Ramsomware: pagar para liberar al dispositivo secuestrado

Pagar o perder los datos: esa parece ser la cuestión detrás de los crecientes casos de ramsomware, como se conoce al tipo de malware que encripta la información de los dispositivos infectados y los “libera” tras el pago de un “rescate”, una problemática cada vez más sofisticada que preocupa a especialistas, empresas y gobiernos, y que promete profundizarse en el futuro cercano.
Especialistas en seguridad informática consultados por Télam resaltaron la simplicidad del contagio y la dificultad de abordar este tipo de ataques, y coincidieron en la solución más simple: pagar o resignarse a perder los datos.
“Te secuestran el equipo a cambio de un pago” que suele cobrarse en bitcoins, graficó Alexis Sarghel, investigador en seguridad informática de la empresa Mkit, y explicó que “en general los ataques son por phishing”, como se denomina a la obtención de información confidencial de forma fraudulenta.
En este sentido Cristian Borghello, titular de Segur-info y director del Proyecto Odila, explicó a Télam que por lo general “llega un archivo comprimido que te hace creer que tenés una orden de compra o una factura, y la gente es engañada. Abre el comprimido y abre el archivo y se infecta”.
Cuando el ramsomware se instala en el equipo “no te das cuenta en el momento, sino cuando querés reiniciar la computadora o volver a prenderla. Ahí te pide que pagues una recompensa en bitcoins a una dirección que te dan”, precisó Sarghel.
“Hay tres categorías (del virus), a nivel criptográfico, y solamente hay dos tipos en los que se puede llegar a recuperar los datos sin pagar la recompensa. Pero hay una tercera generación que surgió este año que ni siquiera las principales empresas pudieron recuperar las computadoras sin pagar. Cada vez es más conflictivo el tema. Es un problema grave”, agregó.
Este tipo de amenaza viene creciendo de forma sostenida en todo el mundo y afecta en gran medida a las empresas, ya que los particulares son más propensos a resignarse y perder sus datos.
Un informe publicado la semana pasada por la firma estadounidense de seguridad informática Malwarebytes señaló que de un total de 500 compañías encuestadas en cuatro países, el 40 por ciento reconoció haber sido víctima de ataques con ramsomware durante 2015.
A las autoridades de los países centrales este tema “se les fue de las manos”, consideró Borghello, y recordó que a raíz del aumento de casos la Comisión Europea creó en julio el programa NoMoreRansom, un grupo de trabajo orientado a prevenir este tipo de delitos del que participa la Europol junto con firmar especializadas como Kaspersky e Intel Security.
En Argentina la problemática está un poco más silenciada, pero existe. “Venimos detectando casos en los últimos dos años y ha crecido muchísimo en los últimos seis meses. Hemos tenido unos 60 casos que llegaron a nosotros, en particular empresas y algunas muy grandes”, sostuvo Borghello, y detalló que “sólo en marzo detectamos más de 1.500 correos que llegaron con phishing para hacer ramsomware”.
El especialista explicó que en general las empresas no denuncian este tipo de infecciones “porque es como blanquear que se está perdiendo dinero o porque se daña su imagen”.
A cambio de liberar los datos, los atacantes suelen exigir un pago que ronda entre uno y ocho bitcoins (el bitcoin está cotizado en unos 585 dólares).
Según Sarghel, “te cobran según la cara. Si se infecta a una empresa o un directivo, te cobran más. Te pueden cobrar mínimo un bitcoin. Esto de casos que hemos visto acá en Argentina”.
En el mismo sentido, Borghello afirmó que “el objetivo es cualquiera, por eso los montos no son demasiado altos”, y afirmó que “los que terminan consultando qué hacer son las pymes u organismos sociales. Pero los particulares no suelen pagar, a lo sumo pierden sus archivos”.
La relativa simpleza de los ataques con ramsomware simplifica el trabajo de los criminales, según afirmó en una entrevista con el diario The Guardian el CEO y fundador de la empresa de seguridad informática Red Cary.
“Durante los últimos años los atacantes se dieron cuenta que en vez de realizar hackeos elaborados -phishing para contraseñas, acceder a cuentas, robar información y luego vender los datos en el mercado negro de Internet- simplemente podrían apuntar a objetivos individuales y empresariales y tratarlos como cajeros automáticos”, explicó.
El negocio es lucrativo: el año pasado, los delincuentes detrás de CryptoWall3 -uno de los tantos tipos de ramsomware- le costaron a sus víctimas más de 325 millones de dólares, según datos publicados por el grupo Cyber Threat Alliance, mientras que para este año se espera que ese monto sea aún más grande.
Este grupo conformado por las empresas especializadas Fortinet, Intel Security, Palo Alto Networks, Symantec, Barracuda Networks, ReversingLabs, Telefónica y Zscaler registró también más de 406.000 intentos de infectar equipos sólo con el CryptoWall3.
La enorme mayoría de estos ataques afectan a computadoras -en particular a equipos con Windows, aunque en menor medida a otros con Mac e incluso con Linux-, pero “ya están apareciendo los primeros casos orientados a dispositivos Android y iPhone”, precisó Borghello, y anunció: “Es lo que se viene”.
En la misma línea, Sarghel estimó que debido al tamaño del mercado, los teléfonos con Android “van a ser un nicho a futuro, seguro”. (Télam)