Todo lo que debes saber sobre el ransomware

Preguntas frecuentes sobre ransomware: tipos, orígenes, peligros y cómo mantenerte a salvo.

Puede que este artículo te ahorre unos 300 dolares. Es la media de lo que suelen pedir como rescate los extorsionistas a sus víctimas para poder recuperar el acceso a sus archivos cifrados o a sus computadoras bloqueadas.

Es muy fácil infectarse de ransomware. No es necesario pasar el día viendo porno o abrir muchos correos basura. Aunque no hagas nada mal, sigues en riesgo. Continúa leyendo para saber por qué y descubre qué puedes hacer para protegerte.

1. ¿Qué es el ransomware?

El ransomware es un tipo de programa malicioso que bloquea tu computadora, tableta o smartphone (o cifra tus datos para luego pedirte un rescate y devolvértelos). Básicamente, hay dos tipos de ransomware.

El primer tipo son los cifradores, los cuales cifran tus archivos para que no puedas acceder a ellos. Para descifrarlos se necesita la clave utilizada para cifrarlos (por ella pagas el rescate).

El otro tipo se llama bloqueadores. Sencillamente, bloquean una computadora u otro dispositivo para que no funcione. Los bloqueadores presentan, en realidad, un escenario mejor que el de los cifradores: las víctimas tienen más posibilidades de recuperar el acceso al dispositivo que de recuperar los archivos cifrados.

2. ¿Cuánto cuesta normalmente el rescate?

No hay algo “habitual”. Algunos ransomware piden menos de 30 dolares, otros piden miles. Las empresas y otras grandes organizaciones, que suelen infectarse mediante spear phishing, tienen más posibilidades de recibir peticiones de rescate mayores.

Aun así, deberías tener en mente que pagar el rescate no te asegura que vayas a recuperar tus archivos sanos y salvos.

3. ¿Puedo descifrar los archivos cifrados sin pagar el rescate?

A veces. La mayoría de los programas ransomware utilizan algoritmos fuertes, lo que significa que sin la clave de descifrado, para descifrarlos se necesitarían años.

A veces, los delincuentes tras el ransomware cometen errores y las fuerzas policiales pueden tomar el control de los servidores que contienen las claves de descifrado. Cuando eso sucede, los buenos pueden desarrollar una herramienta de descifrado.

4. ¿Cómo se paga el rescate?

Normalmente, los rescates se piden en monedas cifradas, como los bitcoins. Esta moneda electrónica no se puede falsificar. El historial de las transacciones está disponible para cualquiera, pero no es fácil rastrear al propietario del monedero. Por ello, los ciberdelincuentes prefieren los bitcoins: mejoran las probabilidades de que no los atrapen.

Algunos tipos de ransomware utilizan monederos anónimos en línea o incluso pagos móviles. El método más sorprendente que hemos visto hasta la fecha son tarjetas de iTunes.

5. ¿Cómo puede terminar un ransomware en mi computadora?

El medio más común es el correo electrónico. El ransomware puede camuflarse como si de un adjunto útil o importante se tratara (una factura urgente, un artículo interesante, una aplicación gratuita). Una vez abres el adjunto, tu PC se infecta.

El ransomware puede infiltrase en tu sistema aunque solo estés navegando por Internet. Pero, para tomar el control de tu sistema, los extorsionistas utilizan las vulnerabilidades del SO, del navegador o de una aplicación. Por ello, es crucial que mantengas tu software y tu sistema actualizados (por cierto, puedes dejarle dicha tarea a Kaspersky Internet Security o a Kaspersky Total Security, sus últimas versiones automatizan el proceso).

Algunos programas de ransomware pueden autopropagarse a través de redes locales. Si un troyano de este tipo infecta un ordenador o dispositivo de tu red de casa o de empresa, otros equipos terminarán por infectarse. Pero este caso es extraño.

Por supuesto, existen más supuestos predecibles. Te descargas un torrent, luego instalas una extensión… y ya está.

6. ¿Qué tipos de archivo son los más peligrosos?

Los archivos más sospechosos son los ejecutables (como los EXE o los SCR) con scripts de Visual Basic o de JavaScript (extensiones .VBS y .JS). Comúnmente, vienen comprimidos en archivos ZIP o RAR para esconder su naturaleza maliciosa.

Otra categoría peligrosa de archivos son los de MS Office (DOC, DOCX, KLS, KLSX, PPT y demás). Pueden contener macros vulnerables, así que si vas a activarlas en un documento de Word, piénsalo dos veces antes de hacerlo.

Ten cuidado también con los accesos directos (extensiones .LNK). Windows puede representarlos con cualquier icono, por lo que, si el nombre del archivo es de inocente apariencia, podría darte problemas.

Una nota importante: Windows abre archivos de extensiones conocidas sin consultar al usuario y, por defecto, no muestra las extensiones en Windows Explorer. Por eso, si ves un archivo llamado algo así como Importante_info.txt, en realidad podría ser Importante_info.txt.exe, un instalador de malware. Por una mayor seguridad, configura Windows para que muestre las extensiones.

7. ¿Puedo evitar la infección si me mantengo alejado de webs dudosas y de los adjuntos sospechosos?

Por desgracia, hasta los usuarios cautelosos pueden infectarse con ransomware. Por ejemplo, es posible infectar tu PC mientras lees las noticias en una web con buena reputación.

Por supuesto, la web en sí no distribuye malware a sus visitantes, a no ser que la hackeen (pero esa es otra historia). En su lugar, las redes publicitarias comprometidas por ciberdelincuentes sirven como distribuidores y, con solo tener una vulnerabilidad sin parchear, el malware se carga. De nuevo, tener el software actualizado y el sistema operativo totalmente parcheado son la clave.

8. Tengo una Mac, así que no tengo que preocuparme por el ransomware, ¿verdad?

Los Macs pueden ser y han sido infectados con ransomware. Por ejemplo, KeRanger, que se infiltró a través del cliente torrent Transmission, afecta a usuarios de Mac.

Nuestros expertos creen que la cifra de programas de ransomware cuyo objetivo son sistemas de Apple crecerá gradualmente. Y, como los dispositivos de Apple son relativamente caros, los extorsionistas pueden ver a los propietarios de Macs como la oportunidad de pedir rescates mayores.

Algunos tipos de ransomware también tienen como objetivo Linux. Ningún sistema está a salvo de esta amenaza.

9. Uso mi teléfono para conectarme a Internet. ¿Debo preocuparme?

Deberías. Por ejemplo, existen cifradores y bloqueadores para dispositivos Android y el segundo tipo es el más extendido. Instalar un antivirus en tu smartphone no es de paranoicos.

10. Así que, ¿los iPhone también están en riesgo?

Hasta la fecha, no hay programas de ransomware dedicados a iPhone y iPad. Pero esta afirmación solo se refiere a los que no tienen jailbreak. El malware puede infiltrarse en dispositivos que no están atados a las restricciones de iOS y a la cerrada App Store de Apple.

Aun así, puede que el ransomware para iPhone que no requiera un sistema con jailbreak no tarde en llegar. También vemos cómo emerge el ransomware para el IdC. Los ciberdelincuentes quizá pidan rescates altos tras tomar el control de una smart TV o de una nevera.

11. ¿Cómo sé si mi ordenador se ha infectado con un ransomware?

El ransomware no es sutil. Se anunciará a sí mismo de este modo:

O así:

O así:

Los bloqueadores son así:

12. ¿Qué tipos de ransomware son los que predominan?

Nuevos tipos de ransomware aparecen a diario, así que es difícil decir cuáles son los más populares. Podemos hacer una lista con los ejemplos más populares, como Petya, el cual cifra el disco duro entero. También tenemos CryptXXX, el cual sigue siendo potente y en dos ocasiones llegamos a poder con él. Y, por supuesto, TeslaCrypt ha sido el que más se extendió durante los primeros meses de 2016; sus creadores, por sorpresa, fueron los que publicaron la clave maestra.

13. Si me infecto con un ransomware, ¿qué debería hacer?

Si te encuentras con que tu computadora está bloqueada (no cargará el sistema operativo), utiliza Kaspersky WindowsUnlocker, una utilidad gratuita que puede borrar un bloqueador y hacer que Windows se inicie.

Los cifradores son un hueso duro de roer. Primero, debes eliminar el malware ejecutando un análisis del antivirus. Si no tienes un buen antivirus en tu computadora, puedes descargar una versión de prueba desde aquí.

El siguiente paso consiste en recuperar tus archivos.

Si tienes una copia de seguridad de tus archivos, puedes restaurar tus archivos desde ella. Esta es tu mejor opción.

Pero si no tienes copias de seguridad, puedes intentar descifrar los archivos mediante utilidades especiales llamadas descifradores. Todos los descifradores que ha creado Kaspersky Lab están en noransom.kaspersky.com.

Otras compañías de antivirus también desarrollan descifradores. Una cosa: asegúrate de que descargas estos programas desde webs con una buena reputación, de otro modo podrías correr el gran peligro de infectarte con algún otro malware.

Si no logras encontrar un descifrador adecuado, puedes pagar el rescate o decir adiós a tus archivos. Sin embargo, no te recomendamos que pagues el rescate.

14. ¿Por qué no pagar el rescate y ya está?

Para empezar, no hay garantías de que vayas a recuperar tus archivos. No puedes confiar en los extorsionistas. Un ejemplo de ladrones que no son de fiar son los creadores de Ranscam, el ransomware que no se preocupaba en cifrar los archivos, sino que directamente los eliminaba (aunque prometía que los descifraría tras el pago del rescate).

De acuerdo con nuestro estudio, el 20 % de las víctimas de ransomware que pagaron el rescate nunca recuperaron sus archivos.

02-11-2016-no-no-ransom-ig-recuperado_es_edited

En segundo lugar, con el pago del rescate, estás dando tu apoyo a este modelo de negocio de ciberdelincuencia y ayudarás a que se extienda.

15. He encontrado el descifrador que necesito, ¿por qué no funciona?

Los desarrolladores de ransomware reaccionan rápido cuando aparece un nuevo descifrador y responden modificando su malware para que bloquee el descifrador disponible. Es la pescadilla que se muerde la cola. Por desgracia, los descifradores no son garantía.

16. Si me doy cuenta del proceso de infección, ¿hay algo que pueda hacer?

En teoría, si lo descubres a tiempo, puedes apagar la PC, sacar el disco duro, conectarlo a otra computadora y usar el antivirus de esa computadora para desinfectarla. Aun así, en la vida real es difícil, si no imposible, que un usuario detecte una infección: el ransomware funciona en segundo plano hasta que aparece la nota de rescate.

17. Si hago copias de seguridad regulares, ¿estoy a salvo?

Hacer copias de seguridad de tus archivos es de gran ayuda, sin duda, pero no es una garantía al 100 %. Por ejemplo: configuras que se hagan copias de seguridad automáticas en la computadora de tu cónyuge cada tres días. Un cifrador se infiltra en el sistema, cifra todos los documentos, fotos y demás. Cuando lo compruebas pasada una semana, las copias de seguridad también están todas cifradas. Las copias de seguridad son de vital importancia, pero tus defensas deben ir más allá.

18. ¿Es un antivirus suficiente para evitar la infección?

En la mayoría de los casos, sí. Aunque importa la solución de antivirus que utilices. De acuerdo con las pruebas de rendimiento de laboratorios reputados e independientes (que son las únicas pruebas en las que se puede confiar), los productos de Kaspersky Lab ofrecen una protección mejor que la de la competencia. Aun así, ningún antivirus es 100 % efectivo.

En muchos casos, la detección automática depende de lo reciente que sea el malware. Si sus firmas no se han añadido a la base de datos del antivirus, un troyano puede detectarse mediante un análisis de comportamiento. Si trata de hacer algún daño, se bloquea de inmediato.

Nuestro producto incluye un módulo llamado System Watcher: si detecta un intento masivo de cifrado de archivos, bloquea el proceso malicioso y deshace todos los cambios. Por favor, no desactives este componente nunca.

Kaspersky Total Security también automatiza los procesos de copia de seguridad. Aunque suceda algo terrible, podrás restaurarlo todo desde copias de seguridad.

19. ¿Hay ajustes que pueda modificar para fortalecer las defensas?

a. Primero, instala un antivirus. Pero eso ya te lo hemos dicho, ¿verdad?

b. Puedes desactivar la ejecución de scripts en los navegadores ya que son la herramienta favorita de los ciberdelincuentes. Comprueba nuestro blog para saber cómo hacerlo en Chrome y en Firefox.

c. Haz que las extensiones de archivos sean visibles en Windows Explorer.

d. Configura el Bloc de notas para que sea la aplicación por defecto para abrir archivos VBS y JS. Normalmente, Windows marca los scripts peligrosos de VBS y JS como archivos de texto, lo que confunde a los usuarios e intentan abrirlos.

e. Considera activar el modo Aplicaciones de confianza de Kaspersky Internet Security, así restringirás la instalación de cualquier programa que no esté en la lista blanca. No se activa por defecto y requiere algunas modificaciones y ajustes, pero es una herramienta muy útil, en especial para los que no son usuarios avanzados de PC y pueden dejar que algún malware se les cuele en el sistema.

Consejos