Son muchos los tipos de malware (ransomware) y amenazas que podemos encontrarnos en la red. Los piratas informáticos buscan constantemente la manera en la que atacan a sus víctimas. Es cierto que existe un gran abanico de posibilidades para protegernos, pero los ciberdelincuentes también perfeccionan sus técnicas.

En este artículo vamos a centrarnos en el ransomware, que es uno de los problemas más serios. Más concretamente vamos a explicar cuándo es más frecuente que un usuario sufra un ataque de ransomware.

Una amenaza muy presente

Antes de nada hay que recordar qué es un ataque ransomware. Se trata de una amenaza que busca cifrar los archivos de las víctimas. De esta forma posteriormente podrán pedir un rescate a cambio de que los usuarios puedan volver a abrir esos archivos. Es un problema importante y que afecta tanto a particulares como también a empresas.

El principal método de propagación es a través de troyanos en sitios web malintencionados o legítimos que han sido comprometidos por los cibercriminales. Las vías de infección más habituales son las páginas web con contenido pornográfico o de juegos, de modo que, cuando los usuarios seleccionan alguno de los anuncios, se les redirige a otra página comprometida que les infecta con ransomware u otro malware.

Un segundo método de contagio se realiza mediante enlaces a sitios comprometidos en correos masivos, mensajería instantánea, redes sociales, o bien descargándolo con algún programa de compartición de ficheros (P2P).

Otra técnica a destacar se lleva a cabo a través de ataques usando el Protocolo de Escritorio Remoto (RDP), ya sea aprovechando alguna vulnerabilidad en el sistema o con ataques de fuerza bruta. Si el ataque tiene éxito, los criminales pueden cifrar los datos del servidor y después pedir un rescate por la contraseña.

Como último caso a destacar, comentar que este tipo de ataque también está afectando a dispositivos móviles, sobre todo dispositivos basados en el sistema operativo Android. Estos dispositivos son infectados cuando los usuarios instalan una aplicación que resulta no ser lo que anunciaba ser. Un ejemplo de este tipo de ransomware es el Android.Fakedefender, un troyano que muestra falsas alertas de seguridad en un intento de convencer al usuario de pagar por la versión completa de la aplicación con el fin de eliminar el malware inexistente.

La manera en la que se producen estos ataques puede ser diferente. Lo normal es que recibamos un archivo adjunto malicioso a través del correo electrónico. Pueden utilizar algún tipo de cebo para que abramos o descarguemos un archivo PDF, Excel, Word o cualquier otro. Es a partir de ese momento cuando se ejecuta el malware.

Hay que tener en cuenta que los métodos pueden ser diversos.

Cuándo es más frecuente sufrir un ataque ransomware

Las estadísticas normalmente sirven en estos casos. Es una realidad que los ataques Phishing, por ejemplo, aumentan en épocas como la navidad. A fin de cuentas se aprovechan de periodos en los que los usuarios pueden ser más susceptibles de sufrir algún tipo de ataque. Ahora bien, ¿cómo se traduce esto en el caso del ransomware?

Según un grupo de expertos en seguridad informática, los piratas cibernéticos no dejan nada al azar o improvisación. Miran muy al detalle todas las posibilidades que tienen. De igual forma que pueden atacar aquellos servicios o plataformas que cuentan con más usuarios, también hay que indicar que miran muy bien los tiempos.

El 27% de los ataques ransomware son en fin de semana. Además el 49% de los ataques en días laborales tienen lugar después del horario general de trabajo. ¿Por qué ocurre esto? Los expertos indican que uno de los motivos principales porque en horarios de fin de semana o después de las horas generales de trabajo hay menos atención. Muchas empresas incluso pueden no tener trabajadores preparados y operativos.

Cuando se ejecuta un ataque ransomware en una empresa el tiempo es fundamental. En caso de que ocurra en horario laboral, lo normal es que haya trabajadores cualificados preparados para dar la señal de alerta. Pero claro, si esto ocurre en fin de semana o por la noche, no habría gente o al menos no tan preparada, para llevar a cabo la defensa de una empresa.

Por tanto podemos decir que el momento más frecuente de sufrir un ataque ransomware es después del horario laboral, así como los fines de semana. Al menos a nivel estadístico los datos muestran que es así. Esto aplica principalmente a nivel empresarial, pero podríamos trasladarlos también a nivel de usuarios particulares. Eso sí, en este último caso habría que tener en cuenta otras características importantes.

Cómo protegerse

Para protegernos de los ataques ransomware lo mejor es el sentido común. En la mayoría de ocasiones es necesario que los usuarios lleven a cabo alguna acción como puede ser descargar un archivo adjunto malicioso, por ejemplo. También acceder a un link fraudulento, entre otras cosas.

Los principales consejos para protegerse de este tipo de amenazas son:

• Actualizar todo el software del ordenador, sobre todo el Sistema Operativo, navegadores web, Adobe Flash, Acrobat Reader y Máquina Virtual de Java (deshabilitando los plugins añadidos en el navegador si no van a ser necesarios).
• Tener instalado un producto antivirus actualizado.
• Mantener activado el firewall del equipo.
• No abrir correos sospechosos.
• Nunca seguir los enlaces que aparecen en correos de supuestos «amigos».
• Hacer copias de seguridad periódicas. Este punto es de especial importancia para la recuperación de datos antes de un posible ataque.
• Configurar la conexión al Escritorio remoto (RDP) para que sea accesible sólo desde Redes Privadas Virtuales (Virtual Private Network o VPNs) y usando dos factores de autenticación.

También será necesario contar con las últimas versiones y parches. Ya sabemos que en ocasiones surgen vulnerabilidades que pueden poner en riesgo la seguridad de los usuarios.

Cómo recuperarse de un ransomware

La recuperación de un ataque de ransomware puede ser una tarea complicada, además es posible que se necesite la ayuda de personal especializado. Si tu sistema está comprometido, se recomienda no pagar la «multa» o «rescate», ya que esto no garantiza que los criminales respondan una vez se realice el pago.

Una vez confirmado que el malware ha sido eliminado del ordenador, se recomienda cambiar todas las contraseñas que se puedan haber usado en el ordenador afectado.

En conslusión

• El ransomware es un tipo de malware que inhabilita el ordenador de un usuario o que cifra los archivos de datos, con el objetivo de pedir el pago de una cantidad determinada de dinero para devolver el acceso al usuario. Por lo tanto, se trata de una extorsión.
• Los patrones de infección más habituales de este tipo de malware son enlaces hacia sitios comprometidos, por la instalación de software fraudulento o por correos con enlaces o adjuntos malintencionados.
• Se recomienda también navegar por Internet con precaución, evitando sitios de dudosa procedencia, y mantenerse lo más actualizado posible.
• En caso de infección, no pague a los delincuentes. Reporte el problema a las autoridades competentes y busque ayuda técnica especializada para solucionar el incidente.

Aunque el conocimiento de este tipo de estafas se está incrementando, los atacantes y el malware que utilizan también evoluciona, mejorando las técnicas para evadir la detección y evitar su eliminación. Además, la «carta de rescate» es probable que siga evolucionando tanto en perfección como en la focalización sobre nuevos sectores para la población, así como en nuevos objetivos, como son los dispositivos móviles.

Fuente: Instituto Nacional de Ciberseguridad (Incibe)