Ransomware: Secuestro de información
El ransomware es un malware que utiliza la Ingeniería Social para infectar equipos, con el cometido de cifrar la información allí contenida para luego extorsionar a los dueños de los ordenadores a cambio de devolver el sistema a su estado original. Se trata de, ni más ni menos, un secuestro de información.Durante el año 1989 se conoció el programa AIDS (SIDA en inglés), el cual fue distribuido por correo postal a las compañías farmacéuticas, supuestamente conteniendo información sobre el virus VIH (virus de inmunodeficiencia humana), responsable de la enfermedad conocida como SIDA (Síndrome de Inmunodeficiencia Adquirida).
Cuando el mismo era ejecutado, provocaba el bloqueo del disco rígido, al mismo tiempo que exhibía en pantalla una factura que la víctima debía pagar para poder recuperar la información de su disco.
Este incidente de seguridad dio origen a lo que en la actualidad conocemos bajo el término de ransomware, un tipo de malware que, valiéndose de técnicas de engaño (Ingeniería Social) busca extorsionar a sus víctimas.
Desde un punto de vista conceptual y didáctico, el malware del tipo ransomware se caracteriza por “secuestrar algo” en el sistema operativo para luego pedir una “recompensa” a cambio de devolver el sistema a su estado original.
Este “algo” puede ser carpetas, archivos o, como en el caso que muestra la siguiente imagen, el bloqueo del mismo sistema operativo.
Imagen 1 – Bloqueo del acceso al sistema operativo
Este bloqueo generalmente se realiza a través del cifrado de los archivos “secuestrados”, exhibiendo luego en pantalla el requerimiento propuesto por el atacante para recuperar los archivos cifrados o, siguiendo el ejemplo anterior, el acceso al sistema operativo.
En este sentido, vale la pena mencionar que un porcentaje elevado de este tipo de códigos maliciosos se encuentra desarrollado en países de Europa del Este, habitualmente desde Rusia, desde donde proviene gran parte del crimeware.
Esta modalidad de virus ha visto su auge a partir de mayo de 2005 con el malware llamado "PGPCoder", y continuó desde ese entonces con casos de relevancia como el protagonizado por "CryZip".
En este caso la modalidad de trabajo consistía en infectar la computadora del usuario por los medios normalmente utilizados por cualquier malware, y proceder luego al cifrado de los documentos que eran encontrados (generalmente de ofimática), eliminando la información original y dejando un archivo de texto con las instrucciones para recuperarlo, que consistía en el depósito de dinero en una cuenta determinada por el creador del código malicioso. Luego que el dinero era depositado, se le entregaba al usuario la clave para descifrar los archivos.
Generalmente los métodos de cifrado utilizados son relativamente sencillos y fáciles de analizar, lo que permite a los especialistas conocer la clave y evitar que los usuarios pierdan dinero. Un ejemplo de lo mencionado lo constituye el troyano LockScreen, cuya imagen se observa a continuación:
Imagen 2 – Acción del troyano LockScreen
Como se puede apreciar, el ransomware es un malware muy agresivo que atenta de forma directa contra la seguridad de los usuarios al comprometer la confidencialidad, la integridad y la disponibilidad de la información.
Por lo tanto, es sumamente importante tomar las medidas de prevención necesarias para evitar ser una víctima de su accionar, realizando, por ejemplo, copias de seguridad periódicas de la información, y contar con la garantía de una defensa proactiva en materia de seguridad antimalware, como ESET NOD32, que elimine la posibilidad de infección por amenazas conocidas y desconocidas en todo momento.
