'Ransomware': un día en la oficina de la extorsión

Esta escena no tendría nada de especial de no ser porque Alan no es un programador web, no es un comercial de telemarketing, un analista de mercado, un traductor o un contable. Lo único que hace diferente esta historia es que Alan trabaja en un grupo encargado de distribuir lo que conocemos como 'ransomware', un tipo de código malicioso que secuestra las fotos, documentos y otros archivos de los equipos informáticos que infecta. Pese a lo que muchos puedan pensar, el trabajo de Alan no es necesariamente complejo y tampoco requiere de conocimientos o habilidades técnicas extraordinarias, sino de disciplina y de la capacidad de seguir instrucciones y usar las herramientas que se le ha proporcionado. Un trabajo que culmina en una extorsión y que suele acabar con el pago de la cantidad demandada para poner fin al 'secuestro informático'.

Aunque Alan sea un personaje ficticio, representa a uno de los muchos distribuidores afiliados que trabajan para redes criminales de países de Europa del Este. Para hacerse una idea de la dimensión de este problema humano, que no tecnológico, hay que conocer algunos datos. Por ejemplo, que cada uno de los ejecutables maliciosos que se distribuyen en forma de 'ransomware' cuenta con un identificador que permite saber exactamente qué distribuidor infectó a qué víctima, de modo que puedan cobrar una comisión por el pago de la extorsión. O que por una única variante de 'ransomware' conocido como GandCrag, en tan solo tres años de trabajo, sus autores se embolsaron más de dos mil millones de dólares. A esto hay que añadirle que, desafortunadamente, la economía de muchos de los países de la antigua Unión Soviética no puede absorber de forma legítima la gran cantidad de talento técnico que su sistema de educación, destacado en las matemáticas y las ciencias, ha producido en los últimos años. La escasa financiación pública y privada no produce suficientes puestos de trabajo ni oportunidades para estos jóvenes que con mayor frecuencia se decantan por una carrera lucrativa en el lado oscuro de la ciberseguridad, creando lo que se ha llegado a llamar 'el Sillicon Valley criminal'.

Pero la ironía de la oficina de la extorsión no acaba aquí. Atraída por el temor que crean estas amenazas en grandes compañías multinacionales, la industria aseguradora ha entrado en escena. Actualmente se estima que tan solo en Estados Unidos el mercado de las pólizas de seguro de ciberseguridad ha crecido hasta los ocho mil millones de dólares al año. El problema es que las aseguradoras no solo están beneficiándose a sí mismas con estos ataques, sino que también están beneficiando a los propios criminales a partes iguales, pagando rescates que perpetúan el problema e incrementan las demandas de los extorsionadores. ¿Por qué razón pagarían las aseguradoras a estos criminales? Fácil. El costo de recuperar los datos de sus asegurados y sobre todo las pérdidas por lucro cesante superan en muchos casos el precio del rescate. Es simplemente una cuestión de números. Es más barato ceder a la extorsión. Así sucedió en el caso del ataque que la ciudad de Lake City, en Florida, sufrió el verano pasado, cuando la aseguradora de esta ciudad norteamericana, la británica Lloyds, decidió pagar el rescate de 42 bitcoins, unos 460.000 dólares. La víctima, en este caso, solo tuvo que pagar 10.000 dólares del deducible. Todo un chollo. Sobre todo considerando que el coste estimado de haber recuperado los datos desde las copias de seguridad habría ascendido a más de un millón de dólares, superando los límites de la póliza. No sorprende, por lo tanto, que estos pagos que realizan las aseguradoras en respuesta a las infecciones de sus clientes estén alimentando una ola creciente de ataques. Financiación desde luego no falta.

Y frente a este panorama, ¿qué puede hacer el ciudadano de a pie? ¿qué puede hacer la empresa pequeña o mediana que no tiene acceso a estos recursos? ¿qué puedes hacer tú?

La buena noticia es que siguiendo unos consejos sencillos es posible prevenir o, al menos, mitigar, el impacto de estos ataques. En primer lugar, es imprescindible contar con copias de seguridad actualizadas. De todas las recomendaciones esta es, sin duda, la más importante. Crea al menos dos copias de todos tus archivos, incluyendo tus fotos de familia y documentos que solo dispongas en formato digital: una en la nube, y otra en un dispositivo físico local como un disco portátil USB que desconectes de tu PC una vez que hayas realizado la copia. Asegúrate de que estas copias se realicen de forma automática y regular. Utiliza también un buen software antivirus para proteger tu sistema y mantén la suscripción actualizada. Mantén también el software de tu PC actualizado de manera automática y evita instalar cualquier tipo de software que no hayas comprado de manera legítima. Recuerda que nadie da nada gratis. Por último, en la red, no te fíes de nadie. No abras ningún archivo adjunto en emails de remitentes que no conozcas, ni hagas clic en ningún enlace que sea sospechoso, aunque sea de alguien conocido. En muchas ocasiones los criminales usan cuentas comprometidas de amigos y familiares en redes sociales.

Por último, si descubres algún proceso sospechoso en tu PC, desconéctalo de la red lo antes posible para evitar que la infección se extienda a otros sistemas. Y si, desafortunadamente, eres víctima de un ataque de 'ransomware', sigue las recomendaciones de la web nomoreransom.org, fundada por la oficina europea de la Policía, y empresas de la industria de la ciberseguridad. La recomendación general es no pagar el rescate. Recuerda que enviando tu dinero a los cibercriminales tan solo contribuirás a financiar a criminales y a que el 'ransomware' continúe, además de que no existe ninguna garantía de que recibas la clave necesaria para recuperar tus archivos después del pago.