Qué es el ransomware que afecta a empresas de todo el mundo

Mariano recibió el mensaje con cierto asombro. Un cliente le reclamaba el pago de una factura. Era un mensaje apremiante, y sugería la amenaza de escalar el pedido a sus superiores, en una corporación multinacional. Muy verosímil, aunque no recordaba haber dejado un pago pendiente. Así que le dio doble clic a la factura adjunta. Unos segundos después, apareció en pantalla un cuadro de diálogo aterrador, con colores alarmantes (rojo, negro), candados y la malísima noticia de que los delincuentes habían encriptado todos los documentos de su notebook. La notebook que usaba para trabajar. Los documentos que necesitaba para trabajar.

Terminó pagando el equivalente a 500 dólares, en bitcoins, la moneda virtual más usada en Internet. En la actualidad, el pago promedio que se exige por esta clase de rescate supera los 620 dólares.

Así funciona el ransomware, con algunas variantes. En ciertos casos cifran los documentos y piden un rescate (ransom en inglés) a cambio de la contraseña. En otros, amenazan con publicar esos documentos en línea.

Para completar el ataque, los delincuentes echan mano de refinadas técnicas de ingeniería social que convencen al receptor de que le de doble clic al adjunto o que visite un sitio malicioso; éste es actualmente el método más utilizado. Pero también pueden llegar por medio de un pendrive o un mensaje en las redes sociales. Por supuesto, existen asimismo versiones que atacan smartphones, en particular los que usan Android.

En 2016, solo en Estados Unidos, las pérdidas causadas por el ransomware rondó los 1000 millones de dólares.

La historia de Mariano no es excepcional. El ransomware ya está a full en la Argentina y en los últimos dos años he recibido docenas de consultas al respecto. Algunas familias de ransomware ya han sido doblegadas por las compañías de seguridad informática y es posible desencriptar los archivos sin pagar por la contraseña, pero la mejor estrategia es, aparte de no caer en las trampas de ingeniería social, mantener un backup actualizado de los archivos en un medio no conectado a la red, porque el ransomware puede buscar discos de red y atacarlos. Por ejemplo, puede usarse un disco externo.

La ola de ataques que están experimentando al menos 74 naciones en estos momentos se debe a un ransomware llamado WannaCry, uno de cuyos métodos de ataque se conoce como EternalBlue. Ese exploit de una vulnerabilidad de Windows –documentada y ya parchada por Microsoft– estaba presente en las herramientas de hackeo de la NSA que el grupo Shadow Brokers hicieron públicas en abril. La virulencia de la epidemia no es, a fin de cuentas, completamente inesperada.