De entre todos los tipos de malware que conocemos, uno de los que más daño puede hacer en nuestros sistemas es el Ransomware. Con el paso del tiempo se han ido empleando técnicas cada vez más sofisticadas para lograr el acceso, aunque el fin sigue siendo el mismo, cifrar o bloquear los equipos y pedir un rescate para poder descifrarlos.
Las vÃas de infección para lograr el acceso son muy variadas:
• Aprovechar las vulnerabilidades de los sistemas.
• Conseguir cuentas con privilegios de administrador.
• Conseguir engañar a los usuarios para lograr que instalen un archivo malicioso, entre las más conocidas destaca el envÃo de correos falsos suplantando la identidad de entidades de prestigio como Correos, PolicÃa o Agencia Tributaria. También es frecuente el uso de correos que parecen anexar una factura, cuando en realidad es un archivo malicioso.
• Asà mismo cualquier banner publicitario o enlace a sitios no conocidos puede provocar la entrada de un malware en el dispositivo, por lo tanto, mucho cuidado con lo que nos descarguemos y ejecutemos.
La mejor forma de protegerse ante los ataques de ransomware es la prevención, para ello es necesario saber identificar este tipo de engaño (podéis acceder a nuestra GuÃa para identificar un phishing), mantener los sistemas actualizados y disponer de un buen antivirus.
El proceso de infección por un ransomware depende de la campaña utilizada en ese momento y puede ser que la infección se produzca por un fichero adjunto, un enlace malicioso o cualquiera de las vÃas que hemos comentado anteriormente.
Por ejemplo, imaginemos que llega un correo electrónico con un fichero adjunto malicioso. Una vez el usuario ha intentado abrir el fichero adjunto, se empiezan a cifrar todos los documentos que se encuentran en los discos duros del usuario, incluyendo en algunas ocasiones los documentos accesibles a través de unidades de red, por lo que debemos tener especial cuidado en entornos empresariales u organizaciones, ya que podrÃa comprometerse toda la información de la empresa si no se toman medidas a tiempo.
Una vez cifrada la información aparecerá una imagen indicando que el equipo ha sido infectado y que hay que pagar un rescate normalmente en bitcoins para poder recuperar la información. En este punto os advertimos que, lamentablemente, no hay forma de descifrar los ficheros sin pagar, pero que a pesar de realizar el pago no es seguro que se consigan descifrar los documentos, por lo que nuestra recomendación es que no paguéis ningún rescate y en su lugar realicéis la correspondiente denuncia ante la PolicÃa o Guardia Civil.
La realización de las copias de seguridad constituye otro punto de gran importancia en el caso de que tengamos que recuperar nuestros archivos a causa de algún incidente. La frecuencia con que hagamos la copia determinará la mayor o menor pérdida de datos.
Algunas variedades de ransomware poseen la capacidad de propagarse a través de la red e incluso cifrar servicios en la nube que el usuario infectado tenga mapeado en su equipo, por ello que las copias de seguridad deben estar desvinculadas de los dispositivos donde estén los datos. Asà mismo, en caso de que la copia la tengamos en una unidad externa tenemos que tener la precaución de no conectar el dispositivo que contiene la copia al dispositivo que está infectado, puesto que el ransomware se propaga con mucha facilidad y podrÃa dañar también el dispositivo que contiene la copia dejándola inservible.
En conclusión, si nuestros dispositivos han sido infectados por un ransomware os recomendamos no pagar el rescate. Deberemos aislar el equipo, desinfectarlo y restaurarlo después, haciendo uso de una copia de seguridad.