ciberchantajes a empresas alavesas ciberchantajes a empresas alavesas

Un rescate a cambio de tu información

Golpean a las empresas a través de la Red. Se cuelan en los ordenadores por medio de mails, encriptan los datos y exigen un pago irrastreable en bitcoins a cambio de restituir los discos duros a su estado original.

Un reportaje de Axier Burdain. Fotografía Josu Chavarri - Domingo, 19 de Marzo de 2017 - Actualizado a las 06:13h.

un correo electrónico, en apariencia inofensivo, que contiene un enlace a una factura. En principio no hay motivos para la sospecha y al no prestar atención a los detalles del mensaje el destinatario pasa por alto que lo que está a punto de abrir es un archivo comprimido. Nada más hacer doble clic, se desata la pesadilla: Cryptolocker. Software malicioso catalogado como ransomware por los expertos en seguridad informática que encripta todo el contenido del disco duro volviéndolo ilegible. Reclama al usuario un rescate -ransom en inglés- a cambio de devolver el contenido del disco duro a su estado original. Ya son varias las empresas alavesas que han sido víctimas de estos ciberataques y que se han visto en la disyuntiva de aceptar el chantaje o perder la información contenida en los ordenadores.

En la firma en la que trabaja Isabel, ubicada en Vitoria, sucedió a principios de mes. La bandeja de entrada mostró un correo remitido por un tal Manuel Rodríguez y dirigido a la atención de la empresa. Contenía un documento adjunto, en teoría una factura. El empleado que lo abrió debió pensárselo dos veces, ya que un archivo de texto o la imagen de una factura no pesan tanto como para enviarlos comprimidos. Aún así, hizo doble clic en el archivo .zip y al hacerlo encriptó instantáneamente todo el contenido de los dos ordenadores de la empresa que estaban conectados en red.

El encabezamiento del mensaje que a continuación surgió en la pantalla dejaba claro que el ataque llegaba desde el extranjero: “¡¡¡Nos cifrar sus archivos con Cryptolocker!!!”. Acto seguido, revelaban sus intenciones en un español precario: “La única manera de restaurar los archivos es pagarnos. De lo contrario, se perderán los archivos. Para recuperar los archivos que tiene que pagar”.

El rescate reclamado ascendía nada menos que a 2.700 euros. Puesto que disponían de una copia de seguridad de todo 2016, la encriptación sólo afectaba al trabajo realizado durante enero, febrero y la primera semana de marzo. La nota incluía un método de pago a través de una página web, pero advertía de que en el caso de que diera problemas había que instalar el navegador Tor -que ofrece acceso a la deep webo Internet oscura- y allí realizar el abono por medio de bitcoins. Una vía que ofrece total anonimato a quienes se esconden tras el malware, ya que las bitcoins son monedas igualmente encriptadas e imposibles de rastrear. “Lo único que funcionaba en el ordenador era la conexión a Internet para que pudiéramos seguir las instrucciones de pago”, explica Isabel.

Superado el instante inicial de pánico y el secundario de disgusto, aplicaron el sentido común y, en lugar de ceder al chantaje, contactaron con un informático de confianza. Éste investigó y dio con una empresa localizada en Rusia que a partir de la recepción de cinco archivos encriptados de muestra podía evaluar la recuperación completa de los datos. Enviaron los ficheros y la respuesta fue positiva. “Compramos su antivirus y limpiamos el contenido, recuperando el 100% de la información. Nos costó 150 euros, pero la licencia dura dos años y de esta forma sabemos que estamos protegidos contra nuevos ataques”, detalla.

Se centraron exclusivamente en recuperar los datos, así que no presentaron denuncia ante la Ertzaintza. Por el momento, su caso no queda reflejado en ninguna estadística oficial. “Tal vez debería presentarla”, se plantea Isabel.

Nunca pagarMikel Díaz de Arcaya, experto en seguridad informática de la empresa Jakincode de Vitoria, lo tiene muy claro. “Nunca hay que pagar”, sostiene. Tiene constancia de que han sido muchas las empresas alavesas víctimas de chantajes mediante ransomware, sobre todo de Cryptolocker, ya que a pesar de tratarse de un software básico y relativamente viejo -los primeros casos datan de hace seis años- “es muy eficiente”. “Cuesta muy poco tiempo desarrollarlo y los rendimientos que ofrece son elevados. Se envía de forma indiscriminada a empresas y normalmente dan con personas que no tienen ninguna preparación en materia de ciberseguridad, con lo que es muy fácil que puedan caer en el engaño”, precisa. Las pymes, al enfrentarse a un rescate no excesivamente alto, optan muchas veces por pagar y olvidarse del asunto.

El primer consejo para protegerse ante Cryptolocker es realizar copias de seguridad cada pocos días. No existe una solución estandar para este malware, ya que cuenta con múltiples variantes, así que hay que hay que analizar caso por caso antes de pronunciarse sobre la posible recuperación de los datos encriptados. “Cuando consiguen arreglar una variante, muta rápidamente y se convierte en una nueva versión”, detalla el experto. Aún así, afirma que es altamente probable que un buen profesional desencripte el ordenador por mucho menos de lo que supone el pago del rescate.

Díaz de Arcaya habla directamente de “mafias” cuando se le pregunta quién se esconde tras este malware. “Son mafias, normalmente de países del este. La gran mayoría rusas. Saben que cualquier denuncia que presente una comisión rogatoria dirigida a Rusia va a acabar en la papelera. No va a haber ninguna respuesta ni ayuda por parte de los juzgados rusos. Mientras no ataquen objetivos rusos y se centren en otros países, estos grupos organizados saben que no tienen nada que temer de las autoridades”, ilustra.

el sistema

Cebo. La estafa se presenta en forma de correo electrónico con enlace. Este es el cebo que desencadena consecuencias indeseadas. Encripta la información del ordenador y se extiende a todos los equipos conectados en red.

Rescate. El mensaje que aparece a continuación en la pantalla deja claro que se trata de un chantaje. Si la víctima quiere recuperar su información debe pagar un rescate en bitcoins a través de la Internet oscura, para lo cual entregan instrucciones precisas.

Suplantación. El correo electrónico suele proceder de Correos o de Endesa, aunque en las últimas versiones llega con nombres tan comunes como Manuel Rodríguez.

Adjunto. El problema está en el fichero adjunto. Mientras no se descomprima no hay riesgo. Por ello, los expertos en seguridad aconsejan desconfiar de los ficheros recibidos de fuentes desconocidas.

No es un virus. Cryptolocker no es un virus sino un troyano ‘ransomware’, de manera que los antivirus no lo detectan.

Cómo actuar. Lo primero es desconectar el equipo afectado de la red corporativa para evitar que se extienda al resto de los terminales. Los expertos no recomiendan pagar a los extorsionadores, ya que tampoco hay garantía de que restablezcan los archivos. Aconsejan contactar con un experto informático, ya que hay muchas posibilidades de recuperar la información.

las frases

Una de las afectadas explica que no cedió al chantaje y que contrató un antivirus ruso que solucionó el problema.

El experto en ciberseguridad explica que Cryptolocker muta constantemente, de manera que cada caso es distinto.

la cifra

1.076

La Ertzaintza tiene constancia de que en Álava se produjeron 1.076 ciberestafas en 2016.