salvajes, que atrae a innumerables imitadores y redefine lo que significa estar en línea. Por desgracia, el año pasado se produjo un cambio de ese tipo en el mundo de la delincuencia en internet con la creación de un sofisticado software malicioso conocido como ransomware, un modelo de negocio muy popular y fiable para los delincuentes.
Después de infectar un ordenador, quizás a través de un archivo adjunto de correo electrónico o un sitio web malicioso, el ransomware cifra automáticamente archivos entre los que pueden incluirse fotos, videos y documentos valiosos de una empresa, y emite una nota de rescate electrónica. Para rescatar los archivos hay que pagar una cuota a los criminales que controlan el malware, y esperar que cumplan su parte del trato descifrando los archivos.
El dinero que se puede ganar con el ransomware ha impulsado la creación de innovaciones técnicas. El último tipo de ransomware pide los pagos a través de Bitcoin, una criptomoneda difícil de rastrear, y utiliza la red de anonimato Tor. Millones de ordenadores domésticos y empresariales fueron infectados por ransomware en 2014. Los expertos en delitos informáticos aseguran que el problema no hará mas que empeorar, y algunos creen que los dispositivos móviles serán el próximo objetivo.
El ransomware ha existido desde hace más de una década. Los ejemplos más antiguos solían ser ineficaces o relativamente fáciles de derrotar. Pero a finales de 2013 surgió una nueva ola de ransomware más potente, comenzando con una versión llamada Cryptolocker. El malware infectaba los ordenadores con Windows y en unos 30 minutos cifraba casi todos los datos almacenados en ellos, así como las unidades externas o de red, bloqueando fotos, música y vídeos. Después mostraba un mensaje con un temporizador de cuenta atrás de 72 horas avisando a la víctima de que tenía que pagar una cuota (por lo general unos 300 dólares, 263 euros) para recuperar los datos. Unas instrucciones paso a paso explicaban cómo enviar el dinero mediante la compra de bitcoins o usando una tarjeta de débito prepagada.
Cryptolocker tenía un diseño profesional y utilizaba un sistema de cifrado esencialmente irrompible desarrollado por Microsoft. En su momento más álgido, alrededor de octubre de 2013, Cryptolocker infectaba unos 150.000 ordenadores al mes. Y en el transcurso de nueve meses, se cree que generó alrededor de 3 millones de dólares (2,63 millones de euros) con el pago de rescates.
Los criminales responsables de Cryptolocker fueron capturados en junio del año pasado, después de una colaboración entre el FBI y las agencias del orden del Reino Unido y la UE, varias empresas de seguridad e investigadores académicos. Los investigadores irrumpieron en la red utilizada para controlar el malware y descubrieron un alijo de claves de cifrado que más tarde se utilizaron para crear un servicio gratuito donde rescatar los datos pertenecientes a víctimas de la estafa.
Debido al éxito importante, aunque temporal, de Cryptolocker, el problema del ransomware seguramente se haga más grande.
El investigador de malware de la empresa de seguridad FireEye, Uttang Dawda, que trabajó en la herramienta de rescate de Cryptolocker, señala que los delincuentes informáticos han identificado el ransomware como un nuevo y valioso modelo de negocio. Si se diseña bien, proporciona beneficios más fáciles que robar datos de tarjetas de crédito o información bancaria y luego venderlos en el mercado negro. Los ladrones "consiguen anonimato, un beneficio más rápido y no tienen que gastar tiempo y dinero en encontrar intermediarios", asegura Dawda.
El ransomware de más éxito que circula actualmente copia el diseño básico de Cryptolocker pero añade mejoras técnicas y de diseño de interfaz.
Una de las primeras piezas de ransomware en ganar tracción el año pasado, Cryptowall, añade el uso de la red de anonimato Tor, que permite a sus gestores ocultar la ubicación de sus ordenadores. Entre mediados de marzo y finales de agosto del año pasado, Dell SecureWorks registró cerca de 625.000 infecciones de Cryptowall, incluyendo más de 250.000 en EEUU.
Otra pieza de ransomware, CTB Locker, crece a un ritmo más rápido hoy día, según Dawda. Utiliza un cifrado más fuerte que los ejemplos anteriores, el mismo truco de Tor que usa Cryptowall, e incluso un inteligente diseño "freemium": las víctimas tienen la oportunidad de descifrar algunos de sus datos de forma gratuita para demostrar que el pago va a funcionar realmente. CTB Locker está en varias versiones, en idiomas como el italiano, holandés, alemán y ruso, además de inglés. Se está extendiendo más rápidamente en Alemania, Polonia, México y América del Sur, según Dawda.
"Las cosas están cada vez peor, y vemos más y más infecciones", señala el analista sénior de amenazas en la empresa de seguridad Bitdefender, Bogdan Botezatu. Añade que hoy día el ransomware ocupa la mayor parte del tiempo de su equipo. En general aconseja a las víctimas no pagar, pero admite que entiende por qué muchos lo hacen. "Una vez que caes víctima del ransomware, no hay absolutamente ninguna manera de recuperar los datos sin tener que pagar", asegura Botezatu. "Pero si pagas, estás contribuyendo a ese tipo de negocio y financiando su investigación y desarrollo".
El reciente aumento del ransomware ha llevado al FBI a emitir un informe el mes pasado en el que advirtió que este tipo de crimen representa una amenaza no sólo para los usuarios domésticos, sino también para "las empresas, instituciones financieras, agencias gubernamentales, instituciones académicas y otras organizaciones".
Algunos investigadores de seguridad predicen que en 2015 los delincuentes harán grandes esfuerzos por hacer que el ransomware también funcione en teléfonos inteligentes y tabletas. Estos dispositivos suelen contener archivos personales de gran valor, como fotos y vídeos.
El primer ransomware capaz de cifrar archivos en un teléfono inteligente fue detectado el pasado verano por investigadores de la empresa ESET. El malware, conocido como Simplocker, ataca a los teléfonos Android y cifra fotos, videos y otros datos. El director del equipo de inteligencia de seguridad en ESET, Robert Lipovsky, afirma que Simplocker está "bastante generalizado" en EEUU, pero es más frecuente en Rusia, Ucrania y otros países de Europa del Este. Es difícil que el malware se propague en los dispositivos móviles, ya que la mayoría de la gente descarga software sólo en las tiendas oficiales de aplicaciones. Simplocker se suele transmitir a través de descargas de aplicaciones desde sitios web de pornografía.
La mejor forma de que el ransomware no entre en tu ordenador, según los expertos, es seguir buenas prácticas y mantener el software actualizado, usar antivirus y otros programas de seguridad, y prestar atención a dónde haces clic y qué instalas. Hacer una copia de seguridad de los datos en un disco duro distinto o usar un servicio en la nube te puede evitar tener que pagar un rescate si te acabas infectando.
"El ransomware podría ser sólo una molestia menor si la gente simplemente restaurase los datos desde una copia de seguridad", afirma Lipovsky. Sin embargo, al igual que otros investigadores de seguridad, se ha resignado a descubrir muchos más casos de ransomware durante los próximos meses. "A pesar de que el consejo es muy sencillo, mucha gente no hace caso".