SECUESTRO DE DATOS O RAMSOMWARE

Son muy peligrosos los programas que toman como rehén nuestros dispositivos, bloqueando los activos de información, impidiendo el adecuado funcionamiento y creando condiciones adversas a la seguridad de la información, por lo cual hay que ser muy cuidadosos con el ransomware.

La emergencia sanitaria de la COVID-19, ha creado las condiciones de confinamiento en primer lugar y posteriormente de retiro voluntario, por las que muchas más personas y durante mucho más tiempo han estado conectadas online, tanto a nivel profesional como también particular, utilizando dispositivos digitales, aumentando el riesgo de un nocivo «contagio digital«, alimentado por ciberdelincuentes que difunden software «malintencionado» para diversos fines ilícitos. Una de las actividades más extendidas y dañinas en la actualidad es el llamado ransomware.

1. ¿Qué es el ransomware?

El ransomware es un programa informático dañino («malicioso«) que puede «infectar» un dispositivo digital (PC, tableta, teléfono inteligente, televisor inteligente, etc.), bloqueando el acceso a todo o parte de su contenido (fotos, videos, archivos, etc.) y pedir posteriormente un rescate (en inglés, «ransom«) que se exige para «liberarlos«.

La exigencia de pago, con las correspondientes instrucciones, aparece en una ventana que se abre automáticamente en la pantalla del dispositivo infectado. Se informa al usuario amenazado de que dispone de unas horas o días para realizar el pago del rescate, de lo contrario el bloqueo de los contenidos será definitivo.

Hay dos tipos principales de ransomware:

• Cifradores (que cifran los archivos contenidos en el dispositivo haciéndolos inaccesibles).
• Bloqueadores (que bloquean el acceso al dispositivo infectado).

2. ¿Cómo se propaga el ransomware?

Aunque en algunos casos (poco frecuentes) el ransomware puede instalarse en el dispositivo mediante sofisticadas formas de ciberataque (por ejemplo: control remoto), este tipo de software malicioso se propaga principalmente a través de comunicaciones recibidas por correo electrónico, sms o mensajería de sistemas que por lo general:

• Aparentemente proceden de sujetos conocidos y fiables (por ejemplo, mensajeros urgentes, gestores de servicios, telefonistas, administraciones públicas, etc.), o de personas de confianza (compañeros de trabajo, conocidos, etc.);
• Contienen archivos adjuntos para abrir (a menudo «urgentemente»), o enlaces y banners para hacer clic (para verificar información o recibir advertencias importantes), obviamente vinculados a software malicioso.

En otros casos, el ransomware se puede descargar en el dispositivo cuando el usuario:

• Hace clic en enlaces o anuncios publicitarios en sitios web (por ejemplo un canal popular o sitios para adultos) o redes sociales;
• Navega en sitios web creados ad hoc o «comprometidos» por piratas informáticos para convertirse en un vehículo para el contagio de ransomware.

El ransomware también puede ser propagado por personas malintencionadas a través de software y aplicaciones (juegos, utilidades de PC, incluso antivirus falsos), que se ofrecen de forma gratuita para atraer a los usuarios a descargar e infectar sus dispositivos.

Es bueno recordar que todo dispositivo «infectado» puede «infectar» a otros. El ransomware puede propagarse explotando, por ejemplo, sincronizaciones entre dispositivos, sistemas de intercambio en la nube, o puede tomar posesión de la libreta de direcciones de los contactos y usarla para enviar automáticamente mensajes que contienen enlaces y archivos adjuntos a otras personas que se convierten en el vehículo del ransomware.

3. ¿Cómo defenderse del ransomware?

La primera y más importante forma de defensa es la prudencia. Es necesario evitar abrir mensajes de sujetos desconocidos o con los que no tienes relación (por ejemplo, un operador telefónico del que no eres cliente, un mensajero urgente del que no se esperan entregas, etc.) y, en todo caso, si existe cualquier duda, no se debe hacer clic en enlaces o banners sospechosos y no debe abrir archivos adjuntos cuyo contenido esté siempre presente.

Incluso si los mensajes provienen de temas que son conocidos, es bueno tomar algunas pequeñas precauciones, como por ejemplo:

• Nunca se deben abrir archivos adjuntos con extensiones «extrañas» (por ejemplo, los archivos adjuntos con la extensión «.exe» están en riesgo, ya que podrían instalar aplicaciones de algún tipo en el dispositivo);
• Nunca se debe descargar software de sitios sospechosos (por ejemplo, aquellos que ofrecen productos gratuitos por los que normalmente se paga);
• Se deben descargar preferentemente aplicaciones y programas oficiales de los fabricantes, cuyos responsables controlen los productos y donde sea posible leer los comentarios de otros usuarios que contengan advertencias sobre posibles riesgos;
• Cuando se utiliza un PC, se debería mover la flecha del ratón sobre cualquier enlace o banner publicitario recibido por correo electrónico o presente en sitios web sin abrirlos, con lo cual, en la parte inferior de la ventana del navegador, puede verse la vista previa del enlace para abrir y comprobar si coincide con el enlace que ve escrito en el mensaje: si no coinciden, obviamente existe un riesgo.

También es útil:

• Instalar un antivirus con extensiones anti-malware en todos los dispositivos ;
• Mantener el sistema operativo constantemente actualizado , así como el software y las aplicaciones que se utilizan con más frecuencia;
• Utilizar sistemas de respaldo que guarden (incluso automáticamente) una copia de los datos (también hay soluciones gratuitas disponibles para todos los sistemas operativos). Con una copia de seguridad correcta, en caso de necesidad, será posible restaurar los datos contenidos en el dispositivo, al menos hasta el último guardado.

4. ¿Cómo eliminar el ransomware?

Pagar el rescate es aparentemente la solución más fácil. Además del daño económico, existe el riesgo de no recibir los códigos de desbloqueo, o incluso terminar en «listas de pagadores» potencialmente sujetos a ataques periódicos de ransomware.

La solución recomendada es contactar a técnicos especializados capaces de desbloquear el dispositivo.

Una alternativa eficaz es formatear el dispositivo, pero en este caso, además de eliminar el malware, se pierden todos los datos que contiene. Por este motivo, es fundamental realizar copias de seguridad periódicas de los contenidos, que siempre es una buena práctica, para no perderlos en caso de accidentes como por ejemplo daño del dispositivo, etc., o ciberataques que requieren intervenciones de restauración.

Siempre es recomendable informar o denunciar el ataque de ransomware y también para ayudar a prevenir estos delitos, para lo cual en el INCIBE (INSTITUTO ESPAÑOL DE CIBERSEGURIDAD) se dispone de un equipo especializado en el análisis y gestión de incidencias de seguridad y fraude electrónico: https://www.incibe-cert.es/

Se puede reportar un incidente al INCIBE en:

https://www.incibe.es/protege-tu-empresa/reporte-fraude

También es posible ponerse en contacto con la AEPD (AGENCIA ESPAÑOLA DE PROTECCIÓN DE DAOS) si se desea denunciar una posible violación de datos personales (robo de identidad, robo de datos personales, robo de contenido, etc.), siguiendo las instrucciones de la página https://www.aepd.es/es

Para la notificación de brechas de seguridad a la autoridad de control, la AEPD pone a disposición de las personas responsables del tratamiento un formulario en su Sede Electrónica:

https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/nbs/guiadoBrechasInicio.jsf

Además, como ayuda a la toma de decisiones sobre la necesidad de comunicar una brecha de seguridad a las personas afectadas, la AEPD tiene publicada la herramienta Comunica-Brecha RGPD:

https://www.aepd.es/es/guias-y-herramientas/herramientas/comunica-brecha-rgpd