Imagen: Shuttershock / Nicescene

Un gigantesco ataque de ransomware se expande por todo el mundo y ha secuestrado ya los archivos de miles de sistemas informáticos. Grandes corporaciones, organismos públicos y usuarios finales han sido infectados. ¿Cómo puedes protegerte de este tipo de malware y de su propagación?

Qué es el ransomware

El ransomware (del inglés ransom, “rescate”) es un software malicioso que bloquea el acceso a los archivos de tu computadora y te pide dinero por un código para desbloquearlos. El primer paso es infectar el sistema, algo que puede suceder cuando abres un documento extraño que recibes, por ejemplo, por correo electrónico. El código malicioso del virus podría estar oculto en un Word o un PDF. Una vez infectado el sistema, el virus se pone en contacto con un servidor central para obtener la información que necesita para activarse y pedirte el rescate. Entonces cifra el contenido de tu disco duro y te da instrucciones para realizar el pago. Normalmente te amenaza con un plazo temporal antes de borrar definitivamente los archivos o subir el precio del rescate. El ransomware afecta a todo tipo de sistemas: Windows, Mac y Linux.

Qué es WanaCrypt0r 2.0

WanaCrypt0r 2.0 es el nombre del virus que infectó este viernes la red corporativa de Telefónica y la de los hospitales del Servicio Nacional de Salud británico. Es una variante del troyano Wanna Decryptor que utiliza el esquema de cifrado AES-128 para secuestrar los archivos del disco duro de la víctima. Infecta el sistema cuando alguien abre un archivo malicioso enviado por correo electrónico y luego se extiende silenciosamente por otras computadoras de la misma red mediante una ejecución de comandos remota a través de SMB, para lo que aprovecha una vulnerabilidad del sistema. Cuando se activa, cifra todo el contenido de los discos duros y pide un rescate de 300 dólares en bitcoins con la amenaza de que el precio subirá si nadie ingresa el dinero en una dirección de Bitcoin determinada. Los sistemas afectados que ya disponen de un parche de seguridad son Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows 10 y Windows Server 2016: Puedes instalarlo a través de Windows Update.

¿Se pueden desbloquear mis archivos sin pagar?

Hay herramientas específicas contra los virus más conocidos que pueden ayudarte a desbloquear tus archivos. Pero, si estás infectado y el virus se ha activado, entonces los archivos de tu disco duro se habrán cifrado con uno de los algoritmos más populares de la criptografía moderna. Lo más probable es que no consigas descifrarlos. Lo que puedes hacer es formatear el disco para que tu PC vuelva a funcionar con normalidad, pero necesitarás una copia de seguridad anterior al ataque para recuperar también el contenido. Si no tienes una copia, no hay mucho más que puedas hacer.

Si pago, ¿se desbloqueará mi disco duro?

Quieres rescatar tus archivos, lo entiendo. En ataques anteriores al de hoy, como los del conocido CryptoLocker, algunos usuarios aseguraron haber recuperado sus archivos después de realizar el pago, pero no hay ninguna garantía de que los cibercriminales vayan a cumplir con su palabra. Es más, estarías dándoles una razón para realizar nuevos ataques de ransomware.

¿Hay alguna forma de retrasar el temporizador?

Sí, cambiando la hora de la BIOS. Si quieres evitar que el precio del rescate aumente o que tus archivos sean destruidos, puedes reiniciar el sistema, acceder al panel de control de la BIOS (manteniendo pulsado F2 o la tecla retroceso) y cambiar manualmente la hora de la placa base.

¿Cómo puedo protegerme del ransomware?

  1. Mantén el sistema operativo actualizado y no uses versiones sin soporte oficial. Abre Windows Update o la Mac App Store e instala todas las actualizaciones de seguridad del sistema. Lo sé, es incómodo que Windows se reinicie cada dos por tres o tarde una eternidad en apagar porque hay una actualización pendiente, pero asegúrate de que todos los parches se descargan solos porque es crucial para que estés protegido contra los ataques tipo 0-day: la vulnerabilidad que hace posible WanaCrypt0r se publicó en marzo. Por otra parte, no uses sistemas obsoletos: Windows XP, por ejemplo, no tiene parche de seguridad contra el último ataque de ransomware. Es molesto tener que mantenerse al día, ¡pero Windows XP tiene ya dieciséis años!
  2. Configura una copia de seguridad automática de tus archivos. No es tan fastidioso como crees: solo necesitas un disco duro externo. En Windows 10 ve a Configuración > Actualizaciones y seguridad > Copia de seguridad > “Agregar unidad” y asegúrate de que todas tus carpetas importantes estén seleccionadas para copiarse periódicamente en el disco externo. En Mac, ve a Aplicaciones > Preferencias del sistema > Time Machine > “Seleccionar disco de copia de seguridad” para hacer lo mismo. Estas copias se realizan automáticamente en segundo plano cuando se detectan cambios en tus documentos. También puedes usar la nube: Google Fotos tiene espacio ilimitado para tus imágenes, pero hay opciones de pago como Amazon, iCloud y Dropbox que puedes usar para realizar copias en Internet sin complicaciones. Prevenir > curar.
  3. No abras enlaces ni archivos sospechosos, especialmente si te llegan por correo electrónico o redes sociales. Cualquiera puede dejar un Word, un PDF o una imagen infectada en tu ordenador, pero lo más probable es que el virus te llegue por correo electrónico. Si no confías en el remitente o no esperabas que esa persona te escribiese, no abras ningún archivo ni enlace. También las páginas web pueden inyectarte malware sin que hagas doble clic sobre ningún archivo. Para luchar contra eso, actualiza siempre el navegador además del sistema.
  4. Desconfía de los archivos .exe y ten cuidado con las extensiones ocultas. Por alguna estúpida razón, tanto Windows como Mac ocultan las extensiones de los archivos conocidos; entonces, si alguien te manda un archivo llamado “leeme.pdf.exe”, tú solo verás “leeme.pdf”. Pero cuidado: los .exe son archivos ejecutables que podría instalar un virus en tu PC. En Windows puedes solucionarlo yendo a Configuración > Opciones del explorador > Ver, y desmarcando la opción “Ocultar las extensiones de archivo para tipos de archivo conocidos”. En Mac puedes hacer lo mismo desde Finder > Preferencias > “Ocultar extensiones de nombres de archivo”. Ahora podrás ver a simple vista la auténtica extensión de los archivos que hay en tu disco duro.
  5. Deja que el antivirus de Microsoft haga su trabajo y descarga algún programa antimalware reputado. Si estás en Windows, asegúrate de que el antivirus de Windows Defender y el firewall de Windows estén activados y actualizados. También puedes descargar un programa antimalware que pueda hacer un trabajo complementario para detener el virus antes de que contacte con su servidor central y se active. En el caso del ransomware, Anti Ransom V3 de Yago Jesus ha demostrado frenar a tiempo los ataques de Wanna Decryptor como el de hoy.

¿Qué hago si ya estoy infectado? 

Si todo lo anterior falló y sospechas que estás infectado, desconéctate de Internet antes de que el virus contacte con el servidor para activarse, con suerte estarás a tiempo de salvar tus archivos. Si no has llegado a tiempo y los hackers han conseguido secuestrar tu disco duro, debes desconectar el sistema igualmente antes de que infecte a otras computadoras de la red. Como ya tienes copia de seguridad de tus archivos, ahora puedes usar “Restaurar sistema” en Windows o “Time Machine” en Mac para volver al estado anterior al ataque (anterior al ataque significa anterior a la infección en sí, no al cifrado de los archivos; tienes que asegurarte de que el ejecutable malicioso no vuelva a aparecer entre tus documentos).