El ransomware es una vulnerabilidad que ha ido en incremento en los últimos meses. Según datos proporcionados por la marca de seguridad Trend Micro, citando fuentes del FBI, hasta abril de este año, el ransomware perdía en promedio de 200 a 10mil pesos por rescate, facturando unos 24 millones de dólares en 2015, tan sólo el ransomware Locky logró infectar 90,000 sistemas al día.

Los hospitales son aquellas entidades con mayor número de ataques registrados, debido a la enorme cantidad de información sensible que manejan, como historiales clínicos, direcciones físicas y digitales, incluso algunas informaciones bancarias, además de que normalmente estos entornos no tienen la seguridad necesaria, ni las medidas de cultura digital para enfrentar este tipo de ataques.

Sin embargo, nadie está exento de sufrir un ataque de esta naturaleza, desde bancos, entidades gubernamentales, hasta escuelas o periódicos, incluso departamentos de policia han sufrido algún tipo de Ransomware.

“Este tipo de ataques se comenten en parte por falta de consciencia y de conocimiento de la gente en general, porque si sabemos que podemos ser víctimas potenciales tenemos que adaptar nuestros sistemas para evitarlo, entre ellos un respaldo, por si nos vemos extorsionados no tener que pagar por esa información que tenemos almacenada en un backup. Es por ello que INTERPOL está ampliando sus esfuerzos por hacer consciencia en cada país”, aseveró Adrián Eduardo Acosta, Digital Crime Officer en INTERPOL.

Además, según Trend Micro, el 80% de las empresas que han visitado en nuestro país afirmó haber tenido en los últimos 3 meses algún incidente de ransomware.

El origen del ransomware

En sus inicios a este tipo de vulnerabilidad se le conocía como virus de la policía, debido a que se presentaba al acceder a sitios desde donde se descargaba este malware, comúnmente de pornografía, juegos o apuestas, haciendo que apareciera un anuncio que simulaba ser el FBI o alguna entidad policíaca local, logrando obtener victimas a través de la generación de miedo.

“Más que una extorsión era una estafa en sí misma, porque los mensajes que aparecían en la pantalla que encriptaban el escritorio decía que habían cometido una infracción policial, por lo que tenían que pagar cierta cantidad, una multa, para poder obtener el control de la computadora de vuelta”, explicó el Digital Crime Officer en INTERPOL.

Según Acosta, al inculcar el miedo en el usuario, lo que éste hacía de inmediato era pagar la supuesta multa, sin embargo, en muchas ocasiones no se lograba el desbloqueo, a pesar del pago, haciendo que las victimas acudieran con la entidad policiaca, donde eran notificados que habían sido víctimas de una estafa. Los primeros registros de este malware datan de más de seis años, según el vocero de la INTERPOL.

Actualmente, al ir creciendo en el número de víctimas y dándose a conocer, ya como ransomware, éste dejo de usar este famoso truco para desplegar en la pantalla que se trata de un secuestro informático.

Por su parte, el Comisario Ingeniero Oliver González Barrales, Director General del Centro Especializado de Respuesta Tecnológica (CERT) de la División Científica de la Policía Federal de México, afirmó que han detectado cierto tipo de comportamiento en las técnicas ransomware, donde en nuestro país ha cobrado fuerza desde su primera aparición el primer trimestre del 2013, que precisamente venía respaldándose por la PF.

“La técnica de evasión era la misma que menciona Adrián, sin embargo, nosotros en México no detectamos el bloqueo de archivos, sino el bloqueó de pantalla. De 2015 a este 2016, vimos una evolución de este ransomware con técnicas sofisticadas, donde ya se veía un cifrado de archivos, después detectamos la nueva modalidad de Cryptolocker, y más recientemente CTB-Locker”, comentó Oliver González.

Para la Policía Federal es muy importante participar en esquemas de concientización en usuarios, tomando acciones como difundir a la ciudadanía que están ocurriendo estas actividades ilícitas, ayudando a que los usuarios puedan estar atentos y puedan tomar las medidas de seguridad y prevención necesarias.

¿Qué hacer si soy víctima del ransomware?

“El ransomware en México explota el sistema básicamente a través de dos vectores; uno es el la ingeniería social, y la otra a través de vulnerabilidades de los sistemas, como escritorios remotos. Obviamente los cibercriminales quieren mantener el anonimato para seguir delinquiendo, por ello normalmente los pagos son a través de bitcoins”, comentó el representante del CERT-mx de la PF.

Lo que la Policía Federal de México puede hacer por una víctima de ransmoware es ayudar a través del CERT-Mx a identificar el modus operandi del atacante para poder identificarlo y liberar el equipo. “Cabe destacar que nada garantiza que el atacante devuelva el control del equipo o archivos, por eso lo mejor es no seguir el juego de estos cibercriminales, tomando medidas preventivas”, agregó González.
Entre las acciones que realiza la PF para mitigar el ransomware se encuentra:

* Ciberpatrullaje en la república mexicana para identificar códigos maliciosos en las páginas alojadas en el país. Con la cooperación internacional se lleva a cabo la gestión para la desactivación de sitios web con contenido infectado.

*Se emiten de manera frecuente alertas, información y boletines al identificar amenazas o con consejos preventivos.

* Cuando ya se encuentra infectado, se brinda atención y respuesta a incidentes dando acompañamiento al usuario, ya sea vía telefónica o presencial, y de ser necesario, se dan investigaciones a fondo.
Para hacer una denuncia, apegada a lo que marca el Código Penal Nacional, artículo 211 BIS 1 al 7, que aborda el acceso ilícito a sistemas y equipos de informática, se tiene que comunicar al Centro de Atención Ciudadana marcando el número 088 o enviando un correo al ceac@cns.gob.mx

Recomendaciones de prevención de Trend Micro

Juan Pablo Castro, Director de Innovación Tecnológica de Trend Micro México, proporcionó seis consejos para protegerse del ransomware.

• Mantener Parches al Día. Al mantener los equipos, sistemas, redes y aplicaciones siempre actualizadas, se reduce las probabilidades de ataques.
• Educación y Concientización. Necesita tener en su equipo de TI un marco de mejores prácticas, simulación de accidentes y entrenamientos. Tener una buena cultura digital en la empresa es base para evitar caer en trampas.
• Clasificación y Control de la Información. Clasifique aquella información que es de más valor y sensible dentro de la organización, y limitar el acceso a estos datos críticos.
• Respaldos y Restauración. Tener backup será una mejor opción para cuando se pierden los archivos, evitando pagar la multa. Automático: 3 copias, 2 formatos, 1 ubicación diferente.
• No pagar el rescate. Así sea una baja cantidad. Pagar alimenta a los atacantes y no garantiza la devolución de los archivos o equipo.
• Estrategia Tecnológica en capas contra el ransomware.  Implementar mejores practicas para la tecnología tradicional y complementar con tecnología avanzad y especializada.

-Karina Rodríguez, Computerworld México.