Para poner en contexto el ransomware, compartiré un caso de ciberseguridad que me sucedió en 2014. Estando en servicio de respuesta a incidentes, me canalizaron una llamada telefónica de una mujer, madre de familia, que deseaba saber qué había pasado con la tableta electrónica de su hijo. Mientras estaba navegando en Internet, de repente, el dispositivo se bloqueó con una pantalla y un texto en inglés difícil de comprender para ella. Me solicitó orientación para recuperar la funcionalidad de la tableta y que su hijo pudiera seguir usándola.
AndroidLocker
Dadas las características que me describió de manera puntual, entendí que se trataba de un ransomware, por lo que pregunté si había información personal o sensible en el dispositivo. Obtuve una respuesta negativa: el uso era, principalmente, para el entretenimiento en línea.
Se trataba de un incidente de bajo impacto que podía solucionarse restaurando el dispositivo a sus valores de fábrica, un hard reset. Pero antes me atreví a pedirle si nos podía obsequiar la muestra del código malicioso y verificar qué tipo de programa podrían encontrar otras personas en Internet.
No tardé en recibir una respuesta positiva y le pedí a uno de nuestros técnicos del equipo que se presentara a recabar la muestra y realizar la recuperación del gadget. En este tipo de incidentes, el impacto es bajo en virtud de que no existe pérdida de información, afectaciones económicas o de reputación de las víctimas. En un par de horas, todo estaba como antes.
El código malicioso analizado correspondía a una versión de AndroidLocker que empezaba a afectar a dispositivos móviles como teléfonos celulares y tabletas electrónicas, que en número ya superaban en 2014 a las computadoras de escritorio y portátiles (96 contra 43 por cada 100 habitantes según datos de la Unión Internacional de Telecomunicaciones).
Hacía casi un año, nuestro equipo de respuesta a incidentes cibernéticos había lidiado con un problema mayor. Se trataba de un ransomware conocido como el Virus del policía que bloqueaba la pantalla de las computadoras usando un mensaje que indicaba a las víctimas que, al haber estado navegando en sitios de adultos, habían cometido un delito. Por dicho motivo, la policía había bloqueado su dispositivo y exigía al usuario el pago de una multa a cambio de la liberación de su dispositivo, lo cual, por supuesto, era totalmente mentira.
En el contexto actual, no todo el panorama es desolador. ‘El ransomware’ puede ser detectado y, por ende, eliminado
Origen del ‘ransomware’
Para comprender el contexto de los ciberataques de tipo ransomware es importante conocer el origen y los antecedentes de esta familia de código malicioso. En principio, el término proviene de las palabras en inglés ransom, que significa rescate, y software, que se refiere a los programas para computadoras. El programa es creado para impedir, de manera parcial o total, el acceso a los archivos del usuario, lo que aprovechan los delincuentes para solicitar un pago –normalmente, en criptomonedas– a cambio de proporcionar lo necesario para su recuperación. Esto también ha generado que a esta actividad se la denomine secuestro de información o secuestro de datos.
El uso de programas que secuestran nuestra información ha ido evolucionando en sus distintas formas de propagación, evasión de antivirus, cifrados más complejos e incluso en la manera de coaccionar a los usuarios para el pago del rescate.
Las redes del cibercrimen también son utilizadas para comercializar códigos maliciosos de tipo ransomware en la Internet profunda (deep web), donde existen productores de código –usualmente, desarrolladores– y distribuidores que lo ofertan en kits de bajo costo. Y también servicios de spam para enviar miles de correos en una campaña orquestada.
En 1989, uno de los antecedentes más referidos e incluso conocido como el primer ransomware es el creado por Joseph Popp, un investigador de la enfermedad del SIDA (síndrome de inmunodeficiencia adquirida). Popp envió por correo postal más de 20.000 copias de un programa que contenía un supuesto cuestionario para diagnosticar el riesgo de contraer la enfermedad utilizando discos flexibles para alojar un código malicioso de tipo troyano. El código malicioso lograba activarse después de 90 encendidas de la computadora para, a continuación, arrojar un mensaje con la exigencia de pago de 189 dólares a cambio del descifrado.
Joseph Popp argumentó que el rescate pretendía utilizarlo para financiar la investigación contra el SIDA. Lo cierto es que esta amenaza resultaba fácil de eliminar, por lo que el incidente tuvo un impacto considerable debido a la cantidad de incidentes generados más que por la afectación económica.
¡Sigue leyendo!
Si deseas leer el artículo completo de Radamés Hernández Alemán, lo encontrarás en el número 18 de Segurilatam.
