¿Qué son los ataques de 'ransomware'?
Estos días ha sido tristemente noticia el ataque informático sufrido por la Universitat Autònoma de Barcelona, que ha inutilizado toda su infraestructura informática. En el momento de escribir estas líneas, los servicios de informática de la universidad trabajan intensamente para ir limpiando de software malicioso zonas de la red informática para poderlas poner de nuevo en funcionamiento. Todavía no ha trascendido la naturaleza exacta del ataque ni los daños que ha hecho, a pesar de que parece que ha tenido algún papel el software malicioso de rescate, en inglés ransomware. Habrá que esperar que la situación se resuelva para saber cómo ha sido, pero no es huelga que los ciudadanos conozcan más este tipo de ataques.
![El campus de la UAB, en una imagen de archivo](data:image/svg+xml,%3Csvg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 16 9"%3E%3C/svg%3E)
El software malicioso de rescate es un software de extorsión que puede bloquear un ordenador y pedir un rescate para desbloquearlo. Los rescates se suelen pedir en criptomoneda, normalmente bitcoins, para que sea más difícil rastrear dónde va el pago. Un ordenador se puede infectar de varias maneras, por ejemplo cuando su usuario visita un lugar web malicioso, descarga un fichero malicioso anexado a un correo electrónico o bien instala sin querer un complemento malicioso (add-on) al hacer una descarga de otros ficheros o programas. El software malicioso está diseñado para esquivar la detección tanto tiempo como sea posible y quedar latente. Se recomienda usar software de defensa (antivirus y otros) para intentar detectar y eliminar ransomware. De todas maneras, algunos síntomas que nos tienen que hacer sospechar una infección son cambios en las extensiones de ficheros o una actividad injustificadamente alta de la unidad de control (CPU) de nuestro ordenador.
Los grandes ataques basados en ransomware no suelen ser puramente automáticos, sino que combinan la propagación automática de software malicioso con actuaciones manuales de los piratas, encaminadas a llegar a equipos con accesos más privilegiados a partir de los equipos inicialmente atacados por el software. Los piratas pueden robar los datos y las contraseñas que encuentren en los ordenadores que invaden. En este sentido, conviene no guardar grandes cantidades de datos en nuestro ordenador, ni apuntar usuarios y contraseñas en ningún fichero y ni siquiera guardarlas en el navegador.
En este momento los ataques de software malicioso de rescate son una plaga en todo el mundo. Se estima que este año (2021) se produce uno cada 11 segundos y que el perjuicio económico global a final de año subirá a 20.000 millones de dólares. Por comparación, en 2019 solo había un ataque cada 14 segundos. El sector público es uno de los objetivos preferentes de las mafias del ransomware, en particular los ayuntamientos (recordemos el caso del Ayuntamiento de Cambrils la Navidad pasada). Las razones hay que buscarlas en la gran cantidad de datos que acumulan los organismos públicos (y que los piratas codicien), así como en el hecho que suelen tener menos presupuesto de ciberseguridad y más apertura que organizaciones privadas de medida comparable.
Justo es decir, sin embargo, que es probable que el sector privado sufra más ataques de ransomware de los que se llegan a saber. En una empresa, la presión para pagar rescates para recuperar datos críticos y evitar daños reputacionales puede ser muy alta. Por otro lado, en EE.UU. el gobierno ha alertado de que las infraestructuras críticas del país están también sufriendo cada vez más ataques de este tipo.
¿Qué podemos hacer para prevenir un ataque de software malicioso? En primer lugar, seguir las instrucciones de los servicios informáticos de nuestra organización. En ordenadores domésticos, tenemos que mantener actualizado el sistema operativo y todas las aplicaciones, instalar un buen software antivirus y hacer periódicamente copias de seguridad de nuestros archivos. Aparte, tenemos que evitar actividades de riesgo, como visitar páginas web sospechosas, descargar contenido dudoso o abrir ficheros anexos recibidos de remitentes desconocidos.
¿Qué hacer una vez hemos sido atacados y tenemos el ordenador bloqueado? Antes que nada, si es un ordenador de nuestra empresa o de nuestra universidad, hay que informar a los responsables informáticos. Si la decisión sobre lo que hay que hacer es nuestra, habría que probarlo todo antes de pagar el rescate, para no alimentar a las mafias. Se puede intentar limpiar nuestro ordenador con la ayuda de software de defensa y de especialistas. Si no lo logramos, habrá que reinicializar el ordenador con las opciones de fábrica y tratar de restaurar posteriormente una copia de seguridad anterior que sepamos que es limpia.
Desafortunadamente, los ataques por software malicioso de rescate nos continuarán afectando hasta que las organizaciones dejen de infectarse y de pagar los rescates. Mientras tanto, conviene que las agencias de ciberseguridad reciban toda la información posible sobre los ataques que se producen. Para vencer un enemigo, es fundamental conocerlo bien.
