Por desgracia, todo el mundo sabe ya lo que es Cryptolocker bien porque ha sido víctima de este ataque o porque conoce a alguien que lo ha sufrido… la realidad es que a lo largo de este 2016 hemos asistido a numerosas oleadas de este tipo de ataques “Ransomware”, que cifra los datos del PC del usuario y en muchas ocasiones los almacenados en los dispositivos de red de toda la organización, solicitando una contraprestación económica para recuperarlos.

¿En qué consiste y cómo se produce la infección?

¿Qué puede ocurrir en un futuro?

¿Tiene solución? ¿Por qué no lo detectan los antivirus?

¿Cómo prevenir una infección?

¿Qué debemos hacer si somos atacados?

Los principios de la seguridad en sistemas de información, son exactamente los mismos que los de la seguridad física de, por ejemplo, acceso a un edificio. Cuantos menos puntos de acceso, más fácil de proteger; el sistema de seguridad será todo lo robusto que sea el subsistema más débil de los que lo componen; cualquier sistema es vulnerable si cuenta con la participación de uno de los intervinientes, etc.

Estos conceptos se han utilizado para defender y atacar sistemas de seguridad desde siempre. Tómese como ejemplo la historia del Caballo de Troya donde el elemento más débil resultó la fe de los troyanos y los propios soldados, participativos, empujaron el caballo al interior de sus murallas.

Con Sistemas de Información cada vez más robustos, más protegidos, los ataques informáticos han identificado a los propios usuarios como el eslabón más débil de la cadena y la ingeniería social como la forma de provocar la participación, generalmente no consciente, de dichos usuarios en el ataque a los sistemas.


Ransomware – Cryptolocker. ¿En qué consiste y cómo se produce la infección?

Ransomware, Es un tipo de malware que una vez infecta el ordenador, bloquea (secuestra) la máquina y chantajea a la víctima para que ésta recupere el control del equipo.

Cryptolocker, es un tipo de Ransomware (el más conocido) que encripta los ficheros locales y almacenados en la red a los que tiene acceso el usuario pidiendo un rescate para poder recuperarlos.

Sus ataques se dieron a conocer a finales del 2013 y desde entonces, este malware sigue en constante evolución infectando y encriptando la información de los PCs y servidores con un número de víctimas que va en aumento.

El medio empleado para realizar el ataque es principalmente el correo electrónico. El atacante suplanta la identidad de un remitente de confianza para el usuario, envía un correo electrónico que contiene un enlace o un archivo adjunto que si se abre, provoca la infección. Entre las múltiples variantes detectadas estos años, se han hecho muy famosas aquellas que simulaban un email de Correos informando de un paquete que no ha podido ser entregado, diversos emails que simulan notificaciones de Hacienda o el ataque más reciente; un email de Endesa avisando de una factura de elevado importe. Todos estos emails llegan personalizados con los datos del usuario.

En el cuerpo del mensaje aparece un enlace para poder acceder a la información de dicha entrega; si se pincha sobre él se produce la infección. Posteriormente, el atacante solicita una contraprestación económica para proceder a desencriptar la información. A continuación, algunos ejemplos de emails recibidos:


¿Qué puede ocurrir en un futuro?

El excelente resultado de esta técnica de ataque para los hackers; gracias a la facilidad con la que están consiguiendo realizar las infecciones y el elevado impacto que tiene para las empresas, proyecta que estamos ante una amenaza que crecerá exponencialmente en un futuro. Lo hará evolucionando tecnológicamente tratando de ir por delante de las soluciones de seguridad informática y también evolucionará en la forma de acceder al usuario; con más creatividad, empleando nuevas estrategias de ingeniería social.

En este sentido, desde el Dpto Técnico de Sein, hemos llegado a detectar emails fraudulentos que incluso llegaban a incorporar un certificado digital.


¿Tiene solución? ¿Por qué no lo detectan los antivirus?

Cryptolocker no es un virus en sí mismo; un ataque de tipo Ransomware consiste en la ejecución de un software de encriptación de ficheros por parte del usuario. Es decir, es el usuario (de forma inconsciente o no) quien provoca el ataque, quien pone en marcha todo el proceso de encriptación de la información. Sin la acción del usuario, no se produce un ataque.

Por esa razón, la principal medida para evitar ataques es la formación y concienciación.

De todas formas, poco a poco los sistemas de detección de virus, tanto en el puesto de trabajo como en los dispositivos perimetrales, van siendo capaces de detectar las infecciones, basándose no tanto en la detección del virus en sí mismo, sino de los comportamientos asociados a la existencia del virus. Por ejemplo, es normal que un usuario cifre un archivo, pero no es tan normal que cifre todo un directorio del servidor.

Ante este funcionamiento y sumándole su constante evolución, la eficacia de los sistemas de seguridad o antivirus ante esta amenaza es limitada. Adicionalmente, desencriptar archivos es hoy en día prácticamente imposible debido a los fuertes algoritmos de cifrado que se emplean.

Por lo tanto, si somos víctimas de una infección, la única forma de recuperar la información será a través de la copias de seguridad.


¿Cómo prevenir una infección?

Estas amenazas perseguirán explotar la principal vulnerabilidad de seguridad de cualquier organización: el usuario. Por lo tanto, es vital (más aún lo será en un futuro) formar al usuario y lograr su compromiso en la correcta utilización de las herramientas informáticas que la empresa pone a su disposición.

En el caso concreto de Cyrptolocker, informe a los usuarios de:

  • No abrir y eliminar cualquier correo sospechoso.
  • Evitar descargar archivos cuyos enlaces estén indicados en el cuerpo de un correo y que no vengan de personas de confianza. Si existen dudas, revisar si en el correo existen caracteres extraños en vez de tildes o errores ortográficos como que las “ñ” vengan como “n”. Si es así, no abrir los posibles adjuntos ni pulsar en los enlaces.
  • Nunca abrir archivos adjuntos .zip o .exe si el origen no es de nuestra confianza ni tampoco pinchar sobre enlaces que aparezcan en el cuerpo del correo.

Por otro lado, obviamente debemos reforzar los sistemas de seguridad de la empresa, adoptando las siguientes medidas básicas:

  • Mantenga sus sistemas actualizados. Haga que sus sistemas, sobre todos los más expuestos (cortafuegos, antivirus, antispam, etc.), se mantengan lo más actualizados posibles. Las nuevas versiones incluyen siempre más medidas de seguridad que las versiones antiguas.
  • Mantenga su antivirus y antimalware siempre actualizado. Muchos de los programas troyanos que estos hackers utilizan para controlar los sistemas que atacan, son localizados por este tipo de software de seguridad.
  • Disponga siempre de copias de seguridad. En caso de que seamos víctimas de un secuestro de la información, la única forma de recuperar nuestros datos será disponer de una copia de seguridad. Revise que se tiene implantada una buena política de backup y lo más importante, que se está cumpliendo. De nada sirve copiar siempre sobre el mismo dispositivo o medio.

Es importante resaltar que incluso siguiendo todas estas recomendaciones y más, la seguridad al 100% no existe y si somos el objetivo de uno de estos grupos de delincuentes, lo único que podemos esperar es que se den cuenta de que el esfuerzo que tienen que dedicar para convertirnos en sus víctimas es superior a la recompensa que por ello puedan obtener.


¿Qué debemos hacer si somos atacados?

Si se produce el ataque, se debe apagar inmediatamente el equipo tras detectar la infección y aislarlo de la red.

Existen herramientas facilitadas por los fabricantes de soluciones de seguridad que posibilitan en algunos casos la recuperación de la información, pero la constante evolución de Cryptolocker hace que hasta el momento, no hayan resultado demasiado efectivas.

Por lo tanto, como se describe anteriormente, en caso de sufrir un ataque, la única vía segura de recuperar la información será a través de las copias de seguridad, conviene destacar la importancia de disponer de una adecuada política de seguridad en la empresa.