Especialistas en seguridad informática advirtieron sobre el surgimiento en Latinoamérica de nuevas «familias» de ransomware -el código malicioso que bloquea el acceso al equipo infectado o a sus archivos y lo libera tras el pago de un «rescate»- y describieron las cinco amenazas más detectadas, con el fin de contribuir a concientizar sobre el tema.
Este tipo de incidente informático tuvo su máximo histórico de detecciones en 2017, año en que dos grandes ataques de este tipo -bautizados «Wannacry» y «Notpetya»- afectaron a miles de empresas en 180 países en simultáneo, y si bien en 2018 se registró un descenso, surgieron nuevas familias de ransomware con foco específico en países de la región.
Un informe de la empresa eslovaca de ciberseguridad Eset detalló los cinco tipos de ransomaware más extendidos en Latinoamérica, que si bien tienen comportamientos parecidos presentan sus propias características.
Entre los más comunes están el «Filecoder», que encripta archivos del equipo y pide un rescate -generalmente en bitcoins- para darle al usuario la clave de descifrado, y el «Lockscreen», que actúa de forma similar a Filecoder pero en lugar de cifrar archivos bloquea el acceso al equipo.
Por su parte, el «Virus de la policía» es un troyano que bloquea las máquinas al iniciarse y muestra un falso mensaje de la policía o de alguna autoridad, con la excusa de haber detectado accesos a páginas ilegales (especialmente de pornografía infantil); para el desbloqueo solicita el pago de una multa y en la mayoría de los casos no encripta datos del equipo.
Otra de las familias es «Wiper», que también encripta archivos pero, tras el pago del rescate, nunca los devuelve sino que los elimina, los corrompe o impide el acceso al sistema operativo.
En tanto, el «Hoax ransomware» combina el secuestro con un engaño, ya que funciona como un Filecoder pero en realidad no cifra ningún archivo: solamente utiliza técnicas de ingeniería social para asustar a la víctima y provocar el pago.
Según de qué familia se trate, la información o el equipo afectado pueden recuperarse -desencriptarse- sin pagar el rescate.
«En ocasiones los atacantes cometen errores durante la implementación del cifrado o bien con el uso de las claves con la que han cifrado la información. Entonces, mediante técnicas como la ingeniería inversa, por ejemplo, es posible identificar la información necesaria para descifrar la información», explicó en diálogo con Télam Miguel Ángel Mendoza, especialista de Eset Latinoamérica.
«Lamentablemente, en otros casos no ocurre así; aplican de manera muy efectiva el cifrado y por lo tanto recuperar la información es prácticamente imposible, dejando como única opción el pago del rescate», completó.
Sin embargo, subrayó Mendoza, realizar el pago «debería ser la última opción que tenga el usuario ya que al final de cuentas está negociando con un criminal y no existe la garantía de que una vez pagado se pueda recuperar la información».
Con un 30 por ciento del total de las detecciones, Colombia fue en 2018 el país más afectado por ransomware en la región, seguida por Perú (16%) y México (14%), detalló el informe de Eset.
En los casos de Colombia y de Perú se observaron «campañas específicas que se propagaron en esos países de manera determinada, de la mano de algunas técnicas que se utilizan para intentar engañar a los usuarios», explicó Mendoza.
En cambio Argentina, que totalizó el 9% de las detecciones de ransomware, no se identificaron campañas focalizadas sino que se vio «un reflejo de lo que está ocurriendo en la región», detalló el especialista
Para el jefe del Laboratorio de Investigación de Eset Latinoamérica, Camilo Gutiéerrez, el mejor modo de protegerse de estas amenazas sigue siendo «un mix entre educación, concientización y uso de soluciones de seguridad confiables”.