Días atrás, el Poder Judicial de Córdoba sufrió un ataque informático que afectó su página web, sus servicios digitales y sus bases de datos. Según las primeras versiones, los sistemas habrían sido víctimas de un ataque dirigido con una variante de ransomware denominada .play, un programa que copia y encripta la información.

El malware de rescate, o ransomware, es un tipo de programa malicioso que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder hacerlo. Las primeras variantes de ransomware se crearon al final de la década del ‘80, y el pago debía efectuarse por correo postal. Hoy en día sus creadores piden que el pago se efectúe mediante criptomonedas o tarjetas de crédito.

Si bien el del Poder Judicial podría tratarse de "el peor ataque en la historia a instituciones públicas" y tiene todavía amplia repercusión, a menor escala también en San Francisco hay varios antecedentes de empresas y profesionales que fueron víctimas de estos ciberataques. 

Ciberataques: por casos en San Francisco se pidieron miles de dólares de rescate

Algunos casos

Uno de los técnicos informáticos a los que le tocó atender algunos de los casos es Jorge Bender, que evitó puntualizar situaciones, pero que recordó cómo procedieron.

"El primero que me tocó, cuando aún no se conocía esta metodología, fue el ataque al equipo de un cliente particular. No hubo mayores problemas, pero hizo que me pusiera a investigar profundamente sobre el tema", recordó.

"Realmente no hay solución posible cuando se recibe un ataque de este tipo, se pierden todos los archivos de datos (casi no actúa sobre archivos ejecutables), es decir, documentos, planillas de cálculo, fotos. Modifican el formato de los archivos de manera que la aplicación que los abre normalmente no puede hacerlo y sí lo hace una aplicación que se instala y muestra un mensaje con los datos para contactar al hacker".

En el caso de este particular, Bender indicó que no hubo mayores problemas, ya que el usuario no tenía información muy relevante. Por ello, contó que se hizo un formateo para que la computadora quedara como si viniese de fábrica. Los pocos datos que había, se perdieron.

Pero el año pasado, el entrevistado tuvo que trabajar en un caso más grave, en el que una empresa no tenía respaldos actualizados: “Ahí sí me tocó negociar con el hacker. Todo se hizo por correo electrónico. Primero me pidió que le envíe un archivo afectado y él me lo devolvió 'corregido', por decirlo así, como prueba de que sí funcionaba el desencriptador que me iba a enviar".

Según contó Bender, el rescate se pagó y fue en bitcoins, en una cifra equivalente a unos 1300 dólares. "Éste me envió dos programas para desencriptar los archivos. Los ejecuté en el servidor que había sido afectado, fue un proceso de unas horas y se pudo recuperar casi la totalidad de los archivos, aunque algunos quedaron igualmente afectados", recordó.

Sólo en la cuenta en la que depositaron el "rescate" , los delincuentes llevaban recaudados más de 340 mil dólares.
Sólo en la cuenta en la que depositaron el "rescate" , los delincuentes llevaban recaudados más de 340 mil dólares.

Otros casos

Otro de los técnicos especialistas es Ezequiel Morero, que se refirió a los casos de los que tomó conocimiento al trabajar en el rubro informático: “Le ha pasado tanto a gente común como a estudios contables, empresas o profesionales. En la mayoría de los casos, diría un 90%, no volvieron a recuperar la información. En la mitad tenían respaldo de los datos, entonces pudieron más o menos salir del tema. Pero otra gente no, y algunos tenían datos que no volvieron a recuperar. Casos en los que hayan pagado conozco tres, pero no los atendimos nosotros, lo han hecho por su cuenta. Dos recuperaron la información depositando una suma en dólares. El tercero había hecho el pago y nunca recibió el archivo para desencriptar los datos”.

Respecto a cómo empezó todo, señaló que en algunos casos fue a través del correo electrónico y en una parte de ellos los mismos estaban escritos en otro idioma distinto al español, como el inglés o el portugués.

“No a todos les llegó por un correo, algunos dicen que fue un archivo que descargaron de internet. Otros, que eran archivos de Word o de Excel. Y encima, una vez que ya está encriptado el equipo no se puede saber a ciencia exacta de dónde vino. En algunos casos detectamos que tenían correos que venían de contactos agendados, quizá a esas personas se les infectó la máquina y a lo mejor el mismo virus se reproducía mandando este archivo”.

Ciberataques: por casos en San Francisco se pidieron miles de dólares de rescate

En cuanto a qué pasó después, Morero contó que por lo general en el momento las personas no advirtieron lo que ocurría sino hasta reiniciar el ordenador. Al hacerlo, se encontraron con la sorpresa de que no podían ver ni abrir ningún archivo. Y no les faltaban las indicaciones para recuperar los datos a partir de una transferencia, algunas en bitcoin y otras en dólares.

Cómo trabaja el ransomware

El ransomware puede infectar el ordenador de varias formas. Uno de los métodos más habituales es a través de spam malicioso, que son mensajes no solicitados que se utilizan para enviar malware por correo electrónico. El mensaje puede incluir archivos adjuntos tramposos, como PDF o documentos de Word. También puede contener enlaces a sitios web maliciosos.

El spam malicioso, o malspam, usa ingeniería social para engañar a la gente con el fin de que abra archivos adjuntos o haga clic en vínculos que parecen legítimos, aparentando que proceden de una institución de confianza o de un amigo.

Los ciberdelincuentes emplean la ingeniería social en otros tipos de ataques de ransomware, por ejemplo presentarse como el FBI para asustar a los usuarios y obligarles a pagar una suma de dinero por desbloquear los archivos.

Otro método de infección habitual, que alcanzó su pico en 2016, es la publicidad maliciosa, que consiste en el uso de publicidad en línea para distribuir malware con poca interacción por parte del usuario o incluso ninguna. Mientras navegan por la web, incluso por sitios legítimos, los usuarios pueden ser conducidos a servidores delictivos sin necesidad de hacer clic en un anuncio. Estos servidores clasifican los detalles de los ordenadores de las víctimas y sus ubicaciones y, a continuación, seleccionan el malware más adecuado para enviarlo. Frecuentemente, ese malware es ransomware.

Cómo prevenir un ataque

Si bien no es infalible, un punto fundamental para prevenir estos ataques es tener precaución al momento de navegar en internet.

“El antivirus solo atrapa virus comunes. Hay otros programas que atrapan malware, otros que atrapan ransomware. Hay distintos tipos de virus y no todos los antivirus atrapan todos. De todas formas tener un antivirus, por más actualizado que esté y por más que tenga licencia, es una medida más de prevención, pero no significa que por tenerlo no va a pasar nada”, explicó Morero.

En ese sentido, explicó que si bien los antivirus solo se dedican a la desinfección de virus comunes, cuentan con una herramienta que es la detección heurística. El análisis heurístico es un método de detección de virus mediante el análisis del código de propiedades sospechosas. Se diseñó para identificar nuevos virus y versiones modificadas de amenazas existentes

“Trata de analizar los archivos y, si los nota sospechosos, le pregunta al usuario si quiere borrarlos, bloquearlos, desinfectarlos o eliminar en el caso de que se pueda. Esta es una herramienta más que tienen, porque como no abarcan todos los tipos de virus, esto les permite ampliar un poco más el espectro. Pero como toda excepción a la regla puede pasar que a alguno que sea muy nuevo, muy específico o que funcione de forma diferente, no lo detecte”, dijo.

Y agregó: “Depende siempre del usuario, que tiene que tener cuidado con lo que abre o con las páginas que visita. De todas maneras, siempre existe el riesgo de que entre algún tipo de virus. Por lo general no son tan graves, pero existen también los que traen más que un dolor de cabeza”.

El análisis heurístico es un método de detección de virus mediante el análisis del código de propiedades sospechosas. Se diseñó para identificar nuevos virus y versiones modificadas de amenazas existentes.

Ciberataques: por casos en San Francisco se pidieron miles de dólares de rescate

Otro punto importante es contar con copias de seguridad actualizadas de los datos importantes.

“El respaldo tiene que ser externo, tiene que estar fuera de las máquinas. En el caso de la Justicia de Córdoba, ellos tenían un respaldo en la nube. Pero si uno lo tuviera conectado a la computadora, como para que ese respaldo se haga de manera automática, esos datos también se van a afectar. Tuve un caso”, contó Bender.

A continuación, añadió: “El mejor consejo para los datos, ya sea ante un virus, un robo, una tormenta que pueda quemarte todo, es tener un respaldo que no esté conectado a todo el sistema, porque si no, no estás a salvo”.

“Igual nunca se está exento, porque hay algunas fallas de seguridad que tienen los sistemas operativos, y estos tipos la tienen clara. Hay algunas cosas que tener en cuenta, pero nunca se está absolutamente protegido, un ataque le puede pasar realmente a cualquiera”, cerró.

Tipos de ransomware

Hay tres tipos principales de ransomware, según su capacidad de daño.

Scareware: no resulta tan temible. Incluye programas de seguridad falsos y ofertas falsas de soporte técnico. Podría recibir un mensaje emergente que le informa de que se ha detectado malware y que la única forma de librarse de él es pagar. Si no lo hace, seguramente continuará siendo bombardeado con mensajes emergentes, pero sus archivos están básicamente a salvo. Un programa de software legítimo de seguridad informática jamás se dirigiría a los clientes en esos términos.

Bloqueadores de pantalla: la alerta pasa a naranja. Si un ransomware que bloquea la pantalla llega a su computadora, le impedirá el uso de su PC por completo. Al encender aparece una ventana que ocupa toda la pantalla, a menudo acompañada de un emblema de aspecto oficial del FBI o del Departamento de Justicia de los Estados Unidos, que le indica que se han detectado actividades ilegales en su ordenador y que debe pagar una multa. Sin embargo, el FBI no actuaría nunca así ni le exigiría ningún pago por la realización de una actividad ilegal, sino que seguiría los canales legales adecuados.

Ransomware de cifrado: es el peor. Secuestra los archivos y los cifra, exigiendo un pago para volver a descifrarlos y devolvérselos. La razón por la que este tipo de ransomware es tan peligroso es porque una vez que los ciberdelincuentes se apoderan de los archivos, no hay ningún software de seguridad ni restauración del sistema capaz de devolvérselos. A menos que pague el rescate, puede despedirse de sus archivos. E incluso si lo paga, no hay ninguna garantía de que los ciberdelincuentes le devuelvan los archivos.

El mensaje que envían los delincuentes

El mensaje que envían los delincuentes es similar al siguiente. En el mismo explican cuánto cuesta el "rescate", aclaran que pagar es la única manera de recuperar los datos, ofrecen descifrar un archivo como muestra de que pagando los datos se podrán recuperar, brindan datos de la PC infectada para dar cuenta de que saben con qué están trabajando y explican cómo se pueden comprar bitcoins.

1. Costo de decodificación. El costo del descifrado es de 1350 $ (USD). Recibimos pago solo en BITCOINS.

2. ¡Atención! No intente descifrar sus datos con software de terceros, puede causar la pérdida permanente de datos. ¡No confiar en nadie! ¡Solo nosotros tenemos las claves de sus archivos! Sin estas claves para restaurar sus datos es imposible.

3. Descifrado gratuito como garantía. Puede enviarnos hasta 1 archivo para el descifrado gratuito y también debe enviarnos el archivo HRMPRV. El tamaño del archivo debe ser inferior a 1 Mb (no archivado). No desciframos para probar BASE DE DATOS, XLS y otros archivos importantes. Por favor recuerda esto. Envíe también el archivo Cpriv.loki o el archivo Cpriv con el archivo de prueba.

4. Desafortunadamente, todos sus archivos se venderán en Dark Web después de 5
días de contactarnos si no quiere sus archivos. Imagine que 1 millón de piratas informáticos tienen toda su información, incluidos archivos, IP, nombre y número y ubicación y ...

Aquí hay algo de su información para probar:
Ubicación: Argentina
Dirección IP: 190.30.xxx.xxx
RAM: 2GB
Disco: 156,4 GB (solo archivos)
Sistema operativo: Microsoft Windows 7
fecha de cifrado: 2021/10/30 Sábado 18:02:16 GMT
CPU: Intel(R) Xeon(R) E3110

¿CÓMO COMPRAR BITCOIN?
https://www.forbes.com/advisor/investing/how-to-buy-cryptocurrency/
https://www.nerdwallet.com/article/investing/how-to-invest-in-bitcoin
https://www.investopedia.com/articles/investing/082914/basics-buying-and-investing-bitcoin.asp