Borrar
Mensajes que reciben las víctimas una vez que el virus se ha instalado y ya ha encriptado todos los archivos de los ordenadores en red del negocio
Un virus informático que simula ser una factura se ceba con decenas de empresas malagueñas

Un virus informático que simula ser una factura se ceba con decenas de empresas malagueñas

Reciben un correo electrónico bien elaborado y, si pinchan el enlace, el ‘malware’ secuestra todos los archivos del negocio, que sólo libera bajo pago

Juan Cano

Lunes, 24 de abril 2017, 00:29

Necesitas ser suscriptor para acceder a esta funcionalidad.

Compartir

«Los archivos más importantes (incluidos los discos de Red, USB, etc: fotos, vídeos, documentos...) se cifran con nuestro Cryt0l0cker. La única manera de restaurarlos es pagarnos. De lo contrario, perderá el acceso a los archivos cifrados». Es el mensaje que apareció en todos sus ordenadores después de que la pantalla «se quedara en negro y se encendiera un pequeño flash, como si hubiese saltado todo el sistema operativo», relata la directora de Radio Costa del Sol, Maribel Madrid. Ella es una de las afectadas se cuentan ya por decenas en la provincia por el Crypt0l0cker, un nuevo método de ciberextorsión que está haciendo estragos entre particulares y, sobre todo, empresas. Se trata de un virus informático que secuestra los archivos o la contabilidad del negocio y que, para liberarlos, exige el pago de un rescate en bitcoins (dinero virtual), lo que, según el jefe de Delitos Tecnológicos de la Policía Nacional en Málaga, «dificulta el seguimiento del dinero y la persecución de los autores».

El Crypt0l0cker, un virus de la familia de los ransomware (de secuestro y cifrado de datos), usa como puerta de entrada la bandeja del correo electrónico. «Los atacantes suelen actuar por oleadas en países concretos. En España llevamos tres semanas de continuos ataques mediante el envío masivo de spam (correo no deseado). Con alguna excusa, como por ejemplo descargar una factura, nos piden abrir un fichero que contiene el código malicioso», explica Bernardo Quintero, fundador de Virustotal, la empresa malagueña de ciberseguridad que Google adquirió en 2012.

Un correo bien escrito

«El 1 de marzo, recibí un e-mail que hablaba de detalle del pago y decía adjuntamos factura», recuerda la directora de la radio, que tiene su sede física en Fuengirola. «Estaba muy conseguido, bien escrito y sin faltas de ortografía», a diferencia de la mayoría de virus, que destacan por lo burdo de su redacción, como otro de los que circulan estos días y que se hacen pasar por el Banco de España; en él puede leerse la palabra «enlase».

Consejos para prevenir el contagio

  • Su estrategia es el chantaje. Los delincuentes que están detrás de la expansión de los ransomware una familia de virus que secuestra los archivos del ordenador y exige un rescate para devolverlos buscan, obviamente, empresas dispuestas a pagar. De ahí la importancia de la prevención, insiste el jefe de Delitos Tecnológicos de la policía, quien añade «Es clave formar a los trabajadores sobre el riesgo que entraña para la compañía abrir un correo sospechoso; el empleado es el eslabón más débil en la cadena de la seguridad».

  • El cofundador de Virustotal, Bernardo Quintero, aporta algunos consejos para prevenir. «La primera medida es tan clásica como la informática las copias de seguridad en soportes de almacenamiento externos. Desgraciadamente esa práctica se ha ido perdiendo y sólo nos acordamos de las copias de seguridad cuando suceden cosas como esta. No basta con configurar una cuenta en DropBox o Google Drive para hacer una copia de seguridad, ya que estas unidades remotas también podrían ser afectadas por un ransomware. Hay que acudir a una empresa especializada para implantar un sistema robusto». A partir de ahí, la última barrera es la del «sentido común».

Ella estaba esperando una factura y pensó que acababa de recibirla, así que pinchó el enlace adjunto. «Ahí fue cuando la pantalla se puso negra y saltó el flash», relata. Pero no ocurrió nada más, al menos inmediatamente. Durante cuatro horas, pudieron seguir trabajando con normalidad en la redacción. Transcurrido ese tiempo, apareció el mensaje que informaba de que los archivos de la empresa habían sido encriptados. «Al principio, pensé que sería algún spam, pero tuve la precaución de apagar el router. Ya no me fiaba. Volví a encender el ordenador principal de los cinco que tiene la empresa e intenté abrir varios archivos, pero salían todos en blanco, como una página de Word sin escribir. Veía el documento, incluso podía abrirlo, pero no había nada». Al encender otro de los equipos, le apareció un mensaje similar: «Extracción de Crypt0l0cker, no restaurará el acceso a los archivos cifrados. Siga los pasos para poder recuperarlos, siempre previo pago». En el primer ordenador, le pidieron 700 euros por el rescate; en el segundo, 400.

Los virus de la familia de los ransomware (de cifrado de datos) están en «clara proliferación», confirma el experto Bernardo Quintero. Los códigos maliciosos como Crypt0l0cker se han convertido ya en la primera amenaza mundial a la seguridad en Internet, según un informe de la empresa PandaLabs. En Estados Unidos, por ejemplo, ha habido 4.000 casos en 2016 y, según el FBI, sólo en el primer trimestre de ese año se pagaron 206 millones de dólares en rescates, frente a los 24 de todo 2015. En Pandalabs aseguran que los ataques son cada más agresivos. «[Los hackers] han incluido una función de chat para poder comunicarte directamente con ellos y pagar».

El perfil de los negocios afectados se repite en casi todas las denuncias. Las grandes compañías tienen potentes departamentos de informática para defenderse y, en caso de ver peligrar su negocio, pagan sin pestañear, como hizo la dirección de un lujoso hotel austriaco que fue atacado por los hackers el pasado enero: pagó 1.500 euros en bitcoins para rescatar su negocio, ya que los ciberdelincuentes se habían apoderado de sus ordenadores y, lo que es peor, del control de acceso de las habitaciones, de manera que sus clientes podían salir de ellas, pero no entrar. «En Málaga sobre todo nos llegan casos de pequeñas y medianas empresas», confiesa el jefe del Grupo de Delitos Tecnológicos, que no se pronuncia sobre si las víctimas deben hacer frente o no al rescate, aunque advierte: «El pago no garantiza recuperar los datos».

El fundador de Virustotal coincide: «No hay forma de garantizar el éxito del proceso si se cede al chantaje, así que al final es una decisión del afectado según cada caso». Su consejo, una vez infectado el ordenador, es ponerse en contacto con alguna empresa especializada que identifique la variante del virus y compruebe si tiene solución técnica (sin pagar el rescate) o no. «Aquí también hay que tener precaución a la hora de contratarlas a través de Internet, por ejemplo buscando soluciones a través de Google, porque también ha surgido una pseudoestafa de servicios que dicen poder solucionar estas infecciones y solicitan algún pago online. Si ya es una desgracia sufrir un ataque de este tipo, caer en una segunda estafa sería el colmo», añade Quintero.

Aunque a priori el malware no tiene cura, el experto en ciberseguridad asegura que «depende» del caso, ya que los creadores del ransomware a veces cometen fallos o usan algoritmos más débiles. «En tales casos, se puede descifrar. Pero a día de hoy la mayoría de los códigos están bien programados y, desgraciadamente, recuperar el contenido original es matemáticamente inviable (se requerirían cálculos intensivos llevados a cabo por miles de ordenadores durante tantos años que resulta inviale a efectos prácticos)».

La directora de la radio optó por no ceder al chantaje y denunciar los hechos en comisaría; sólo perdió archivos del último trimestre gracias a las copias de seguridad, que ahora realiza a diario. «Si pagas el rescate, van a seguir dejando los archivos encriptados», opina ella. Desde entonces, dice, se siente «acosada» por los ciberdelincuentes. «A raíz de aquello, hemos recibido 11 correos electrónicos para que paguemos, cada uno con distinto nombre».

Reporta un error en esta noticia

* Campos obligatorios