Traducido por Luis Castellanos de publicación en PC World
En el mundo real, el secuestro es un crimen riesgoso – a veces al ser pagado te pueden capturar. En el mundo digital, sin embargo, pedir rescate por la data, o Ransomware, es una epidemia hoy en día, un crimen popular que está dejando a muchos negocios y personas con el riesgo de perder sus datos.
Una compañía pequeña en los Estados Unidos – una empresa de distribución con dos docenas de trabajadores – aprendió eso de la manera más difícil. Un empleado, sin querer, terminó infectando todo el sistema con una amenaza conocida como «CryptoWall«, de acuerdo a uno de los dueños de la compañía, John, quien pidió no revelar su verdadero nombre ni el de su empresa.
Ransomware puede estar en el sistema sin ser detectado
De manera callada, el malware se esparció desde internet por toda la red de la compañía, y en tres (3) días encriptó todos los datos. Y peor para la compañía, encriptó datos contables en uno de los discos duros en el servidor de la compañía.
Los miembros de la compañía se enteraron de la infección cuando su aplicación contable falló en abrir unos datos financieros. «La nota de rescate nunca apareció en pantalla», dijo John. «La aplicación contable sólo dejó de funcionar una mañana».
Cuando llegó un técnico de soporte para investigar el problema del software de contabilidad, más de 200 copias de la nota de rescate aparecieron en el sistema de archivos, solicitándole a la compañía que pagara el equivalente de $500 en Bitcoins.
El Ransomware está en auge. Empezando con CryptoLocker en el 2013, un software para pedir rescate que atacó a numerosas y desafortunadas víctimas. CryptoLocker recogió unos diez millones de dólares hasta que las autoridades lograron bloquear la red en mayo del 2014, apagando los servidores de comando y control de CryptoLocker y la infraestructura del botnet de «GameOver Zeus» que esparció el malware. Pero, otras variantes de ransomware han aparecido. Entre mediados de marzo y agosto del 2014, más de 600.000 sistemas fueron infectados con la variante CryptoWall de ransomware, de acuerdo a a la empresa SecureWorks.
El escenario es peor, ya que también hay ransomware para los datos en los teléfonos móviles, de acuerdo a la compañía de seguridad Móvil, Lookout. En el 2014, cuatro de los cinco programas de malware encontrados por usuarios de Android en los Estados Unidos eran del tipo ransomware, que aparentaban ser aplicaciones legítimas, y luego de ser instaladas bloqueaban el teléfono y pedían rescate. Mientras que la amenaza de ransomware móvil continúa siendo baja – sólo un 7% de usuarios Android han encontrado malware – el ramsonware tuvo un 75% de incremento, de acuerdo a las cifras del año pasado.
Tu mejor defensa: respaldar, respaldar, respaldar
La solución al ransomware es bastante simple, al menos por ahora. Los usuarios y pequeños negocios con un buen proceso de respaldo serán capaces de recuperar muchos de los datos encriptados por los atacantes. Las compañías que están haciendo respaldos localmente deben asegurarse de que pueden recuperar una imagen de los datos y guardar múltiples copias. Cualquier respaldo hecho entre la fecha del ataque y la fecha en que se detectó el ataque, estará encriptado, y por lo tanto, irrecuperable si no se paga el rescate.
Por ello, los respaldos en línea, con respaldos incrementales automáticos son de gran ayuda, de acuerdo con Brian Foster, empleado de la empresa de seguridad de redes «Damballa». Al menos, las compañías deben guardar un juego de respaldos localmente. «Soy fanático de los respaldos en línea», continuó. «Deberías de esperar que si te ataca un ramsonware, no vas a recuperar tu PC de nuevo».
Otra posible defensa: el ransomware típicamente busca una clave de encriptamiento en un servidor en línea. Detectar y bloquear ese requerimiento puede prevenir la encriptación de los datos.
Desafortunadamente para la pequeña empresa atacada, la infección reveló que el programa de respaldo no estaba trabajando apropiadamente en los últimos dos años. La compañía no tuvo otra alternativa que pagar. Y aún eso no fue fácil. La rutina de desencriptamiento falló al decodificar más de 100 de los miles de archivos encriptados, quedando información financiera y de algunos clientes encriptada.
Los dueños quedaron en un estado de indefensión. Los criminales dijeron que el sistema infectado ya estaba limpio, pero ni John ni su socio confiaron en esa afirmación.
«El miedo, como un tecnólogo que soy, es que sientes que necesitas formatear cada disco de la red», dijo John. «No confío en las otras computadoras, pero necesitaríamos $10.000 para reconstruir toda la infraestructura.»
La compañía aún está evaluando sus opciones.
