Los Dossieres Tiempos de hoy
 
   

                           Nº 1201. 19 de mayo de 2017

- - --

Los dossieres / Pedro Antonio Navarro

El mayor ataque coordinado a ordenadores de medio mundo desata las alarmas

Terror en el ciberespacio

El masivo ciberataque simultáneo a ordenadores y sistemas informáticos de grandes empresas, agencias estatales, servicios públicos y particulares en más de 70 países ha puesto en alerta a las autoridades en decenas de Estados y abre un debate acerca de la vulnerabilidad de la información y la comunicación en un mundo casi totalmente informatizado. Rusia –que recibió el 75 por ciento de las intromisiones– es acusada por muchos de estar detrás de esta grave amenaza, aunque ningún servicio secreto ha podido demostrar su implicación.


El ciberataque a través del virus ‘WannaCry’ ha sido considerado por Europol como “sin precedentes”, y lograba bloquear los sistemas informáticos de cientos de empresas e instituciones en decenas de países.

Hace apenas una semana, el mayor ciberataque masivo de la historia, tanto por el número de objetivos, como por la extensión geográfica planetaria, lograba bloquear el acceso a los sistemas informáticos de instituciones estatales y empresas de decenas países –entre 75 y 150, según las diversas fuentes, aunque solo se ha podido verificar que la primera cifra está relacionada directamente por una única acción orquestada–.

La policía europea, Europol, consideraba en un comunicado el ciberataque de una escala sin precedentes”, anunciando la puesta en marcha de  una “compleja investigación internacional” para “identificar a los culpables”. En primera instancia, el 14 de mayo se informaba de que el ataque había afectado a unos 200.000 ordenadores en 150 países.

Se trataba de una campaña masiva de ‘ransomware’, un ataque a sistemas informáticos en el que los autores exigen dinero a cambio de liberar el acceso a los sistemas, y que, además de innumerables empresas, también afectó a instituciones de Reino Unido, Estados Unidos, China, Rusia, España, Italia, Vietnam y Taiwán, entre muchos otros.
Muchos expertos apuntan .a las vulnerabilidades dadas a conocer por un grupo conocido como ‘The Shadow Brokers, que recientemente afirmó haber robado herramientas de ‘hackeo’ que han sido utilizadas anteriormente por la mayor agencia de Seguridad estatal de Estados Unidos, la NSA (National Security Agency).

Microsoft, la compañía proveedora del sistema operativo ‘Windows’ –el único afectado por este ciberataque– había creado un parche para reparar la vulnerabilidad, que fue difundido el pasado mes de marzo, pero muchos sistemas de todo el mundo no habían instalado esta actualización.

Entre los más directamente afectados, varios hospitales del Servicio Nacional de Salud (NHS) en Inglaterra y Escocia. El personal no pudo acceder a los datos de los pacientes, pero hasta ahora no hay evidencia de que su información personal se haya visto comprometida. Como consecuencia, se procedía a la cancelación de citas con pacientes y la suspensión de actividades, como intervenciones quirúrgicas.

Entre las empresas españolas afectadas está el gigante de las telecomunicaciones Telefónica, aunque se aseguraba desde la empresa que sus clientes no se veían afectados. Las compañías energéticas Iberdrola y Gas Natural también registraron problemas en sus sistemas.

Otra empresa que confirmó que había sido atacada fue la empresa de mensajería estadounidense FedEx. En Italia, los ordenadores de un laboratorio universitario quedaron bloqueadas por el mismo programa.

En Rusia, donde se concentró casi el 75 por ciento de los ataques, se vieron afectados los principales bancos del país, la compañía estatal de Ferrocarriles, los servicios de seguridad en carretera e incluso el ministerio de Interior.
En España, el Gobierno informaba de que diversos ciberataques afectaron a varias compañías nacionales, incluida la ya mencionada Telefónica, mientras que fabricantes como Nissan, en el Reino Unido, y Renault, en Francia, informaron de que fueron asimismo objeto de ataques.

El software que bloquea la computadora y exige un pago –en bitcoins, una especie de monerda de exclusivo uso cibernético- antes de devolverle el acceso al usuario, llamado ransomware, es una de las mayores y crecientes amenazas informáticas del mundo.

A diferencia de muchos otros programas maliciosos, el ya detectado como ‘WannaCry’ tiene la capacidad de moverse por una red por sí mismo. La mayoría de los otros ‘gusanos’ informáticos necesitan la actividad humana para expandirse: intentan engañar a la víctima potencial para que abra un documento adjunto que alberga el código de ataque. Sin embargo, una vez que WannaCry está dentro de un sistema, rastrea los ordenadores vulnerables y los infecta también.

El ransomware es el sistema más utilizado por los ‘ciberladrones’ desde hace tiempo ya que les permite obtener beneficios rápidamente tras una infección. Pueden cobrar rápidamente gracias al uso de la moneda virtual bitcoin, que es difícil de rastrear.

El virus WannaCry solo infecta a ordenadores que cuentan con el sistema operativo Windows, por lo que quienes no suelen actualizar Windows y no observan ciertas precauciones a la hora de abrir y leer correos, pueden estar en situación de riesgo.

Ahora más que nunca, los expertos recomiendan aumentar los niveles de protección –aunque nunca está garantizada al cien por cien- ejecutando actualizaciones, usando firewalls y antivirus y siendo cauteloso a la hora de leer mensajes de correo electrónico.

También recuerdan la utilidad de hacer una copa de seguridad de los datos clave para poder restaurar los archivos sin tener que pagar grandes cantidades en caso de ser infectado.

De acuerdo con Europol, el número de víctimas de ransomware -los programas que bloquean los archivos, datos y programas de ordenadores ajenos- se triplicó en el primer trimestre de 2016 en toda Europa.

Los expertos estiman en más de 50.000 el número de organizaciones víctimas de los ataques recientes. Al menos tres direcciones bitcoin han sido identificadas y relacionadas con el malware utilizado en este ciberataque global. Además, se han detectado dos versiones de este malware, una que apareció en abril pasado y en la que se ha podido identificar una dirección bitcoin asociada, y una segunda versión –la responsable del ataque masivo- en la que se han identificado otras tres direcciones bitcoin relacionadas.


Microsoft se había adelantado al ciberataque con un parche para Windows, pero muchos sistemas de todo el mundo no habían instalado esta actualización.

Tecnología NSA
En abril, el grupo de hackers ‘Shadow Brokers’ hacía pública una serie de herramientas de ataque cibernético entre las que se encontraba ‘EternalBlue’, considerada como un ‘arma virtual’ que los expertos atribuyen a la Agencia Nacional de Seguridad de Estados Unidos (NSA). Se trata de una herramienta capaz de penetrar una fisura en el sistema operativo Windows, de Microsoft. Según estos hackers, constituyó el factor más significativo del masivo ataque.
El atentado cibernético, de autores todavía desconocidos, logró bloquear el acceso a los sistemas informáticos de instituciones estatales y empresas de alrededor del mundo a través del software malicioso Ransom:Win32.WannaCrypt, más conocido como ‘WannaCry’.

Estados Unidos nunca ha confirmado si esa tecnología filtrada por Shadow Brokers pertenece o no a la NSA o a otras agencias de inteligencia, aunque antiguos miembros de la ‘casa’ ya han señalado que estas herramientas parecían venir de la unidad de ‘Operaciones de Acceso Personalizado’ de la NSA, que se dedica a infiltrarse en las redes informáticas y de comunicación de otros países, como lleva siendo denunciado sistemáticamente en los últimos años.

Todo apunta, pues, a que la ola masiva de ataques reciente se haya llevado a cabo por delincuentes informáticos con tecnología ‘robada’ a la NSA.

Algo similar ocurrió con el ‘gusano’ ‘Stuxnet, que Estados Unidos e Israel utilizaron para tratar de sabotear el programa nuclear de Irán hace siete años, partes de cuyo código se han encontrado en otros ciberataques menores desde entonces.

Esta intrusión masiva deja muchas interrogantes acerca del desarrollo y almacenaje de estas ‘armas cibernéticas’ que, como se ha demostrado, son susceptibles de ser robadas y también, por supuesto, de ser utilizadas por las Inteligencias nacionales y las estructuras de poder contra sus propios ciudadanos.

Corea del Norte
Tras los ataques saltaban algunas voces de algunas empresas de seguridad –como Google, Symantec y Kaspersky– y algunos servicios de inteligencia, especialmente, el de Estados Unidos, poniendo la sospecha de la autoría sobre Corea del Norte. Basan estas conjeturas en los códigos utilizados –aunque ya se había difundido la ‘denuncia’ de los ‘The Shadow Brokers’ sobre su ‘origen’ NSA– y las pistas que ha dejado el virus a su paso. Las pruebas, no obstante, aún no son concluyentes.

Algunos expertos también vieron la mano de Pyongyang en el ataque cibernético al Banco Central de Bangladesh, el año pasado, y a varias entidades financieras polacas el pasado mes de febrero.

El diario The New York Times publicaba que algunos de los códigos de ‘WannaCry’   coinciden con los utilizados en el pasado en ataques informáticos supuestamente norcoreanos, aunque también deja claro que esto no es una prueba definitiva de la implicación de Pyongyang, ya que tampoco sería nada extraño piratas de otros países podrían estar copiando ese método.

Además, hay que tener en cuenta que se considera probado que las herramientas usadas son las que fueron robadas a la NSA, cuyo uso liberó Wikileaks para denunciar los métodos de espionaje gubernamental.


El presidente de EE UU, Donald Trump, sigue bajo sospecha, por haber sido presuntamente ‘apoyado’, con ‘hackeos’ que habría ordenado el presidente ruso, Vladimir Putin, para favorecerlo en la campaña electoral frente a Hillary Clinton.

Rusia, en el punto de mira

Hace más de una década, en abril de 2007, Estonia padeció una cadena de grandes ciberataques que se prolongaron durante varias semanas. Las páginas web de bancos, medios de comunicación y organismos gubernamentales colapsaron debido a niveles sin precedente de tráfico en Internet.

Con el tiempo se descubría que redes de robots informáticos -conocidos como ‘botnets’- enviaron cantidades masivas de mensajes basura –spam- y cientos de miles de pedidos automáticos online para saturar los servidores.

El resultado fue que los estonios se quedaron sin poder usar los cajeros automáticos y servicios de bancos online. Los funcionarios no pudieron comunicarse por correo electrónico, y los medios de comunicación se vieron imposibilitados de transmitir las noticias.

Según diversos servicios de Inteligencia, los ataques fueron realizados desde direcciones de IP rusas y las instrucciones online estaban en ruso, aunque jamás se encontraron evidencias de que en estos actos hubiera estado implicado el Gobierno ruso, con quien las autoridades de Estonia mantenían una tensa relación debido a la entrada de este Estado en la OTAN y los conflictos étnicos internos con la población rusohablante del país.

Desde ese momento –tal vez, desde antes-, la guerra cibernética ha sido usada en todo el mundo. Así sucedía en el conflicto entre Rusia y Georgia, en 2008 y, más recientemente, en Ucrania.

Con la dura experiencia vivida, el Gobierno estonio decidía desarrollar una ‘Unidad de Ciberdefensa’ formada por voluntarios. Desde entonces, el Ministerio de Defensa se encarga de entrenar a los principales expertos en tecnología informática del país. Un cuerpo de voluntarios a los que se garantiza el anonimato y que, en su mayoría, apenas perciben remuneración por este trabajo, que compatibilizan con el que tienen en la vida civil.

¿Ayudando a Trump?
De un tiempo a esta parte, Rusia está en el punto de mira por su supuesta implicación en casos similares. Uno de los más sonados es el de la presunta interferencia de Moscú en las últimas elecciones presidenciales de Estados Unidos.
Recientemente, se daban a conocer algunos contenidos de un documento de los servicios de Inteligencia estadounidenses parcialmente desclasificado. En el texto se señala que durante la campaña electoral el Kremlin tuvo una “clara preferencia por el presidente electo Donald Trump”.

El documento sostiene que “determinamos con un grado alto de confianza que el presidente de Rusia, Vladimir Putin, ordenó una campaña dirigida a influir en la elección presidencial de Estados Unidos en 2016, con el objetivo de debilitar la fe pública en el proceso democrático estadounidense, desacreditar a Hillary Clinton y dañar sus posibilidades de ser elegida, así como su potencial presidencia. (…)Valoramos que Putin y el Gobierno ruso buscaron impulsar las probabilidades de victoria del presidente electo Trump al desacreditar a Clinton y al compararla con él públicamente de forma desfavorable. Las tres agencias de inteligencia coincidimos con esta valoración. La Agencia Central de Inteligencia (CIA) y el Buró Federal de Investigaciones (FBI) tienen un alto nivel de confianza en esta conclusión; y la Agencia Nacional de Seguridad (NSA) tiene una confianza moderada”.

Eso sí, matizan que no hubo posibilidad de un ‘pucherazo cibernético’: “El Departamento de Seguridad Interior considera que los tipos de sistemas a los que apuntaban o a los que accedieron los hackers rusos no tenían vinculación con el cómputo de los votos”.

El texto prosigue con graves acusaciones: “Consideramos que las operaciones derivaron en el acceso a las cuentas de correo electrónico de funcionarios del Partido Demócrata y de otras figuras políticas. En mayo de 2016 se había extraído gran cantidad de información del Comité Nacional Demócrata. Determinamos con un alto grado de confianza que se usó al personaje Guccifer 2.0, a las páginas web DCLeaks.com y Wikileaks, así como también exclusivas para medios de comunicación, para divulgar públicamente la información sobre sus víctimas estadounidenses obtenida a través de los ciberataques”.

Paralelamente denuncian que “Rusia recopiló información sobre algunos objetivos afiliados al Partido Republicano, pero no ejecutó una campaña similar para divulgar los datos recogidos”.

En opinión de estas agencias, agentes rusos enviaron correos electrónicos de demócratas ‘hackeados’ a WikiLeaks para que esta organización los publicara y, de este modo, influir en el resultado final de las elecciones.

En todo caso, Rusia siempre ha negado cualquier participación en el ‘hackeo de los ordenadores del Partido Demócrata, mientras que el fundador de WikiLeaks, Julian Assange –que continúa sin poder salir de la Embajada de Ecuador en Londres-, ha asegurado en reiteradas ocasiones que Moscú no fue la fuente de la que obtuvieron los correos electrónicos del Partido Demócrata.

Los correos de Podesta
Los ordenadores del Partido Demócrata fueron ‘saqueados’ de información, aunque el ataque de mayor trascendencia se hizo sobre el de John Podesta, antiguo asesor de Barack Obama y entonces  jefe de la campaña de Hillary Clinton
.
En marzo de 2016, cuando estaba en marcha la campaña de las primarias demócratas, Podesta recibió una alerta de correo electrónico en la que se le advertía a través del servicio de ‘Gmail’ de que su contraseña no era segura y de que alguien podría tener acceso a la misma. Para proteger la seguridad de la cuenta, le pedía al usuario cambie la contraseña inmediatamente y de esa manera quede bloqueado cualquier nuevo intento de ingreso cuando la clave fue robada.

Podesta envió ese mensaje a su equipo de soporte técnico y ciberseguridad para que se encargaran de comprobar la veracidad de la alerta, quienes concluyeron que se trataba de un mensaje seguro.

Podesta no había sido el único que había recibido el correo, sino que se trataba de una oleada de correos dirigidos a miembros del Comité Nacional Demócrata y los miembros de la campaña de Clinton.

Podesta y otros acababan de entregar su contraseña genuina con un método de ‘hackeo’ muy conocido denominado ‘phishing’ o suplantación de identidad. El Comité Nacional Demócrata hizo público en junio el fallo de seguridad detectado.

Los expertos informáticos contratados por el Partido Demócrata detectaron dos grupos de atacantes, uno llamado ‘Fancy Bear’ que acababa de entrar al sistema, y otro que llevaba allí casi un año y se denomina ‘Cozy Bear’.
Según los servicios de seguridad estadounidenses, ambos son nombres utilizados por un grupo de ciberespionaje, que ellos vinculan con el Gobierno ruso, y al que los investigadores del FBI han dado el nombre de The Dukes (los duques).

Los correos robados, básicamente contenían información acerca de las maniobras internas en el Partido Demócrata para perjudicar la candidatura en las primarias del otro contendiente con más probabilidades, el senador Bernie Sanders.

Desde el principio, Moscú niega tajantemente su participación en estos ciberataques y también su interés en beneficiar a Donald Trump. El Kremlin reprocha a quienes le acusan de no haber presentado ni una sola prueba. “Este cuento de ‘hackeos’ se parece a una pelea banal entre funcionarios de seguridad estadounidenses sobre sus esferas de influencia”, declaraba al respecto Maria Zakharova, la portavoz de Exteriores rusa.

Lo cierto es que a pesar de que las agencias de inteligencia de Estados Unidos han responsabilizado públicamente a Moscú, hasta ahora ninguna ha podido probar que Moscú participara en la operación.


Un joven informático británico de 22 años, Marcus Hutchins, logró frenar momentáneamente la expansión de ‘WannaCry’.

Un héroe casi anónimo

Un experto en ciberseguridad encontró un mecanismo para frenar, de momento, la extensión del malware ‘WannaCry’. Según sus propias explicaciones, la solución fue hallada, cuando, de modo accidental descubrió que registrando el dominio usado por el malware, éste dejaba de propagarse. “Básicamente funcionan gracias a un dominio que no ha sido registrado y al registrarlo, impedimos que el malware se expanda”, argumentaba el experto, que también advertía de que de todas formas la gente debe actualizar sus sistemas de protección de manera inmediata.

Nuestro héroe es Marcus Hutchins, un joven informático británico de 22 años. Aunque trató de mantenerse en el anonimato bajo el pseudónimo MalwareTech en las redes sociales, su nombre acabó finalmente por salir a la luz.
Hutchins proseguía con sus explicaciones: “Pude conseguir una muestra del malware con la ayuda de un buen amigo y compañero investigador. Al ejecutarlo en mi entorno de análisis supe que llamaba a un dominio no registrado que finalizaba en gwea.com”. Marcus verificó que el dominio estaba libre, lo compró por 10,69 dólares y redirigió el tráfico a un servidor de Los Ángeles.

Ahora continúa trabajando con el Centro Nacional de Seguridad Cibernética de Reino Unido para evitar que se desarrolle una nueva cepa del software malicioso, aunque ha alertado de que otros ataques similares podrían desencadenarse de manera inminente:

“Hemos detenido este, pero llegará otro y no podremos hacerlo. Hay mucho dinero en esto. No hay razón para que dejen de hacerlo. No cuesta mucho esfuerzo modificar el código y empezar de nuevo”.
De todos modos, según las autoridades y los expertos al servicio de los gobiernos de los países afectados, los autores del ciberataque masivo han logrado recaudar apenas 20.000 dólares (18.290 euros) en bitcoins, según informaba el diario británico ‘The Guardian’.

Se han detectado tres direcciones que han recibido 8,2 bitcoins hasta la fecha –14.000 dólares al cambio actual–, y todos esos bitcoins todavía están dentro de esas direcciones. Como no se ha retirado ninguno de los fondos, resulta imposible rastrearlos.


El bitcoin es una moneda digital que no está controlada por ningún banco o Estado, y muy difícil de rastrear.

Qué es el bitcoin

Bitcoin es una moneda, como el euro o el dólar estadounidense, que sirve para intercambiar bienes y servicios. Sin embargo, a diferencia de otras monedas, Bitcoin es una divisa electrónica que presenta novedosas características y destaca por su seguridad y facilidad de intercambio.

Se trata de una moneda descentralizada, por lo que nadie la controla. Bitcoin no tiene un emisor central como los dólares o los euros, la ‘criptomoneda’ es producida por personas y empresas de todo el mundo.

La Red Bitcoin está basado en un sistema ‘peer to peer’  o de usuario a usuario que ha permitido romper con la necesidad de una tercera parte. Antes de la invención de Bitcoin, cuando alguien quería realizar un pago online, era necesario recurrir a plataformas como Paypal, Neteller, o directamente a bancos tradicionales para realizar los pagos.
Con bitcoin es la propia red generada por los usuarios –miles de ordenadores de todo el mundo– la que se asegura de efectuar el seguimiento, control y registro de las transacciones.

Gracias a un complejo sistema criptográfico es posible asegurarse de que nadie haga trampas y que la moneda sea segura ante ataques, intentos de falsificación o duplicación.

En la práctica las distintas aplicaciones de esta moneda virtual simplifican el proceso de tal manera que enviar y recibir bitcoins sea tan fácil como enviar y recibir un correo electrónico.

El bitcoin no pertenece a ningún Estado o país y puede usarse en todo el mundo por igual. Se pueden cambiar bitcoins a euros u otras divisas y viceversa, como cualquier moneda. No hay intermediarios: Las transacciones se hacen directamente de persona a persona. Es imposible su falsificación o duplicación gracias a un sofisticado sistema criptográfico. No es necesario revelar la identidad al hacer negocios. El dinero pertenece a su propietario al cien por cien; no puede ser intervenido por nadie ni las cuentas pueden ser congeladas.

Para cambiar los bitcoins por moneda real o viceversa puede hacerse a través de diversas páginas web encargadas de ese servicio, como ‘Hitbtc’, ‘VirWox’, ‘Coin2Pal’, ‘Cryptonit’, ‘LocalBitcoins’, o ‘Poloniex’, a través de diversos sistemas, como el pago por PayPal.

El bitcoin fue creado en 2009 por una persona o grupo de individuos que se hacen llamar Satoshi Nakamoto. Los primeros en adoptarla fueron en su mayoría expertos en tecnología que no confiaban en las instituciones bancarias reguladas.

Al igual que otras monedas, se utiliza para comprar bienes y servicios. Las empresas que venden cualquier cosa –desde productos o servicios informáticos a cualquier clase de mercancía- la están adoptando y la aceptan como forma de pago.

Lo que hace a bitcoin atractiva para muchos de sus usuarios es el anonimato que proporciona. Se pueden crear tantas direcciones de bitcoin como desee.

Dado que las bitcoins son difíciles de regular y las transacciones difíciles de rastrear, la moneda es un refugio seguro para el mercado negro, especialmente para el sistema de venta de drogas ilegales y documentos de identidad falsos por internet, llamado ‘Ruta de la Seda’.

Aunque si bien la Ruta de la Seda acepta bitcoins como pago, el sistema también permite hacer servicios de financiación pública o microfilantropía.

Y ahora, cajeros automáticos
Jeff Berwick, un empresario canadiense, fabricaba en 2013 el primer cajero automático de bitcoins, que convierte la moneda virtual en la moneda del país en que se retiren, y también permite realizar el proceso contrario. El primer modelo no contemplaba el uso de tarjetas de crédito, pero posteriormente lo incorporaría. El industrial ha recibido pedidos para centenares de unidades desde más de 30 países.

Construidos por la empresa Robocoin, los cajeros tendrán la capacidad de cambiar esta moneda digital por dinero en efectivo y a la inversa.

Para comprar bitcoins, los usuarios deberán primero escanear la palma de su mano.

Una vez realizado este proceso, se debe seleccionar la cantidad de bitcoins que se quiere comprar, y la máquina indica cuánto dinero real hay que depositar. Luego el cajero envía los bitcoins a la billetera digital que el cliente tiene en su teléfono inteligente o le entrega una billetera de papel en la que figuran los bitcoins. Para vender bitcoins se emplea el mismo proceso, pero al revés.

El máximo que se puede introducir en el cajero es 2.900 dólares por día.

Los bitcoins son aceptados como pago de una variedad de bienes y servicios, que van desde transferencias internacionales de dinero hasta extorsiones para recuperar datos encriptados por virus de computadora.
Hay unos 15,5 millones de bitcoins en circulación. Su valor individual a fecha de hoy –aunque la fluctuación es permanente y mucho más inestable que las de las divisas- es de unos 450 dólares.

El bitcoin es una moneda digital que no está controlada por ningún banco o estado y cuyo valor fluctúa según la ley de la oferta y la demanda de una cantidad determinada de bitcoins disponibles en el ciberespacio. Esta disponibilidad depende de los ‘mineros’ o ‘minas’, que consisten en potentes procesadores informáticos dedicados a resolver complejos algoritmos matemáticos que generan bitcoins, y a cambio de su trabajo los dueños de los equipos o ‘mineros’ reciben una determinada cantidad también en bitcoins.

Se calcula que Satoshi Nakamoto ha acumulado aproximadamente un millón de bitcoins, es decir, unos 450 millones de dólares convertidos a efectivo. Pero el ‘enigma’ de Nakamoto era finalmente desvelado. Se trata del alias de Craig Wright, un empresario e ingeniero informático australiano, que acababa presentándose en sociedad como el creador de la moneda digital.

Los ‘ransomware’ más peligrosos

Estos son algunos de los ‘gusanos’ informáticos más peligrosos que operan en la actualidad:

Locky. Se trata de una forma típica de ransomware troyano que se propaga por email, que fue detectado en febrero pasado por la firma Kaspersky Lab. El modus operandi es el siguiente: la víctima recibe un correo que le pide abrir un archivo adjunto titulado ‘documento de pago’, ‘recibo’ o algo similar. El documento -que puede estar en Word o comprimido, en un archivo ‘zip’ incluye unos comandos que toman el control del ordenador. Lo siguiente que ve la víctima es una pantalla con instrucciones de pago en bitcoins. “Te presentamos un programa especial, el Locky Decriptor”, dice la pantalla. Y a continuación lista una serie de sitios donde la persona puede comprar los bitcoins en cuestión.

CryptoWall4. Es la cuarta evolución de un programa de ransomware que lleva tiempo actuando casi impunemente.  Tiene dos vías de entrada; mediante ‘phishing’ -correos electrónicos maliciosos que te llevan a abrir una página web- o campañas de ‘drive-by download’; por ejemplo, cuando te aparece una pantalla de repente, supuestamente alertándote de un error en el ordenador. Una vez que se hace clic, una serie de comandos ponen los archivos bajo una encriptación. Entonces se pide un pago para liberarlo.

PadCrypt. La novedad con PadCrypt es el hecho de que incluye una ventana para chatear con los criminales en tiempo real. En ese chat le explican a la víctima, previo pago, cómo deshacerse del ransomware. La vía de infección es, de nuevo, un archivo asociado al correo electrónico. En este caso, el archivo adjunto es un ‘pdf’. Dentro del pdf vienen comandos que encriptan los datos, como lo hace CryptoWall. Después se abre una pantalla en la que se recibe el chantaje. La tarifa exigida es de .8 bitcoin, y el plazo de pago es 96 horas.

Fakben. Es algo diferente a los otros. Se trata de un servicio que permite a cualquiera con conocimientos informáticos crear un programa de malware. Se trata de un modelo relativamente reciente, por el cual el usuario (que pretende crear el virus) se afilia por una tarifa moderada que le da acceso a un programa ‘base’ a través de un sitio de red oscura. El usuario puede entonces determinar cuánto dinero pedir por el rescate y la dirección donde la persona recibirá el pago (vía bitcoins). El servicio se queda con el 30 por ciento del pago y el ‘abonado’, con el 70 por ciento.

 

 

 

-