La palabra ransomware se ha puesto de moda en los últimos tiempos. El ransomware es un tipo de software malicioso capaz de restringir, de forma parcial o total, el acceso a uno o varios archivos almacenados en el disco duro de uno o varios ordenadores, bien de un particular o de una organización.
Habitualmente, los piratas informáticos o crackers responsables del mencionado software, normalmente radicados en países del Este de Europa o de Asia, piden un rescate por la recuperación de los archivos, no existiendo absolutamente ninguna garantía de que el pago del rescate permita recuperar los ficheros. Este rescate suele solicitarse en moneda criptográfica (siendo la más habitual el bitcoin), anónima por definición, así como a través de redes de tipo anónimo (como Tor), para evitar que las autoridades policiales y judiciales de los Estados en los que operan, así como las organizaciones policiales internacionales (Interpol), o las agencias de inteligencia occidentales (MI6, Mossad, CIA) puedan trazar el rastro del dinero. Los ejemplos más importantes de ransomware son el CryptoWall, el CrytoLocker, el CryptoFortress, el TorrentLocker y el TeslaCrypt, entre otros, siendo el más importante y conocido el CryptoWall.
El método de infección más común del ransomware se fundamenta en la ingeniería social o el desconocimiento que el usuario medio tiene de la informática. Así pues, este recibe en su cuenta de correo electrónico un mensaje llamativo, indicando que le ha tocado la lotería, que ha recibido un premio, o alguna circunstancia inverosímil similar, aunque también puede venir camuflado bajo técnicas de suplantación o spoofing de correo electrónico, simulando ser, por ejemplo, una empresa eléctrica o telefónica conocida que envía una factura al cliente.
Cuando el usuario accede al mensaje, se encuentra con que este lleva como adjunto un fichero, normalmente de tipo PDF o RAR y aparentemente inofensivo, que no es tal y realmente contiene un virus informático que, una vez el fichero ha sido descargado y abierto, comienza a ejecutarse y a cifrar todos los archivos que se encuentra en su camino. Si el sistema operativo tiene un antivirus debidamente configurado y actualizado, este detectará el virus y no permitirá, bajo ningún concepto, la descarga de dicho fichero (hay antivirus gratuitos muy potentes que son capaces de detectar las últimas versiones de los ransomware más conocidos).
El virus, que afecta principalmente a Windows, se instala como servicio del sistema operativo, por lo que se ejecuta cada vez que el usuario inicia el ordenador, lo que significa que reiniciar el sistema operativo no es suficiente para detener la ejecución del virus. Este se ejecuta siguiendo la estructura del árbol de directorios del sistema, normalmente mediante un algoritmo de búsqueda en profundidad, es decir, comienza por cifrar los archivos de la primera carpeta en la que se ha descargado, propagándose recursivamente por las carpetas jerárquicamente inferiores o hijas y cifrando los archivos contenidos en las mismas.
Cuando no encuentra ninguna carpeta jerárquicamente inferior, se desplaza hacia arriba en el árbol, hasta que se encuentra con una carpeta aún no infectada, repitiendo el proceso con las carpetas jerárquicamente inferiores (hermanas de la primera carpeta infectada, es decir, de la carpeta donde se descargó el fichero), cuyos ficheros no han sido todavía cifrados. El proceso continúa sin fin hasta que el virus ha cifrado todos los archivos contenidos en el sistema programados para ser cifrados (ya que el virus no cifra todos los ficheros del sistema), o hasta que se detiene su ejecución mediante la utilización de un antivirus u otro programa similar.
Los ficheros afectados por el cifrado no suelen ser críticos en lo que se refiere al funcionamiento del sistema operativo, es decir, el virus no cifra ficheros que impidan la ejecución normal del ordenador. Por el contrario, el objetivo de estos virus es el cifrado de documentos de procesador de textos o de tipo PDF, hojas de cálculo, archivos de bases de datos, etc., es decir, ficheros críticos para el negocio y la actividad de cualquier profesional, empresa u organización.
Es necesario prestar sumo cuidado a la configuración de las redes corporativas ya que, si bien este tipo de virus no es capaz de propagarse por la red local de un ordenador a otro, sí es capaz de cifrar los archivos, en el ordenador afectado, de las unidades mapeadas de los ordenadores conectados a la red. Esto quiere decir que si en la organización se dispone de una red informática en la que, desde ciertos ordenadores, se pueden consultar determinados archivos localizados en otros ordenadores porque se ha realizado una configuración de mapeo de unidades en red, el virus será capaz de cifrar todos los archivos contenidos en cada una de esas unidades mapeadas, si bien no podrá propagarse a dichos ordenadores y cifrar los archivos contenidos en otras unidades y carpetas no mapeadas de los mismos.
La solución para evitar el cifrado de los archivos de las unidades mapeadas en el ordenador infectado, una vez se ha detectado que existe un virus que está cifrando archivos en un punto determinado de la red, consiste en desconectar inmediatamente dicho ordenador de la red. Si no se conoce el origen de la infección, lo recomendable es desconectar el switch o router y, por tanto, desactivar la red, al menos de forma momentánea hasta que se detecte el origen de la infección. La desconexión de la red es una medida drástica que puede ocasionar perjuicios a la organización, pero es una opción a valorar teniendo en cuenta que se pueden perder un porcentaje muy alto de los ficheros de todos los ordenadores conectados a la red.
Por otra parte, en previsión de que un virus de tipo ransomware pueda infectar un ordenador de la red y cifrar un conjunto indeterminado de archivos críticos para el negocio, es vital planificar, desde el Gobierno TI de la organización, una serie de políticas conducentes a evitar que una infección de este tipo se pueda llegar a producir, además de tener planes de contingencia para recuperar el negocio a la mayor brevedad, minimizando las pérdidas, en caso de que una infección finalmente se produzca.
Este tipo de políticas, por ejemplo, impedirían que ficheros críticos para el negocio estuviesen alojados, de forma exclusiva, en carpetas compartidas de la red, configurando por tanto sistemas de almacenamiento estancos o incluso en nube, con políticas de acceso restringidas parcial o totalmente desde los ordenadores de la red, así como copias de seguridad de ficheros en intervalos de tiempo razonables y efectivos de cara a mantener intacto el negocio o con las mínimas pérdidas dentro de lo económicamente razonable, planificando para ello la mejor relación coste/beneficio para la organización.
El funcionamiento del ransomware tiene una componente matemática muy importante, concretamente la relativa al cifrado de los ficheros. Así pues, el método de cifrado está basado en la criptografía asimétrica o de clave pública, de tal forma que el virus cifra con una clave los ficheros y, estos, únicamente pueden descifrarse con la clave privada que poseen los piratas informáticos. Las últimas versiones de los ransomware más conocidos utilizan algoritmos como el RSA-2048, con una longitud de clave de 2048 bits, lo que en términos coloquiales implicaría un tiempo de millones de años en tratar de descifrar la clave privada aplicando métodos de fuerza bruta.
Este funcionamiento ha variado en los últimos años ya que, al principio, los piratas utilizaban criptografía simétrica, es decir, de una sola clave, para cifrar y descifrar los mensajes, con lo cual era mucho más sencillo que cualquier profesional especializado recuperase los archivos cifrados, al encontrarse la clave de cifrado y descifrado oculta en el propio virus o al ser más factible atacar por fuerza bruta el método de cifrado. Actualmente esta posibilidad es inviable, ya que el método de cifrado es muy poderoso, razón por la cual, lo más importante es la prevención para evitar infectarse, estando fundamentada dicha prevención en tres pilares básicos, que son disponer de un antivirus actualizado en cada uno de los equipos de la organización, formación a los empleados para no descargar y abrir, bajo ningún concepto, ficheros adjuntos a correos electrónicos cuyo origen se desconozca o se hallen incluidos en mensajes sospechosos, así como la planificación de políticas conducentes a la recuperación del negocio en caso de infección.
Si la fatalidad se produce y el virus infecta el ordenador, es necesario apagarlo inmediatamente, desconectándolo asimismo de la red. Posteriormente, al objeto de recuperar la información o archivos perdidos, la mejor opción es la contratación de los servicios de un perito informático colegiado, que realizará una clonación física del disco duro y utilizará programas informáticos especializados para recuperar los datos. Es importantísimo no utilizar, bajo ningún concepto, el disco duro infectado hasta no haberse puesto en manos de un perito informático (aún incluso habiendo conseguido eliminar el virus del disco, que se puede realizar de varias formas, como arrancando Windows en Modo Seguro y ejecutando un antivirus, o ejecutando un antivirus directamente desde el arranque, para lo cual sería necesario modificar las opciones de arranque desde la BIOS). Cualquier utilización del disco duro, por liviana que sea, podría sobrescribir los archivos borrados, volviéndolos irrecuperables.
El funcionamiento de los virus de tipo ransomware no incluye, normalmente, borrados seguros de los ficheros cifrados, es decir, algoritmos de borrado de datos de tipo Guttman o similares, que realizan numerosas batidas en el disco para eliminar cualquier posibilidad de recuperar la información, sino que, para mejorar la rapidez en la ejecución de sus maliciosos propósitos, el virus genera una copia de cada uno de los ficheros que cifra, elimina la copia original y cifra la nueva copia, como ya se ha advertido, con un algoritmo de cifrado muy poderoso en términos matemáticos.
Esto significa que la copia original no se elimina por completo del disco, sino que solamente se borra la entrada correspondiente del índice de ficheros del sistema operativo, marcando como desasignado el espacio que ocupa el archivo, de tal forma que el fichero original y sin cifrar permanece en el disco, pero en una zona de memoria no asignada, que podrá ser utilizada por el sistema operativo para almacenar cualquier otro fichero, eliminando en ese caso cualquier posibilidad de recuperación del archivo.
Por esta razón, es fundamental contactar con un perito informático de forma inmediata a la infección y, no utilizar, bajo ningún concepto, el disco duro, a fin de que el sistema operativo no sobrescriba las regiones de memoria desasignadas y se pierda cualquier posibilidad de recuperar los archivos cifrados por el virus. Cuanto más tiempo transcurra y más se utilicen los discos duros que contienen los ficheros cifrados, más difícil será la recuperación de los originales borrados.
Así pues, se recomienda que, si se produce una infección de tipo ransomware, bajo ningún concepto se abone el rescate a los piratas informáticos. Este rescate, como ya se ha advertido en el presente artículo, será exigido en moneda criptográfica para ser abonado utilizando redes anónimas, al objeto de evitar que las autoridades rastreen el dinero. La solicitud de rescate más habitual es de 1 bitcoin (unos 400 euros), que puede no parecer mucho dinero por recuperar todos los archivos pero, con total seguridad, la clave privada para descifrar los mismos no será proporcionada, por lo que conviene seguir los consejos de este artículo y ponerse en manos de profesionales peritos informáticos colegiados al objeto de recuperar los datos. El coste será sensiblemente superior, pero siempre se tendrá la garantía de que los profesionales harán todo lo que esté en su mano para recuperar los ficheros perdidos.
La vía de descifrar la clave mediante fuerza bruta es absolutamente inútil, debido a las características matemáticas del algoritmo de cifrado utilizado (habitualmente, el RSA-2048), por lo que la única opción posible es la recuperación de los ficheros originales borrados.
Algunas recomendaciones interesantes para evitar ser infectado por un virus de tipo ransomware incluyen:
- Evitar que copias únicas de los ficheros críticos para el negocio, se sitúen en carpetas compartidas en la red local corporativa y, por tanto, mapeadas en otros equipos.
- Aplicación de políticas de redundancia de la información, para la continuidad y conservación de los ficheros críticos para el negocio, en dispositivos de almacenamiento estancos y separados de la red principal de trabajo, mediante políticas de seguridad perimetral, o incluso en la nube.
- Instalación y adecuada configuración de un antivirus en cada equipo de la red (existen antivirus gratuitos muy poderosos, capaces de detectar prácticamente cualquier tipo de ransomware).
- Evitar publicar en páginas web las direcciones de correo electrónico corporativas de forma literal, es decir, evitar publicar una dirección del tipo “info@empresa.com”, sino publicarla con algún tipo de modificación, como por ejemplo “info[ARROBA]empresa.com”. Este sencillo procedimiento evitará que los crawlers y scrapers (unos tipos de robots o arañas software -en inglés, spiders-), lean el contenido de la página web y detecten una dirección de correo electrónico para incluirla en su “lista negra” de direcciones a las que enviar spam y virus.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación