TODO SOBRE EL RANSOMWARE – Guía básica y preguntas frecuentes

El ransomware ha sido uno de los códigos maliciosos que más relevancia ha tenido en los últimos tiempos, afectando a usuarios y empresas de todo el mundo. Dado que su explosión ha sido repentina y surgen muchas dudas sobre este malware, desde Consultores en IT y ESET Latinoamérica hemos decidido responder algunas preguntas básicas y repasar algunos ataques para simplificar la comprensión de los mismos y brindar una explicación completa sobre el ransomware.

¿Qué es el ransomware?
El ransomware (secuestro de información) es el término genérico para referirse a todo tipo de software malicioso que le exige al usuario del equipo el pago de un rescate.

¿Por qué se accedería a pagar un rescate? ¿Cuál es el riesgo de no pagarlo?
Este tipo de malware suele dañar el equipo y los datos que este contiene. Puede haber cifrado los documentos y exigir el pago de un rescate para desbloquear el acceso a ellos. Los códigos que actúan de este modo se conocen como filecoder (codificador de archivos). El más popular es Cryptolocker, y las soluciones de seguridad de ESET detectan muchas de sus versiones como Win32/Filecoder.

¿De qué forma puede infectarse un equipo con un ransomware como Cryptolocker? Posibles modos o vías de infección
La forma de infección más usual es a través de la apertura de archivos adjuntos de correos electrónicos no solicitados o al hacer clic en vínculos que aseguran provenir de entidades bancarias o de empresas de mensajería. También se encontraron versiones de Cryptolocker que se distribuyeron a través de redes peer-to-peer (P2P) para compartir archivos, haciéndose pasar por claves de activación para programas populares de software como Adobe Photoshop y Microsoft Office.

Si el equipo se infecta, Cryptolocker busca una amplia gama de tipos de archivos para cifrar y, una vez que terminó el trabajo sucio, muestra un mensaje donde exige una transferencia electrónica para descifrar los archivos.

Consecuencias del ransomware
En la mayoría de los ataques, hay una fecha límite para realizar el pago: si el mismo no se realiza a tiempo, se podría perder el acceso a los archivos de manera permanente.

¿Qué sucede si se termina pagando el rescate?
Son muchas las personas que deciden pagar estos rescates ya que muchas veces no cuentan con una copia de seguridad (backup) verificada desde la cual restaurar sus archivos confidenciales o corporativos.

¿El pago del rescate garantiza la recuperación de los datos?
El pago del rescate no significa que la víctima recuperará sus archivos ni que esté fuera de peligro. Los criminales pueden dejar malware en el equipo e identificar al usuario como uno dispuesto a pagar dinero en efectivo para recuperar el acceso al equipo o a los datos. En resumen, el pago del rescate podría favorecer otro ataque en el futuro.

Es por esta razón que desde Consultores en IT y ESET no recomendamos el pago. No hay forma de evitar que los atacantes exijan más dinero ni que se vayan a recuperar los archivos. Y mediante el pago del rescate se está ayudando a crear un nuevo mercado para los cibercriminales, lo que puede conducir a más ataques cibernéticos de ransomware y de otros tipos en el futuro.

¿El antivirus no puede simplemente quitar la infección de ransomware?
En la mayoría de los casos, un buen software de seguridad tendría que ser capaz de quitar el ransomware del equipo. Pero ahí no se termina el problema, porque si se trata de un filecoder, los archivos seguirán cifrados. El software de seguridad puede llegar a descifrar la información confidencial si se utilizó un filecoder básico en el ataque, pero los archivos que fueron atacados por un tipo más sofisticado de ransomware como Cryptolocker son imposibles de descifrar sin la clave correcta. Por este motivo, la mejor medicina es la prevención.