Reportaje: ‘Yo fui víctima del secuestro de datos en Colombia’

Reportaje: ‘Yo fui víctima del secuestro de datos en Colombia’

Cuatro historias de personas o empresas que han pasado por esta pesadilla.

Ransomware

El problema es tan grave que en Estados Unidos los ciberdelincuentes ya han secuestrado los datos de varios hospitales.

Foto:

123RF

12 de mayo 2017 , 04:13 p.m.

“Todo su trabajo y archivos personales fueron encriptados”. Con ese mensaje, pero en inglés (‘All your work and personal files were encrypted’) empezó el calvario de Carlos Ramírez (*), un colombiano de 25 años que fue víctima de una modalidad de crimen cibernético internacional con cada vez más impacto en Colombia: el ‘ransomware’.El término viene de las palabras en inglés ‘ransom’ (rescate) y ‘ware’ (programa) y no es otra cosa que un secuestro de los datos de su computador.

El asunto opera así: bien sea por la apertura de un documento adjunto que llegó en un correo electrónico, o bien por un archivo que al entrar a una página web se le pide descargar, la persona permite la entrada en su equipo de un programa malicioso que le encripta parte o la totalidad de los archivos de su máquina: documentos, videos, imágenes, etc. Acto seguido, la víctima recibe la notificación de que si quiere volver a tener acceso a esa información debe pagar una cantidad de dinero.

“Estaba buscando información en Google sobre un tipo de hongos. Ingresé a una página común y corriente. De un momento a otro, el navegador me pidió instalar un nuevo tipo de letra. Le di aceptar y seguí trabajando. A la mañana siguiente, cuando volví a mi PC, me encontré con ese maldito mensaje”, cuenta Carlos.

Él no entendió de inmediato lo que le había sucedido. Pero cuando intentó abrir el archivo de Word donde se encontraban las casi 200 páginas de su tesis de maestría, su corazón casi se paraliza: “¡Todo estaba bloqueado!”. Tampoco pudo acceder a los archivos de Excel donde guardaba los datos de su investigación.

Desesperado, volvió al mensaje del atacante y leyó con atención las instrucciones del secuestrador de datos: debía pagar un bitcóin (una moneda virtual) a cambio de una ‘llave’ (un código) con la cual podría liberar sus archivos.

Ojo con dónde se mete

A Óscar Méndez (*), un emprendedor, le pasó lo mismo. En su caso, buscaba el sitio web de una institución de educación superior de Colombia. Le dio clic al primer resultado arrojado por Google e ingresó a una página con una apariencia idéntica a la del portal real, pero que en realidad había sido montada por ciberdelincuentes.

Cuando entró a esa página, se le pidió instalar un complemento de Java para mejorar su navegación y él aceptó sin pensarlo. Horas después, se encontró con que todos sus archivos estaban bloqueados.

¿Cómo pudo ser que, en ambos casos, los afectados ingresaran a páginas que aparecían en los primeros resultados de Google? Ocurre que los cibercriminales ahora suplantan páginas web legítimas y las promocionan en el buscador por medio de distintas estrategias para que aparezcan en el tope de las listas. Antes de que Google detecte el engaño, cientos, si no miles, pueden haber caído en la trampa.

Y aquí surge la primera recomendación: si va a buscar un sitio oficial de un banco u otra entidad, no confíe ciegamente en los resultados arrojados por el motor de búsqueda. Cerciórese de que la dirección del portal visitado sea segura, es decir que empiece con https:// y no con el http:// tradicional.

(Además: Secuestran datos en internet cada 40 segundos)

En ambos casos, los afectados contaban con una protección antivirus actualizada, pero el ‘ransomware’ evoluciona a un ritmo tan rápido que muchas veces ni las empresas de seguridad informática logran mantenerse al día para enfrentar sus cientos de formas.

La tesis de Carlos Ramírez se salvó, porque él había tomado la precaución de guardar copias de su trabajo en un disco duro externo. Pero Óscar, que se negó a ceder al chantaje de los secuestradores, perdió casi todos sus datos.

Según el coronel Freddy Bautista, jefe del Grupo de Delitos Informáticos de la Policía Nacional, cada día se producen más de 20.000 ataques de ‘ransomware’ en el mundo.

En Colombia, el Centro Cibernético Policial empezó a registrar casos desde el 2015. Ese año hubo 13 afectados. Pero 12 meses después, el número se multiplicó por más de seis: 84 casos. Al cierre de febrero del 2017, ya iban 22, con lo que cabe esperar que el año termine con más de 100.

(Además: El 50 por ciento del software en Colombia es ilegal)

Las cifras son aparentemente pequeñas, pero la Policía tiene claro que no reflejan la magnitud del problema, pues la mayoría de las víctimas no denuncian, entre otras cosas porque desconocen que la Policía Nacional tiene una unidad especializada en este tipo de delitos.

Lo grave –dice Bautista– es que este problema no solo afecta a los computadores, sino también a los dispositivos móviles, en particular a aquellos que operan con el sistema operativo Android. En un informe anual, la firma de seguridad informática Eset habla de un “auge del ‘ransomware’ para Android” y asegura que el número de casos creció un 50 por ciento durante el 2016.

Los creadores de este tipo de herramienta al servicio del crimen provienen, en su mayoría, de países de la antigua Unión Soviética y usan los bitcoines como medio de pago, porque las transacciones en dicha divisa virtual son anónimas, lo que dificulta las pesquisas de las autoridades. El principal foco de estos secuestradores de datos son los usuarios de Europa del Este, Estados Unidos y Asia. En Colombia se piden entre 0,5 y 5 bitcoines. Es decir, entre 1,8 y 18 millones de pesos.

La Policía advierte que las principales víctimas de estos secuestros son los particulares, las empresas y las entidades oficiales.

Diego Espitia, un ‘hacker’ ético que trabaja para Eleven Paths, una organización de Telefónica enfocada en la seguridad informática, le contó a EL TIEMPO el caso de una compañía colombiana que fue víctima de esta modalidad.

“La firma, cuyo nombre no puedo revelar –dice–, les manejaba la contabilidad a otras empresas. Uno de los administradores del centro de datos se preparaba para actualizar el ‘software’ de uno de sus servidores más importantes y cometió la imprudencia de navegar por la web mientras aguardaba el fin del proceso. Para su desgracia, terminó ingresando a un sitio web falso y su equipo fue infectado con ‘ransomware’ ”.

“Todos los datos contables resultaron cifrados. Y la última copia de respaldo de los archivos no servía. Terminaron pagándole al cibercriminal dos bitcoines y este les dio una llave que desbloqueó parte de la información, pero no toda. Producto de la desesperación, los ingenieros de la firma decidieron escribirle al secuestrador”.

“Para recuperar todos los archivos afectados, y tras exigir otro pago, el atacante –que dijo ser ucraniano– pidió ingresar a los servidores de la empresa. El cibercriminal descifró el 90 por ciento de los datos bloqueados, pero hasta el día de hoy los ingenieros de esa firma se preguntan si no les dejó algún tipo de ‘software’ malicioso oculto”.

Hay más casos, y el que sigue confirmaría que hay ciberdelincuentes criollos involucrados. En la época en que se acercaba la fecha de declarar renta, a varios empleados de una compañía les llegó un correo que parecía ser de la Dian. En el mismo se les advertía de supuestas inconsistencias en sus declaraciones de años anteriores. Siete de ellos descargaron el archivo adjunto para ver de qué se trataba el asunto y, al abrirlo, el ‘ransomware’ se instaló en sus equipos. Uno de ellos perdió los archivos de 18 años de trabajo.

Es posible que estos atacantes hayan acudido al RaaS, que traduce ‘Ransomware as a Service’: plataformas disponibles en la web oscura (dark web) para cometer ataques de secuestro de datos. Son plataformas de fácil uso y acceso y los creadores de estas herramientas suelen cobrar una comisión de entre el 20 y el 30 por ciento de los botines obtenidos. El 76 por ciento de los casos de ‘ransomware’ empiezan por correos engañosos. Hace un mes, circulaba uno que suplantaba a la Secretaría de Tránsito de Bogotá y afirmaba contener un fotocomparendo. Era un archivo infectado.

El costo de un ciberataque promedio, para una compañía, ronda los 21.000 dólares, es decir más de 60 millones de pesos, según Microsoft,
y el impacto anual de este tipo de ataques supone pérdidas estimadas de 4.000 millones de dólares al año para las organizaciones.

Salvar los datos es caro

Recuperar los archivos puede ser difícil y caro. Pero los expertos no recomiendan pagarles a los ciberdelincuentes: primero, porque no hay garantía de que los datos vayan a ser liberados; y, segundo, porque eso no hace otra cosa que alimentar el problema.

Una opción es acudir a una empresa especialista en informática forense. John Jairo Echeverry, director de servicios forenses de Adalid, le explicó a EL TIEMPO cómo operan. “Se hace un análisis preliminar para determinar cómo se hizo el programa malicioso y se intenta conocer, mediante ingeniería inversa, cuál es la llave para liberar los archivos. Cuanto menos tiempo haya pasado desde la infección, mejor, porque muchas de esas llaves tienen un periodo de caducidad”.

El análisis preliminar suele tomar unos tres días y cuesta entre 750.000 y 1,5 millones de pesos. Si se establece que se pueden recuperar los datos, el proceso de desencriptación toma una semana, en promedio, y cuesta entre 7,5 y 15 millones de pesos. “El precio lleva a que muchos clientes prefieran perder su información”, admite Echeverry. No obstante, se sabe de una empresa colombiana que aceptó pagar 600 millones de pesos para recuperar la suya. Otra de las empresas dedicadas a atender estos casos es DragonJar.

De hecho, la Europol, en asociación con firmas como Intel y Kaspersky Lab y cuerpos policiales de todo el mundo, incluido el de Colombia, creó un portal informativo llamado nomoreransom.org. En el sitio no solo se dan recomendaciones para no ser presa fácil de esta modalidad, sino que también se ofrecen herramientas para descifrar archivos bloqueados.

Lo que está muy claro es que esta modalidad delincuencial no ha hecho más que comenzar.

(*) Nombres ficticios por petición de las fuentes.

Recomendaciones básicas

Haga copias de seguridad de sus archivos de forma constante. En discos duros externos o en varios sitios en la nube, no en uno solo.

Use una solución de seguridad robusta, de buena reputación y manténgala actualizada.

No actualice el ‘software’ de su computador o dispositivo móvil sin confirmar que la actualización proviene de un sitio seguro o una tienda oficial de aplicaciones. La suplantación es una de las armas predilectas de los ciberdelincuentes. Muchos de los correos engañosos provienen de dominios casi idénticos a los de las instituciones legítimas, como su banco.

Sospeche si le llega un correo con un asunto atemorizante o provocador. La amenaza de que le van a cerrar la cuenta bancaria, el video ‘hot’ de un famoso y la fotomulta son algunos ejemplos.

No abra ningún documento adjunto sobre el cual tenga el más mínimo porcentaje de duda.

Dude incluso de correos provenientes de amigos, que suelen replicar el ‘ransomware’ sin saberlo.

Si fue víctima de ‘ransomware’, no pague el rescate. Consulte a un especialista lo más rápido posible. El tiempo es oro si quiere tener opciones de recuperar su información.

Los tipos de 'ransomware'

No todas las piezas de ‘ransomware’ actúan de la misma forma. De acuerdo con el portal No more ransom, existe las siguientes modalidades:

De cifrado o encriptación: son los más comunes y cifran archivos personales como documentos, imágenes y videos de un computador.

De bloqueo de pantalla: una vez el equipo se infecta, sea un computador o un móvil, aparece una pantalla que bloquea el acceso al mismo. En algunos casos, el bloqueo viene acompañado de una amenaza de cifrado de los archivos. En otros, los archivos personales no resultan afectados.

De bloqueo del arranque del sistema operativo: en este tipo, se bloquea el arranque del sistema operativo. Se despliega un mensaje solicitando el rescate desde DOS.
De cifrado de servidores: su foco son servidores web y cifra algunos de archivos. Se aprovecha de vulnerabilidades en los Sistemas de Administración de Contenidos de los sitios (CMS por sus siglas en inglés).

Ransoc: es un tipo de ‘ransomware’ personalizado que se crea tomando en cuenta información personal de la persona afecta. El cibercriminal suele utilizar datos que encuentra en las redes sociales de la víctima.

RaaS: son las siglas para ‘Ransomware as a Service’ (ransomware como servicio). Son plataformas, disponibles en la web oscura para cometer ataques de secuestro de datos. Son de fácil uso. Los creadores de las herramientas suelen cobrar una comisión de entre el 20 y el 30 por ciento de los botines obtenidos.

ÉDGAR MEDINA
Tecnósfera
@EdgarMed en Twitter

Ya leíste 20 artículos gratis este mes

Rompe los límites.

Aprovecha nuestro contenido
desde $10.999 al mes.

¿Ya eres suscriptor? Ingresa

Sabemos que te gusta estar siempre informado.

Crea una cuenta gratis y pódras disfrutar de:

  • Acceso ilimitado al contenido desde cualquier dispositivo.
  • Acceso a boletines con las mejores noticias de actualidad.
  • Comentar las noticias que te interesan.
  • Guardar tus artículos favoritos.

Crea una cuenta gratis y disfruta de acceso ilimitado al contenido, desde tu computador, tableta o teléfono inteligente.

Disfruta del contenido sin límites

CREA UNA CUENTA GRATIS


¿Ya tienes cuenta? INGRESA