Estas últimas semanas muchas personas y empresas se están encontrando con la desagradable sorpresa de comprobar que han perdido toda la información de sus ordenadores, con la consiguiente desesperación. Informes y trabajos, hojas de cálculo, archivos PDF, bases de datos, fotos y vídeos… Todo. Los documentos están ahí pero no se pueden abrir: los han “secuestrado”. Los móviles con Android tampoco se libran.
Lo peor es que no solo afecta a los ficheros que están en el equipo sino también a los que puedan guardarse en discos USB conectados y en otros PCs de la red, incluyendo servidores y copias de seguridad, si no están debidamente protegidos.
El culpable de todo es una familia de virus (ransomware con variantes como CryptoLocker, CryptoWall…) que lo que hace es cifrar (codificar) la información con una contraseña muy robusta y desconocida para el usuario y exigir dinero a cambio de decir cuál es (de ahí la afirmación de que los datos no se eliminan, sino que quedan secuestrados a cambio de un rescate, que luego comentaremos).
Esta catástrofe informática, que puede llevar a la ruina a muchas empresas, no es ciencia ficción. Está ocurriendo de verdad en muchas organizaciones (grandes y pequeñas) y hogares, que ven cómo ficheros “importantes” se convierten en basura irrecuperable. Es terrible.
Por más que se intente solucionar, no tiene cura, solo se puede prevenir, por lo que hay que extremar las precauciones.
El virus se transmite por Internet. Hay diferentes variantes y uno se infecta cuando visita una web maliciosa que aprovecha algún fallo del navegador utilizado o de una extensión (por ejemplo Java, Flash, etc.) e instala, sin nuestro permiso, el virus sin que el antivirus lo detecte. También es posible infectarse abriendo un fichero malicioso en formato PDF, Word, PowerPoint, etc.
De manera muy hábil y para hacer que la posible víctima visite la web donde quedará infectado o abra el archivo con el virus, los malhechores (por no llamarlos algo peor) ponen en circulación correos electrónicos que fingen provenir de Correos, Hacienda, Tráfico, SEUR, UPS, compañeros de trabajo, amigos o conocidos, lo que siempre transmite confianza y hace que bajemos la guardia.
En mi caso he recibido varios. Si se lee con detenimiento el texto, se pueden apreciar errores ortográficos, léxicos o giros extraños, lo que denota que no ha sido traducido con cuidado. Por ejemplo:
Asunto: Christian Delgado von Eitzen carta certificada no entregado a usted
En general, y no solo debido a esta amenaza de ransomware, no se debe abrir jamás un enlace de un correo o abrir un fichero si no ha sido solicitado expresamente o tenemos dudas sobre su procedencia o intenciones.
Es preferible consultar al remitente si el correo es legítimo, antes que exponernos a una infección que puede destruir toda la información del ordenador y de la red.
Si el virus consigue instalarse (CryptoLocker, CryptoWall y otras variantes) lo que hace es rastrear todos los discos duros, memorias USB conectadas, carpetas compartidas en servidores y cifra los ficheros con una contraseña muy robusta que solo el delincuente conoce. Después de encriptar los archivos de datos, borra los originales, dejando solo los inaccesibles para el desdichado usuario.
Los tipos de ficheros afectados son los más utilizados: Word, Excel, PDF, fotos, vídeos, archivos comprimidos zip, etc. Otras variantes del virus atacan también a bases de datos, copias de seguridad, etc., dejándolas inutilizables.
La información almacenada en otros equipos informáticos de la red -incluso servidores- puede verse afectada, sobre todo en entornos empresariales. En este caso, la pérdida de datos de clientes, pedidos, transacciones, contabilidad, etc. puede causar serios trastornos a la organización e incluso, en el peor de los casos, su cierre, de ahí la seriedad de este tipo de amenazas.
Para informar de lo que ha pasado, junto a los ficheros afectados (que a veces cambian de extensión a ecc, exx…), los virus dejan archivos de ayuda HELP_DECRYPT (o algo parecido) en los que informan sobre cómo pagar el rescate. Afirman que si se desea recuperar la información, se debe transferir una cierta cantidad de dinero. Supuestamente después, el delincuente facilita una clave para, archivo a archivo, recuperar los datos.
El dinero del rescate se debe abonar en Bitcoins, una moneda de Internet que es casi imposible de rastrear. El importe además no es fijo, sino que depende del interés que tengamos en los ficheros (cuanto más alto sea, más pedirán, entre 300 y 1000 $).
Contrariamente a lo que puede pensarse, pagar no garantiza en todos los casos que se obtenga una contraseña válida para recuperar la información (y obviamente los delincuentes no tienen un servicio de soporte ni dan factura para reclamar), además de que dándoles lo que quieren se incentiva este tipo de actividades delictivas, que deberían ser denunciadas a las autoridades.
En el caso de los móviles con Android, una variante muy activa es el “virus de la policía” que no borra la información pero impide que se utilice el Smartphone normalmente a menos que se pague.
Para evitar ser infectado y perder información, lo más recomendable es:
No hacer clic bajo ninguna circunstancia en enlaces recibidos por correo electrónico que puedan resultar sospechosos.
En caso de ser infectados, hay pocas opciones de recuperar la información. Lo primero que hay que hacer es desconectar el equipo de la red, apagarlo e intentar eliminarlo con un antivirus.
Hay webs que recopilan contraseñas sustraídas a delincuentes informáticos https://www.decryptcryptolocker.com/ o https://noransom.kaspersky.com/ y a veces, dependiendo del virus, tener activada la opción de Windows de versiones anteriores del archivo puede ayudar a recuperar algo, pero, por lo general, es complicado, por lo que para evitar las pérdidas de datos es fundamental no hacer clic en enlaces sospechosos, no abrir ficheros no solicitados, tener el ordenador actualizado y protegido y por supuesto con copias de seguridad frecuentes.
Publicado en el periódico «La Región» el 7 de junio de 2015.
Imágenes Shuttestock: 1, 5, 6 y 7.
Gracias por el artículo, la verdad es que a la gente que hace virus yo la metía de por vida en la cárcel… O casi mejor los echaba al fondo del mar, que sirvan como comida para peces. Hay que ser malnacidos…
Hola, Scherzo
Gracias a ti por el comentario. La verdad es que sí, razón no te falta. Hay actos mucho peores pero desde luego hay que tener mala idea para emprender este tipo de actos.
Saludos.