lunes, 2 de octubre de 2017

Y así es como llega el ransomware.

Desde los albores de la masificación de la Internet, los programas maliciosos han estado ahí para hacerle saber a la humanidad que es cierto lo dicho por los papás y las mamás: Jamás aceptes algo de un extraño.

El caso del malware I Love You (VBS/Love Letter) causó problemas, muchos. Que llegue una carta de amor siempre es emocionante y excitante. Abrirla y que infecte al equipo lo es más. Y mucho más cuando todos los datos se pierden o son robados. ¿Quién te lo manda aceptar algo de un desconocido?

Y la humanidad no aprendió. El hecho aquel ocurrió en 2000, y desde 2013 a la fecha han habido otra serie de malosidades que ya no solo se conforma con hacerle ver su suerte al incauto: Ahora le secuestran sus equipos y sus contenidos.

El proceso ése se llama Ransomware. Básicamente consiste en la recepción de un mensaje redactado con técnicas de ingeniería social (alarmista, convincente, suplicante, sugestivo o sugerente, etc.), e invita a descargar un archivo adjunto o hacer clic en un enlace.


El mensaje puede provenir de suplantantes, esto es, usurpan identidades de oficinas del gobierno, comerciantes, prestadores de servicios, postulantes, o hasta conocidos. Usualmente es dirigido a instituciones o cuentas corporativas.

Primera línea de defensa: Jamás abrir archivos adjuntos no solicitados, mucho menos provenientes de remitentes desconocidos. Mucho menos hacer clic en enlaces embebidos en los mensajes.

Ya si tanta es la curiosidad, no intentar abrir o ejecutar el archivo sin antes escanearlo dos o tres veces con un antivirus actualizado o uno de la nube.

De igual forma, evitar hacer clic en las "actualizaciones" que ofrecen de la nada páginas web visitadas. Por ejemplo, en una determinada página puede aparecer el aviso de que debe actualizar algún programa, como flash player, macromedia, el propio windows, antivirus, etc. Las actualizaciones sólo se deben obtener de las páginas oficiales de los programas, no de los sitios que se visitan.

Segunda línea de defensa: Puede servir echar un vistazo a la cadena de remitente - destinatario. Usualmente, quien remite el ransomware se manda una copia del mensaje a sí mismo para seguimiento de la infección.


En el ejemplo, el aviso es alarmista advirtiendo un posible cierre de una cuenta, y para evitar ese cierre invita a dar clic en en enlace o descargar el adjunto. En otros casos puede ser el envío de una currícula laboral, un estado de cuenta, una notificación, fotos, programas, porno, actualizaciones, etc.


Hay muchas maneras de hacer que la gente se vea tentada a descargar el adjunto o hacer clic en el vínculo.

Hecho clic en el enlace, o descargado el adjunto, comienza el proceso de infección, que es tan silencioso que los antivirus no lo detectan. Al paso de unos cuantos minutos el equipo inicia un proceso de reparación automática que en la realidad es el ransomware encriptando los archivos de la máquina del usuario.

La encriptación hace inaccesible el acceso a los archivos, y hasta del propio sistema operativo; Acceso que solamente puede ser liberado mediante el pago de un rescate.

Tercera línea de defensa: Al comenzar el proceso de reparación, apagar de inmediato el equipo. Esto al menos detendrá momentáneamente la encriptación. Como el bicho comienza a funcionar tan sólo reiniciar el equipo, es necesario entonces aplicar un disco de rescate o de inicio.

Es probable que se pierdan algunos datos.

Cuarta línea de defensa: Hay que tener al menos un respaldo en un medio externo al del propio equipo, por ejemplo: disco duro externo, almacenamiento en la nube, etc. Hay programas muy buenos y gratuitos para hacer respaldos de nuestros contenidos, uno de ellos es syncfolders.

Esta última línea de defensa permitirá poder restaurar nuestros contenidos en caso de haber sido atacados exitosamente por el ransomware.