Un mes y medio después del famoso WannaCry, un nuevo ciberataque de virus ransomware ha actuado a escala internacional, bloqueando archivos en todo el mundo y manteniendo bajo amenaza a empresas multinacionales.  Se trata también de un ataque como el que a mediados de mayo sufrieron Telefónica, Fedex o el servicio de salud de Reino Unido.

Debido a la magnitud del problema, las operaciones de cualquier empresa pueden detenerse por completo y sus activos pueden verse comprometidos si no disponen de protocolos de seguridad que protejan la información. Así pues, en este caso, el ciberataque no se trata de un acto de malware, usualmente utilizado para generar daño irreparable, sino que se reclama un rescate por los datos robados.

En las primeras informaciones algunos expertos apuntan a que se trataba de un ransomware que estaba utilizando una variante del virus Petya. Sin embargo, horas después otros muchos medios especializados descartaron que se tratara de Peyta, sino de un ataque complejo que nunca se había visto hasta la fecha. Lo que sí está confirmado es que este nuevo ciberataque se sirve nuevamente de una debilidad en el protocolo de los sistemas operativos Windows para compartir en red.

Microsoft ha reconocido el fallo y ha confirmado que se ha utilizado una vulnerabilidad de Windows, para lo que ya había publicado un parche de seguridad. Así pues, tras el anterior ciberataque producido por WannaCry en mayo de este año, la compañía norteamericana aconsejó a sus clientes y usuarios instalar el parche MS17-010.  Por su parte, otros profesionales del sector han señalado en diversos medios de comunicación que esta vez no existe un kill-switch o interruptor para frenar la embestida, por lo que animan a las empresas a actualizar los parches de seguridad en Windows, tener una estrategia de copias de seguridad y otra de incidentes.

Cabe señalar, que el caso de las actualizaciones es algo que resulta complicado de realizar, ya que es una tarea muy costosa sobre todo para las empresas que tienen muchos empleados. Así pues, no llegan a reparar vulnerabilidades en los sistemas de manera ordenada porque tienen que evaluar las actualizaciones en sus entornos de pruebas antes de distribuirlas de forma masiva a los equipos de la compañía ya que, por ejemplo, a veces las propias actualizaciones hacen que algunas aplicaciones corporativas dejen de funcionar correctamente.

Pero ¿Qué es un virus ransomware?

Un ataque ransomware es diferente a un virus tradicional porque no destruye o corrompe información. Se trata de una práctica que consiste en secuestrar dispositivos, información o cifrar archivos almacenados de un ordenador para impedir que el usuario tenga acceso a ellos. Una vez conseguido, lo más habitual es que aparezca en la pantalla un mensaje exigiendo una importante suma de dinero, en Bitcoins o moneda virtual, a cambio de no revelar los datos y devolverlos. Para ello, supuestamente se entrega una clave al usuario que le permitirá desbloquear su dispositivo. Es decir, el objetivo es solicitar un rescate a cambio de quitar esta restricción y recuperar el control de los archivos.

¿Cómo te puedes infectar con un ransomware?

Tu equipo puede infectarse al abrir o descargar archivos de sitios web comprometidos, ya que se descarga el virus en tu ordenador pero, también a través de correos spam cuando se abre un archivo adjunto de un remitente que se muestra supuestamente  como seguro. En ambos casos, una vez que se hace clic en el archivo, el ransomware se inicia y cifra todos los archivos. Sin embargo, cabe señalar que no siempre hace falta descargarse un fichero para ser víctima de este ataque, ya que el virus también tiende a camuflarse en supuestas actualizaciones de sistemas y aprovecha por ejemplo una vulnerabilidad  o agujero de Windows para infectar.

Por ejemplo, en el caso de Petya se suele incorporar a un correo electrónico que llega a la carpeta de spam simulando provenir de alguien que solicita trabajo. Al abrir el correo el usuario encuentra un enlace al servicio en la nube Dropbox que aparentemente tiene un currículum vitae, cuando en realidad es un archivo que al ser abierto desata la infección. Acto seguido aparece una pantalla azul que reinicia el equipo. Al momento de volver a encender el ordenador, el virus comienza a encriptar la Tabla Maestra de Archivos, una especie de índice que lleva a cada contenido del ordenador, y una vez que termina el encendido aparece una pantalla solicitando el rescate.

¿Cómo protegerse del ataque y evitar ser víctima?

Como ya hemos comentado, además de visitar únicamente sitios web reconocidos y de confianza, evitar abrir archivos adjuntos de remitente desconocidos y mantener actualizado el sistema operativo, es conveniente:

• Realizar periódicamente un backup o copia de seguridad de la información, archivos y datos importantes.
• Evitar conectar dispositivos extraíbles que no sean confiables.
• Instalar y ejecutar un software antivirus o de seguridad.
• Programa chequeos regulares de actualizaciones y escaneos nuevos.
• Habilita el control de Cuentas de Usuario, lo que puede evitar la instalación de software no deseado.
• Utilizar filtros de suplantación de identidad en el navegador.
• Utilizar bloqueadores de ventanas emergentes en los navegadores.
• No descargar software de sitios no confiables, ni contenidos multimedia por redes de intercambio.

No pagues el rescate

Una vez analizado qué es un ransomware, cómo puede afectarte o cómo evitar ser víctima, si ya te has infectado no pagues el rescate. El mensaje que lanzan los expertos en la materia a las empresas y usuarios que han sido víctimas del ciberataque es que no hay que pagar el rescate solicitado y hay que acudir a las autoridades. Así pues, se descarta la opción de cumplir con las exigencias económicas porque no existe ninguna garantía de que se vayan a recuperar los datos o incluso seguridad de recibir la clave de desbloqueo. De hecho, algunos de los algoritmos de encriptación que se utilizan para cifrar los archivos pueden tener fallos que impiden recuperar los archivos, incluso con la contraseña correspondiente.

Finalmente, solo cabe decir que la víctima debe resetear el equipo, instalar las copias de seguridad y después parchear el sistema para que los ciberdelincuentes no utilicen la misma entrada. El problema puede surgir si no se han realizado estas copias, ya que la única manera de acceder a la información secuestrada es descifrando los ficheros. Una vez que se obtienen las claves, si se trata únicamente de desbloquear se tarda entre 24 y 48 horas en recuperar el equipo, mientras que se necesita algo menos de tiempo si se trata de recuperar la copia de seguridad.