seguridad, informatica, ransomware, virus, hackeo, secuestro, mundial
Imagen: César Mejías

Ransomware: ¿de qué se trata este "nuevo" hackeo-secuestro? (y cómo prevenirlo)

Son el tema del momento cuando se habla de seguridad tecnológica, pero muchos no saben de qué se tratan. Por eso, en El Definido te contamos de dónde salieron estos virus, cómo funcionan y cómo evitar caer en sus maliciosas redes.

Por Rodolfo Westhoff @rwesthoff | 2017-05-24 | 07:00
Tags | seguridad, informatica, ransomware, virus, hackeo, secuestro, mundial

Imagínate un día estás navegando tranquilamente en tu computador, hasta que de repente te das cuenta que no tienes acceso a algunos de tus archivos. Y no estamos hablando de cualquier documento sin importancia que guardaste como “asdasdad.pdf”, sino que cosas relevantes, como las fotos de tus vacaciones en Mulchén 2004.

Bueno, quizás ese no era el mejor ejemplo, pero el punto está claro: que te restrinjan el acceso a la información que guardas en tu computador es como que se vulnere lo más personal y sagrado que una persona pueda tener, junto con el pedazo de chocolate que escondemos en nuestro velador.

Y lamentablemente, como algunos sabrán, el “secuestro” de información personal se ha puesto de moda últimamente. Sobre todo después del hackeo mundial que afectó a más de 150 países a mediados de este mes. Pero, ¿de qué se trata? ¿Cómo funciona? ¿Se puede prevenir? ¿Es un pájaro o un avión?

¡Socorro, es un secuestro!

Para empezar, hay que aclarar que ransomware viene de ransom (rescate) y ware (software o programa). Y eso explica mucho sobre cómo es su funcionamiento: un virus que invade tu computador, bloquea tus archivos y pide una recompensa a cambio de su liberación.

¿Y cómo se paga esto? Lo bueno es que no es necesario enviar paquetes con dinero a una extraña dirección de Rusia. Lo que se suele hacer es pedir a cambio cierta cantidad de Bitcoins. Y lo malo es que este dinero digital está carísimo: solo una unidad cuesta más de un millón y medio de pesos chilenos. Para colmo, hay casos en los que se han pedido hasta 200 Bitcoins. Auch.

La otra pregunta que nos hacemos es cómo llegó ese ransomware ahí. ¿La respuesta? Camuflado, cual camaleón. Lo que hace este virus es esconderse dentro de otros archivos o programas que podrían ser de nuestro interés, como un archivo adjunto en un correo electrónico de spam, un video que llame la atención, falsas actualizaciones de sistema, etc.

Ya estando adentro del sistema, lo que hace es activarse y bloquear el entramado operativo. De ahí en adelante viene la parte del “secuestro”: se advierte de la amenaza, se establecen las condiciones para el rescate y se extraen datos personales a partir de la dirección IP, la proveedora de internet o la webcam.

Un pasado oscuro

La primera vez que se tuvo registro de la difusión de un ransomware fue en 1989. ¿Cómo, si ni siquiera teníamos internet ahí (al menos como lo conocemos ahora)? Bueno, el científico estadounidense Joseph Popp se las arregló para enviar 20 mil diskettes a la comunidad de investigadores de la salud alrededor del mundo.

Estos simulaban ser una encuesta para analizar las propabilidades de contraer SIDA según sus comportamientos sexuales, pero en verdad era un virus que terminaba bloqueando los computadores. ¿La recompensa? US$ 189 de ese entonces, los que debían ser enviados a una oficina de correos en Panamá.

Finalmente lo encontraron y lo tomaron preso, pero sentó las bases para una industria que llegaría a mover miles y miles de dólares.

El negocio del ransomware

Según un informe de la multinacional IBM, en el 2016 se vivió una alza de 6.000% en los casos de correos de spam con ransomwares. Eso significa que alrededor del 40% de los correos de spam enviados en el 2016 poseían un virus de este tipo.

Ahora, de las empresas afectadas el 70% pagó la cuota que se le exigía para rescatar su información. Y eso da la suma de nada más ni nada menos que mil millones de dólares. No es para poco, si el 50% de los afectados pagó más de US$ 10 mil (CLP$ 6.5 millones aproximadamente) y otro 20% pagó más de US$ 40 mil (CLP$ 26 millones aproximadamente).

Eso sí, cuando los afectados eran personas individuales (y no una empresa) los cobros rondaron los US$ 300 (CLP$ 195 mil aproximadamente). Así se que podría decir que el negocio de los ransomware es uno muy, muy rentable, para mala suerte de todos.

¿Recomendaciones?

La FBI (Buró Federal de Investigaciones de Estados Unidos) recomienda NUNCA pagar la cuota de rescate que se pide y, en vez de eso, contactar a las autoridades competentes. Aunque además de eso, hay otra serie de sugerencias que podrían servirte para evitar caer en estas circunstancias:

-Asegura tu información en otras partes, como un disco duro externo o en la nube.

-Fíjate bien en cada link que abras desde un correo electrónico. De hecho, evita hacerlo si viene de un mail que no esperabas y que tenga pinta de spam.

-Si vas a descargar algún programa, hazlo desde un sitio oficial que de garantías de seguridad (por ejemplo, bajar una versión de Windows desde el sitio de Microsoft y no desde una página pirata).

-Trata de tener las actualizaciones de tu computador al día, ya que estas suelen incluir factores de seguridad (de hecho, muchos computadores se salvaron de ser infectados en el último gran ataque cibernético gracias a una actualización de Windows).

-Lo ideal es que tengas anti virus y antimalwares que trabajen de manera automática y se actualicen solos (porque no nos mintamos. Siempre se nos olvida hacerlo).

¿Qué otras medidas de seguridad agregarías?

¿CÓMO TE DEJÓ ESTE ARTÍCULO?
Feliz
Sorprendido
Meh...
Mal
Molesto
Comentarios
Pablo Raín | 2017-05-24 | 09:43
1
Interesante.
Sólo una aclaración: en el 89 ya existía el internet hace rato (de hecho existe onda cómo desde un poco después de la segunda guerra mundial si no me equivoco).
Lo que no había era páginas web

Ni computadores de forma masiva.

Ni yo (aún no siquiera era el espermatozoide más rápido XD)
responder
denunciar
apoyar
Pablo Raín | 2017-05-24 | 09:48
0
Y otra cosa, recuerdo artículos de antes que esto estuviera tan de moda que recomendaban igual pagar, por la simple razón de que al final se recuperaban los archivos sí o sí... Lo malo es que eso te convierte en blanco para posteriores ataques (algo así como el Perkin de los hackers)



Y lo que sí o sí es casi infalible son los respaldos (más que actualizar el sistema o los antivirus). Porque seamos honestos, la gran mayoría de la gente al bajar o instalar algo solo aprieta siguiente, siguiente, siguiente.
responder
denunciar
apoyar
JCL | 2017-05-24 | 11:49
0
Hoy en día, la seguridad informática no se le niega a Nadie, pero eso Nadie aún no lo sabe...
responder
denunciar
apoyar
Eduardo Salgado | 2017-05-24 | 12:02
1
La mejor defensa contra el Ransomware consta de 2 pasos : encriptar tu disco duro y hacer respaldos constantemente. De esa forma, si logran acceso a tu información no podrán utilizarla y con un respaldo actualizado simplemente te ries de sus amenazas.

El pagar el "rescate" no se recomienda por varias razones :

- Los alientas a seguir con ese modelo de "negocio"
- Financias sus futuras operaciones.
- Nada te garantiza que te vayan a enviar la clave de desbloqueo una vez que pagues, o si la envían, que la clave funcione. O que no te encripten todo de vuelta al otro día.
responder
denunciar
apoyar
Carlos Soto | 2017-05-25 | 13:30
0
Hola

Yo creo que le ponen mucho con el "ransomguare", porque es como cualquier virus, la gran diferencia es que se hace público al solicitar un rescate. Encuentro que es más noticioso y cool hablar de él por lo llamativo, pero no me parece que sea tan terrible, como para preocuparse más que con otros virus.

Me desagrada cuando se habla de virus y hackers como si estos tuvieran poderes mágicos, porque no se especifica realmente el origen del problema, el cómo logran introducirse a sistemas o computadores. Obviamente a ninguna institución le gusta decir que les infectaron sus computadores con windows 98.

Las razones por las que se infectan los computadores con virus, normalmente, son dos:

1. Deficiencias o vulnerabilidades en el sistema operativo Windows (por eso, mágicamente, con un parche se soluciona el problema)

2. El analfabetismo informático (que tengamos "la última chupa'" del smartphone no implica que no seamos analfabetos).

Entonces, esa exageración del problema y la poca información más profunda sobre el funcionamiento del software, hace que los virus y hackers tengan muchoooooo campo donde desenvolverse.

Para terminar, las recomendaciones sobre este virus son las mismas que con cualquier otro, creo que lo único que se suma es "no paguen el rescate". Pero tener antivirus actualizado, hacer respaldos, no abrir archivos sospechosos -aunque digan que son el último video de pamela anderson-, etc. es lo miiiiiiiiiismo que se recomienda siempre.

Saludos!
@sotelio
responder
denunciar
apoyar
gif Comentario destacado por El Definido
Alejandro Gado | 2017-05-25 | 15:19
3
Hola Carlos, como dices en general las infecciones con virus son por "analfabetismo informático", es por lo mismo que quiero aclarar el por qué esta vez se hizo tan famoso el virus, créeme, no es porque pida públicamente un rescate, eso ya lo hacían versiones anteriores del ransomware. La principal diferencia de esta versión es la forma de PROPAGACIÓN del virus, pongo énfasis en propagación ya que la forma de infección es prácticamente la misma, un descuido del usuario al descargar un archivo o al permitir una pagina ejecutar un javasript o algo por el estilo, pero antes la infección quedaba ahí, solo en ese dispositivo (podía en algunos casos traspasarse a través de pendrives u otras unidades USB), esta vez el Ransomware WannaCry se aprovecha de una vulnerabilidad en el protocolo SMB de Windows (usado para compartir archivos, impresoras, etc en redes domesticas o empresariales) para propagarse a todos los equipos de la red. Es decir, antes para ser afectado por este virus era "tu culpa" por ser poco cuidadoso sobre los archivos que descargas, pero esta vez solo hace falta el descuido de 1 usuario para afectar a todos los equipos de la red independiente de que ellos tengan todo el cuidado del mundo.
Comprenderás que esto generó que la propagación fuese muy rápida y muy masiva. Respecto a los PC windows 98 de las empresas... bueno el parche para esta vulnerabilidad salió solo en Marzo de este año, por lo cual cualquier equipo independiente del sistema operativo era vulnerable a esa fecha. Para las empresas no es tan simple como para los usuario de dejar las actualizaciones de forma automática (y aun así muchos usuarios no lo hacen! solo considera los windows piratas que nos e actualizan...) ya que comprenderás que si 1800 pc de una empresa se ponen a descargar los parches al mismo tiempo tendrás un lindo "tapon" en tu red. Ademas de eso, algunas actualizaciones de Windows pueden afectar el funcionamiento de algunos programas que utiliza la empresa (nunca te ha pasado que actualizas windows y el juego mas entretenido que tenias nunca mas funciono?).

Aparte de lo ya mencionado existe otra arista que hace que este caso sea muy popular y preocupante y es que la vulnerabilidad usada por WannaCry era conocida hace mucho tiempo por la NSA (agencia de EEUU que usaba la vulnerabilidad para espiar personas que consideraran "potencial riesgo de ser terrorista" u otras cosas pro el estilo) y solo salió a la luz porque un grupo de hackers robó esta información a la NSA y la vendió al mejor postor(después de todo parece que si tienen un poco de poderes magicos no?)por razones obvias, la NSA jamas habría entregado esta información a Microsoft para crear los parches... pero lo peor es que comprenderás que no es la única vulnerabilidad que tenia la NSA para espiar personas, por lo que el grupo de hackers tiene mas para vender (se dice que son 7 y serán puestas en venta en junio).

Entonces deberíamos estar preocupados? SI, deberíamos, si no queremos pasar un mal rato y perder nuestra información, o peor aun, si tenemos una PYME con información importante para su funcionamiento debemos tomar los resguardos adecuados como indica el articulo, solo cambiaría el orden de las recomendaciones.

1) Tener siempre nuestro sistema actualizado.
2) Tener siempre nuestro antivirus actualizado.
3) Realizar respaldo de nuestros archivos importantes, Y JAMAS CONECTAR NUESTRO RESPALDO A UN EQUIPO QUE HAYA SIDO INFECTADO O TAMBIÉN LO PERDEREMOS, mucho menos tener este respaldo disponible por red.

Y mas importante que todo, dejar el analfabetismo tecnológico, vivimos en una era de tecnología y debemos aprender a convivir de buena forma con ella, entender las ventajas pero también los riesgos, esto nos llevará a tener mejores hábitos y ser menos propensos a ser infectados por virus o caer en alguna estafa por medio de ingeniería social.

Si hay algo que no te quede claro no dudes en consultar, estaré encantado de responder,

Saludos!
responder
denunciar
apoyar
Carlos Soto | 2017-05-26 | 00:38
1
Hola, Alejandro

Gracias por la explicación. Yo tenía entendido que ya habían virus que se propagaban a través de la red, de hecho, es común cuando administras un servidor, al revisar logs, percibir conexiones externas en diferentes puertos, que no siempre se relacionan con servicios del mismo computador/máquina/servidor. Por eso, al menos, no lo veo como novedad. Sí lo relacionado con la NSA, o sea, encontrar vulnerabilidades, sacarle provecho sin darlo a conocer, es por lo menos, poco ético.

Y respecto a windows 98, era una broma, supongo que nadie lo usa ya jaja.

Si yo tuviera una pyme, instalaría linux en todos los pcs :D.

Saludos!
responder
denunciar
apoyar
Alejandro Gado | 2017-05-26 | 13:49
1
Por nada Carlos, y efectivamente como comenta JCL mas abajo ya existían virus que se propagaban por red, pero aprovechaban otro tipo de vulnerabilidades hace mucho tiempo parchadas, aquí lo peligroso es la combinación de ransomware+vulnerabilidad de red por el daño que causa de por sí el solo ransomware!. En este caso el puerto usado por SMB (445) es "legal" por lo cual mas difícil se hace "filtrar y detectar" estos ataques, que dicho sea de paso a nivel empresarial no se hace en los servidores, se realiza a nivel de router/switch/firewall/balanceadores de carga, es por esto que las principales alertas provenían de empresas de internet ya que ellos podían ver el trafico "poco habitual" en este puerto.

Sobre revisar los logs de servidores en este caso no es que se aplique la regla realmente, las noticias han confundido un poco justamente por la falta de conocimientos, ya que se habla de EMPRESAS afectadas, esto nos hace pensar que son los servidores los infectados, pero realmente no es así, este ataque esta dirigido a los pc de usuario los cuales al infectarse encriptan cualquier unidad compartida, esto se puede corroborar con los datos entregados por Kaspersky donde se muestra que un 97% de las infecciones pertenecen a windows 7 y en servidores alcanza apenas un 2%!! Es por esto que digo que realmente deberíamos estar preocupados como usuarios ya que realmente nosotros somos el objetivo directo.



Y de todas formas, lo mejor seria instalar un servidor linux que tiene menos vulnerabilidades (pero ojo que tiene y no pocas!) y son menos foco de ataques ya que el objetivo siempre son los pc de usuario (es mas fácil atacar un usuario que un servidor por los niveles de seguridad) y el mercado en cuanto a estaciones de trabajo lo lidera por mucho microsoft, los atacantes siempre buscaran tener el mayor impacto por lo tanto prefieren atacar windows.

Con lo indicado mas arriba podemos concluir que en este caso podrías tener en una PYME un servidor linux como File Server (servidor para compartir archivos) pero la estación de trabajo de los usuarios sería windows (no creo que a los usuarios les vas a poner linux si ya se les complica usar windows jeje) por lo tanto los pc infectados encriptarian de todas formas los archivos compartidos del File Server (independiente del S.O que este tenga). No olvidemos tampoco que un server linux va a requerir una administración con conocimientos en la plataforma que no es de dificultad nuclear, pero vamos, Windows sigue haciéndolo bastante mas fácil...

Y lo del windows 98 no me lo tomo tan a broma porque no es "tan alejado" de la realidad jajaja, recordemos que cuando el soporte técnico de Windows XP terminó (el 8 de abril de 2014) un 98% de los cajeros a nivel mundial aun usaba este SO!! es mas, china saco su propia versión de windows XP ya que el costo era menor que cambiar el SO de todos sus cajeros pero esto los dejo sin soporte de parches de seguridad como el de este caso... no me quiero imaginar la realidad de los países latino americanos!

Y por último la NSA... creo que no da para mas análisis, poco ético por decir lo menos, y ya sea directa o indirectamente, son responsables de que esto se haya vuelto tan masivo...


Saludos, y como dije anteriormente, si hay alguna duda estaré encantado de contestar!

P.S: No se incluyen los link de la información ya que justamente es uno de las formas de infección mas utilizadas (das click a un link que dice ir a un lado, pero va a otro lugar...) pero se puede buscar en google o lo puedo enviar por PM si lo precisas!
responder
denunciar
apoyar
Alejandro Gado | 2017-05-25 | 15:50
0
Muy buen articulo! le agregaría parte de la respuesta que le di a Carlos Soto sobre el método de propagación, ya que esta vez no solo viene camuflado en algún archivo como en versiones anteriores, es justamente ésto lo que lo hace tan "especial" y por lo que ha causado tanto impacto:

"La principal diferencia de esta versión es la forma de PROPAGACIÓN del virus, pongo énfasis en propagación ya que la forma de infección es prácticamente la misma, un descuido del usuario al descargar un archivo o al permitir una pagina ejecutar un javasript o algo por el estilo, pero antes la infección quedaba ahí, solo en ese dispositivo (podía en algunos casos traspasarse a través de pendrives u otras unidades USB), esta vez el Ransomware WannaCry se aprovecha de una vulnerabilidad en el protocolo SMB de Windows (usado para compartir archivos, impresoras, etc en redes domesticas o empresariales) para propagarse a todos los equipos de la red. Es decir, antes para ser afectado por este virus era "tu culpa" por ser poco cuidadoso sobre los archivos que descargas, pero esta vez solo hace falta el descuido de 1 usuario para afectar a todos los equipos de la red independiente de que ellos tengan todo el cuidado del mundo."

Saludos!
responder
denunciar
apoyar
JCL | 2017-05-25 | 16:52
2
ya hace varios años se evidenció un método de propagación similar, es cosa de conocer al conficker que no dañó a nadie(particular ni gubernamental), pero les aseguro que cada uno de vuestros computadores y las redes a las cuales estaban conectados estuvieron contaminados con tal virus y propagandolo.

Invito a googlear conficker, para que conozcan su historia, yo lo descubrí el 2011, unos archivos me parecían ajenos al sistema y estuve peleando con ellos como 3 años sin saber de que se trataba, a que exponían la red que administraba o que daño causaba, no se veía ningún efecto,llegué a poner a mas de 200 equipos en cuarentena simultanea y aislación junto con un formateo masivo, tratando de erradicar el posible virus (fuí odiado por los usuarios y cuestionado por la institución) hasta que el 2015 me enteré de lo grande que era (Digno de Zalfate).

Por otro lado quiero recalcar que la seguridad informática no se le niega a nadie, cualquier usuario domestico puede acceder a un buen antivirus o antimalware sin pagar ni uno, hay muchos que creen estar muy seguros con su antivirus, pero resulta que instalaron uno pirateado que a la larga trae mas mal que bien.
responder
denunciar
apoyar
Alejandro Gado | 2017-05-26 | 14:02
0
Asi es JCL, de existir vaya que existian! la historia de los virus es bastante larga, pero en este caso fue grande por el daño que causa el ramsonware por si solo, sumado a la forma de propagación, fue una bomba! jeje. Y algo parecido al conficker esta sucediendo ahora, como mencione mas arriba las vulnerabilidad usadas por el ransomware wannacry (dos en total) fueron robadas a la NSA, pero existen 5 mas que fueron robadas y al parecer están siendo usadas en un nuevo virus, que similar al conficker, parece no hacer nada por ahora pero es como si estuviese "preparando" los equipos para un gran golpe a futuro, si quieres saber mas puedes buscar EternalRocks,

Saludos!
responder
denunciar
apoyar
* Debes estar inscrito y loggeado para participar.
© 2013 El Definido: Se prohíbe expresamente la reproducción o copia de los contenidos de este sitio sin el expreso consentimiento de nuestro representante legal.