Ransomware: ¿Qué es? ¿Cómo funciona?

A raíz del último ataque informático que sufrió Telefónica España en su sede central este viernes 12 de mayo, ValentinBook explica, a través de este artículo, qué es y cómo funciona el Ransomware.

Conociendo el Ransomware

Ransomware es el término general que se le da a una clase de malware que es capaz de tomar el control total de un equipo hasta que la víctima pague por el rescate (ransom). Para que los criminales tengan mayor oportunidad de conseguir dinero, las aplicaciones maliciosas pretenderán lucir como si proviniera de un origen legítimo, por ejemplo, una agencia gubernamental. Esta agencia gubernamental puede argumentar que usted ha sido detectado visitando sitios web no autorizados y, por lo tanto, deberá pagar una penalización.

Otras estrategias que se utilizan para engañar a los usuarios incluyen mostrar una ventana falsa de la activación de Windows, diciéndole a la víctima que pague para volver a activar el sistema debido al fraude detectado.
Normalmente, los criminales establecerán un periodo de expiración para que el usuario pague por el rescate, forzando a la víctima a enviar el dinero después de ser infectado.

Existen dos clases diferentes de ransomware que han sido identificados: uno que solo toma el control de la pantalla conocido como RansomLock; y otro que cifra la información personal (fotos, vídeos, imágenes, correos electrónicos y otros), conocidos como CryptoLocker.

Debe tener en cuenta que este tipo de malware no es nuevo. El primer CryptoLocker fue documentado en 1989, creado por el Dr. Joseph Popp, y conocido como el “Troyano del SIDA”. Nombrado en aquellos días como “Extorsión Criptoviral”. Este malware cifró todos los archivos del disco duro y le dijo a la víctima que pagara $189.00 a la empresa PC Cyborg Corporation, por lo que el ataque también fue conocido como PC Cyborg. Cuando Popp fue capturado, solo dijo que el dinero ganado fue usado para ayudar en las investigaciones contra el SIDA.


Para informáticos…

El Troyano del SIDA se usó para cifrar la información a través del uso de claves simétricas. Debido a que la clave fue incrustada en el binario, fue más fácil recuperar los archivos protegidos. Más tarde, los investigadores Young y Yung resolvieron esta debilidad de las claves simétricas implementando la criptografía de claves públicas. De esta forma, los archivos fueron cifrados con una clave pública, y una vez que se pague por el rescate, la víctima recibe una clave de sesión de recuperación. En un escenario como este, no habría manera de encontrar las claves para descifrar la información, mejorando así el ataque de extorsión.


Como se mencionó anteriormente, este tipo de malware no es nuevo para los equipos PC, en la era de los Smartphones, esta amenaza ya se ha hecho sentir en los dispositivos móviles. A mediados del 2014, SimpleLocker fue el primer ransomware diseñado para dispositivos Android.

Métodos para pagar por el rescate

Desde el punto de vista de los criminales, la parte más importante es permanecer anónimo cuando reciben el dinero. Por ello, la siguiente lista muestra los métodos de pago que han evolucionado en el tiempo:

  • Envío de SMS con recargo: Un método fácil para enviar el pago, pero también fácil para dar seguimiento al receptor. La víctima solo necesita enviar un mensaje de texto para recuperar su equipo.
  • Proveedores de pago en efectivo online: Este método de pago no requiere el uso de una tarjeta de crédito. Una víctima puede ir al proveedor local más cercano y comprar algo de crédito con dinero en efectivo, usted recibirá un código específico para gastar el dinero. Este código es enviado a los criminales para recuperar el equipo. Aquí, la única manera de conocer que el receptor consiguió el dinero es que el malware instalado haya sido revocado. Algunos de los proveedores de pago en efectivo online más conocidos son Ukash, MoneyPack y Paysafecard.
  • Bitcoin: Descrito como dinero digital y considerado como una moneda digital (ya que no es considerada como una moneda válida), bitcoin es un método P2P que ha obtenido mucha atención durante el último año. Debido a que el bitcoin puede ser transferido de una persona a otra directamente, es bastante dificultoso dar seguimiento al emisor y el receptor, siendo más fácil para los ladrones obtener ganancias con estas actividades maliciosas.

Es recomendable que jamás pague el rescate; en su lugar, lleve su equipo al soporte técnico más cercano para intentar obtener el control de su equipo nuevamente. Incluso si los archivos han sido cifrados, no hay garantía de que los pueda recuperar, y pagando a los criminales es como ayudar a impulsar el negocio.

Vectores de ataque del Ransomware

Los más modernos criptoransomwares usan algunos métodos para entrar al sistema. La mayoría de los criminales obtienen el acceso a las redes gracias a la interacción del usuario con los archivos infectados o enlaces maliciosos enviados por correo electrónico, o a través de publicidad maliciosa insertada en redes de publicidad legítimas. Los tipos de ransomware que se basan en publicidad maliciosa usan en segundo plano JavaScript o Adobe Flash mientras el anuncio se descarga y ejecuta el ransomware sin la interacción o conocimiento del usuario.

Por ello, deberá encontrar la manera de prevenir que sus archivos corran riesgo siguiendo alguno de estos consejos:

  • Realice copias de seguridad de sus archivos más importantes de forma regular.
  • Evite hacer clic en los enlaces desconocidos. Estos pueden llegar en los mensajes de correo electrónico o inclusive en sus redes sociales.
  • Active la opción de Mostrar las extensiones de archivo para saber el tipo de archivo. Si no lo hace, posiblemente pueda hacer doble clic a un archivo ejecutable sin darse cuenta.Actualice constantemente su sistema operativo y las aplicaciones.
  • Evite instalar software pirata.

1 thought on “Ransomware: ¿Qué es? ¿Cómo funciona?”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *