Ransomware y su empleo como ciberataque

13/05/2017|Publicado por: Ciberseguridad.

A raíz de los ciberataques sufridos en mayo de 2017, se precisa a modo de INDICE analizar el estado de la cuestión:

1º.-Antecedentes del Ransomware:

2º.-Definición y posible tipificación penal en España.

3º.-Funcionamiento general y consecuencias de su afectación. 

4º.-Modo de protegerse y/o de normalizar el dispositivo informático en caso de contaminación.

1º.-Antecedentes del RANSONWARE:

Ha estado más o menos presente desde finales de los años 80, ha sido en los últimos años cuando ha representado un serio problema para las empresas y particulares debido a la aparición de diferentes variantes. Sin embargo, el ransomware es la amenaza cibernética más generalizada desde 2005 (ransomware criptográfico, ransomware de bloqueo, etc).

Uno de los Ransomware más famosos es el Virus de la Policía, que tras bloquear el ordenador infectado lanza un mensaje simulando ser la Policía Nacional y advirtiendo que desde ese equipo se ha detectado actividad ilegal.

En mayo de 2016: Kaspersky Lab descubrió el ransomware Petya que: a)  cifra los datos almacenados en un ordenador; b) sobrescribe el registro de arranque maestro (MBR) de la unidad de disco duro, imposibilitando a los ordenadores infectados arrancar el sistema operativo.

Este malware es un ejemplo destacado del modelo Ransomware-as-a-Service. Sus creadores ofrecen su producto malicioso ‘on demand’ a través de múltiples distribuidores y cobran una cantidad (bitcoins como moneda virtual o en otra moneda).

2º.-Definición y posible tipificación penal en España:

Ransomware es ciertamente el nuevo scareware[1], porque va más allá de los intentos para engañar a las víctimas, ya que pueden llegar a intimidar y abusar de los individuos atacados.

[1]Vid., el software de seguridad falso”. Normalmente este software toma ventaja de la intención de los usuarios en mantener sus equipos protegidos, y específicamente utiliza técnicas de ingeniería social que se basan principalmente en crear “paranoia” en los mismos, ofreciéndoles una solución definitiva a sus problemas de seguridad. Una vez instalada, este tipo de programas se dedica a robar información como lo haría cualquier troyano bancario o de usurpación de identidad en el equipo de la víctima. En definitiva el Scareware es empelar o hacer uso del miedo, para infectar las computadoras.

Las implicaciones jurídicas, respecto del CP español para esta figura, podrían centralizarlas respecto de los siguientes artículos:

-El uso de programas maliciosos puede permitir el acceso no autorizado a un programa o sistema, por lo que será de aplicación el art.197 del CP, lo que supondría un delito de descubrimiento y revelación de secretos. Y sin perjuicio de un atentado a los Derechos fundamentales recogidos en nuestra carta magna: 18 de la Constitución española.

-Por otro lado, en la medida en que mediante la intrusión se deriven daños en el equipo o sistema, en ese caso, se trataría de un delito de daños tipificado en el art. 263 y ss del CP.

-En el caso de formar parte de los artificios parte de una estafa informática, se deberá tener en consideración lo establecido por el art. 248.2 del mismo texto legal.

3º.-Funcionamiento general y consecuencias de su afectación:

-Puede provenir de un archivo o programa (copia ilegal o sin licencia).

-Podemos contaminarnos por un enlace que se proponga desde un correo electrónico.

-A través de vídeos de páginas.

-A través de vulnerabilidades de los sistemas operativos.

-El ransomware explora una vulnerabilidad en el servidor SMB. Los parches son fundamentales para defenderse contra ataques que explotan fallas de seguridad. Un parche para este problema está disponible para sistemas Windows, incluidos aquellos que ya no son compatibles con Microsoft . Cuando las organizaciones no pueden aplicar parches directamente, el uso de un parche virtual puede ayudar a mitigar la amenaza.

-La implementación de firewalls y sistemas de detección y prevención de intrusionespuede ayudar a reducir la propagación de esta amenaza. Un sistema de seguridad que puede supervisar de forma proactiva los ataques en la red también ayuda a detener estas amenazas.

-Aparte de usar un exploit para propagarse, WannaCry también utiliza spam como punto de entrada. La identificación de banderas rojas en correos electrónicos de spam diseñados socialmente que contienen exploits del sistema ayuda. Los administradores de sistemas y TI deben implementar mecanismos de seguridad que puedan proteger los puntos finales contra el malware basado en correo electrónico

-El ataque por medio del ransomware WannaCry (WanaCrypt0r 2.0) es el que ha producido los ciberataques recientes.  Esta versión puede tras modificarse su código, adoptar nuevas y contaminantes formas. Una de las notas que se pedían para rescatar el equipo informático:

3º.-WannaCry: cifra 176 tipos de archivos. Algunos de los tipos de archivos WannaCry son archivos de base de datos, multimedia y archivo, así como documentos de Office. En su nota de rescate, que soporta 27 idiomas, inicialmente exige US $ 300 de Bitcoins de sus víctimas -una cantidad que aumenta incrementalmente después de un cierto límite de tiempo. A la víctima se le asigna un límite de siete días antes de que se borren los archivos afectados, una táctica comúnmente utilizada para combatir el miedo. La capacidad de propagación de WannaCry es una reminiscencia de familias de ransomware como SAMSAM ,HDDCryptor y varias variantes de Cerber -todas las cuales pueden infectar sistemas y servidores conectados a la red.

 

4º.-Modo de protegerse y/o de normalizar el dispositivo informático en caso de contaminación:

Para protegerte de los ransomware:

  1. a) Será necesario copiar la información sensible en dispositivos seguros;
  2. b) No pagar nunca los rescates que se pidan, tasas, multas o cualquier otro intento ante una advertencia (de la policía o de otra autoridad) y para evitar una posible violación de los derechos de autor por los contenidos usados.
  3. Es necesario guardar la información en distintos dispositivos. Kaspersky Lab[2] ha diseñado sus programas anti-malware para desencriptar información y desmantelar así los planes de los cibercriminales. Pero los criminales están haciendo sus programas cada vez más sofisticados y difíciles de desarmar. La opción más segura será siempre ser precavido y guardar su información en dispositivos seguros.
  4. No se debe pagar nunca un rescate a los ciberdelincuentes. Si no se tiene la información guardada a salvo, será necesario contactar con una empresa de antivirus para que ellos asesoren al respecto.

[2] Vid., http://www.kaspersky.com/sp/

Para normalizar y descontaminarnos, entre otras medidas:

1º.-Las medidas serán específicas para cada caso concreto (recordemos los pasos de haber sido infectado por el llamado virus de la policía).

2º.-Soluciones posibles, a través de las Soluciones Trend Micro Ransomware

4º.-G DATA.

5º.-La mejor medida ante la imprevisión de un ciberataque es disponer siempre de las últimas actualizaciones de programas, antivirus y sistemas operativos, tener copias de seguridad triplicadas periódicamente de los datos sensibles o protegidos por protección legal de datos.

 

Abogado. Doctor en Derecho. Perito informático.

Deja un comentario


Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*


*

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies