Ransomware: Troyanos que te toman de rehén

Durante mis andanzas reparando ordenadores nunca ha faltado la clásica llamada telefónica en medio de la noche, en la que una voz desesperada y a punto de quebrarse explica que un mensaje en el sistema está advirtiendo sobre la presencia de 40 o 50 infecciones de virus, y que para solucionar el problema de inmediato debe descargar un programa. Aquellos que hemos sido forjados bajo el rigor de la Web sabemos bien que en alguna parte, y en algún momento, un va a caer en la trampa de esas apocalípticas advertencias. La definición original es “scareware”, programas maliciosos que aterrorizan al inexperto con toda clase de mensajes basados en la pérdida de datos, presencia de virus, y errores en el sistema operativo.

Sin embargo, a partir del scareware surgió algo un poco diferente: El Ransomware. En vez de simplemente amenazar al con la destrucción inminente de su sistema, algunas variantes de ransomware hacen literalmente lo que indica el nombre, o sea, demandar un rescate para liberar el ordenador. De no hacerlo, el se arriesga a la pérdida permanente de información, dependiendo del modo en el que el ransomware trabaje. Como era de esperarse, varias fuentes entran en conflicto cuando se intenta determinar el origen del ransomware. Para la gente de BullGuard, el ransomware es relativamente nuevo, comenzando en mayo de 2005, mientras que otros portales se remontan al troyano AIDS, también conocido como PC Cyborg, que demandaba cerca de 200 dólares al .

La ingeniería social tiene una gran influencia en el ransomware. Los ejemplos más sencillos realizan un bloqueo básico del sistema operativo y bombardean al con contenido cuestionable. Sin embargo, también ha habido desarrollos de alto perfil con la capacidad de cifrar determinados tipos de archivo presentes en el disco duro del ordenador, permaneciendo en ese estado hasta que se pague el rescate. Cuando BullGuard menciona a mayo de 2005 como punto de partida para el ransomware, probablemente se esté basando en el PGPCoder. Este troyano se concentra sobre documentos, planillas de cálculos e imágenes que pueda tener el (además de otros formatos), y deja una “nota de rescate” en forma de archivo de texto, indicando qué debe hacer el para recuperar sus datos.

Otro punto en el donde el ransomware varía es en los métodos que utilizan sus desarrolladores para “recolectar” los pagos. Un clásico como el troyano “Ransom-A” (denominado así por Sophos) amenaza al con borrar uno de sus archivos cada media hora, a menos que envíe un pago de once dólares a través de Western Union. De acuerdo a lo informado por AVG, otra opción que se ha vuelto muy popular dentro del ransomware es el sistema MoneyPak (tarjetas Visa y Mastercard prepagas). El ransomware tuvo cierto incremento de actividad a partir del “efecto FBI” asociado al retiro de Mega de la Web, y la misma agencia debió publicar un artículo explicando que no tiene nada que ver con esas actividades. Otras alternativas a la hora de enviar el rescate son llamadas internacionales, compras en oscuros sitios en línea, y el envío de mensajes de texto a “servicios ”.

2012 fue un verdadero festival de malware, y se espera que las cosas se pongan peor durante este año. El drástico aumento de dispositivos móviles en circulación y las vulnerabilidades asociadas a sus entornos son tierra fértil para cualquier forma de malware, incluyendo el ransomware. La amenaza más importante del ransomware es que se está convirtiendo en una vía especializada de ataque contra pequeñas y medianas empresas, y otras instituciones más sensibles como escuelas y centros de salud. El procedimiento para defenderse del ransomware no cambia: Respaldos, sistemas de seguridad al día, y aunque moleste, una pizca de paranoia. Tal vez un único pueda protegerse mejor, pero quien haya trabajado en algún departamento de IT y conozca de cerca los horrores que hacen con algunas terminales, estará de acuerdo con esto.