Historias reales: «¡Me han cifrado el disco duro!»

Publicado el 25/06/2015, por INCIBE
Historia real

Elena acababa de hacer desde su casa un pedido a una popular tienda online: un flamante radiocassette de doble pletina, autoreverse. Lo último en tecnología. Sin duda, la sorpresa ideal para el cumpleaños de su hermano... Era tarde y ahora tocaba dormir para coger fuerzas de cara al duro día de trabajo que le esperaba mañana…

Al día siguiente, nada más llegar a la oficina, Elena consultó su correo, como hacía habitualmente. Para su sorpresa, la popular tienda online le había enviado un mail. «Qué raro –pensó Elena-, primero por la rapidez y luego porque el pedido lo hice desde casa, usando mi cuenta de correo personal para entrar a la tienda, no la del trabajo…». Pero por supuesto, pinchó en el fichero adjunto que le enviaba la tienda para comprobar si su pedido era correcto.

Cuando hizo doble clic con el ratón en el archivo, Elena notó algo raro. En lugar de los datos de su pedido apareció en la pantalla un mensaje extraño, en un castellano que se notaba escrito con bastante dificultad –incluso alguna falta de ortografía- que le decía no se qué de cifrar los datos, bitcoins y no sé cuántas cosas más… «Bah, éstos de informática, seguro que quieren que me cambie el password otra vez». Siguió leyendo el correo y respondiendo a los mails pendientes y, una vez acabada esta tarea, se dispuso a cerrar el informe en el que tanto tiempo llevaba trabajando: hoy por fin acabaría con él.

Cuando fue a abrir el informe, el procesador de textos no funcionaba: algo de un formato desconocido o no sé qué… lo intentó varias veces, pero como si nada… además, ya no parecían los ficheros de siempre: tenían un añadido al nombre original: “encrypted”, y el procesador de textos decía que nanay. Llamó al servicio de soporte de la empresa y, como buenos informáticos, en pocos minutos tenía a un técnico al lado.

- ¿Qué tal Elena? ¿Cómo vas?

- Mira Luis, acabando el informe para el cliente… A ver si hoy me lo quito de encima y desconecto de este tema, que me lleva frito…

- A ver si es verdad. Cuéntame, ¿qué sucede?

- Mira, he ido a abrir el informe y no me deja…

- A ver…um, Elena, ¿tú has recibido algún mail raro o has navegado por páginas poco recomendables últimamente?

- Pues mira, la verdad es que anoche le compré por Internet el regalo de cumpleaños a mi hermano y esta mañana tenía un correo de la tienda online, pero al abrirlo me decía cosas raras y he pensado que era un error…

- ¿Me enseñas ese correo?

- Claro, mira…

- Elena… ¿has abierto este adjunto?

- Sí, es el del mensaje raro que te decía…

- ¡Uf! Elena, dime que tienes copia de seguridad de tu disco duro, o al menos del informe…

- Hombre, por supuesto, me copio todo en este disco USB que tengo pinchado en el ordenador siempre…

- Veamos… ¡Uf! Elena, ¿tienes otra copia del informe?

- Ummmm, ¿no, por? No me gusta tu cara…

- Elena, tengo que darte una mala noticia… Siéntate.

- No me asustes.

- No te asusto, pero acabas de perder el informe y el resto de datos de tu disco y de ese disco USB.

- …

- ¡Elena! ¡Elena! ¡Elena!

¿Qué fue realmente lo que pasó?

Elena había sido víctima de un software dañino denominado ransomware. Este tipo de programas son altamente peligrosos, y lo que hacen es cifrar la información de los discos del equipo comprometido, incluyendo en muchos casos unidades de red y discos externos. Una vez cifrada la información, el atacante solicita a su víctima un rescate económico a cambio de la clave de descifrado, que sólo dicho atacante conoce.

A Elena le llegó este malware a través del correo electrónico de la tienda online; evidentemente, lo más probable es que fuera una casualidad: los atacantes conocen los sitios más populares de Internet y envían correos “gancho” simulando algunos de estos sitios… La mala suerte quiso que Elena, justamente la noche anterior, hiciera un pedido online, con lo que era una víctima fácil. Por supuesto, los atacantes saben que estos sitios son populares y por eso los utilizan: es un ataque de phishing, un engaño, pero en lugar de un atacante que nos roba credenciales bancarias, en este caso el atacante nos cifra la información de nuestros equipos. Además, el código dañino contaminó –cifró- no sólo el disco del sistema, sino también el disco externo donde Elena guardaba la copia de seguridad…

¿Qué hacer si nos sucede esto?

Lo primero es qué NO hacer: jamás, bajo ningún concepto, pagar el “rescate” solicitado; si lo hacemos, el atacante sabrá que somos una víctima fácil –hemos caído en el engaño- y que además estamos dispuestos a pagar, con lo que volverá sin duda a atacarnos. Además, como siempre decimos, también es recomendable la denuncia de los hechos; si somos víctimas de un delito –o presunto delito- debemos denunciarlo.

Por supuesto, es muy importante la prevención: no debemos fiarnos de este tipo de correos, abrir su adjuntos o pinchar en los enlaces que nos remiten. Desconfianza racional, ya que casi cualquier formato de archivo en un mail puede dañar nuestro equipo.

Si hemos sido víctimas de un ransomware, es muy importante disponer de copias de seguridad periódicas desde las que restaurar la información cifrada; ojo: si hacemos las copias en un disco externo, antes de conectarlo al equipo comprometido debemos haber limpiado el malware, y por supuesto el disco no debe estar pinchado al equipo habitualmente (para que no nos pase como a Elena). Los fabricantes de productos antivirus suelen ser rápidos en la distribución de firmas para detectar y eliminar el malware, e incluso en la distribución de herramientas ad hoc para la eliminación y limpieza de equipos comprometidos.

¿Y si queremos recuperar los ficheros cifrados por el atacante? En ocasiones, diferentes mutaciones del malware son analizadas para proporcionar capacidades de descifrado, y los propios fabricantes de antivirus o investigadores de malware facilitan estas herramientas, aunque no debemos confiar en su efectividad al 100%, por lo que insistimos en el consejo anterior, relativo a copias de seguridad.