Ransomware

"El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados." Gene Spafford

(tiempo de lectura medio estimado, sin links: 2 mins)

Hace una semana saltaba la noticia de que MongoDB había sido atacado mediante Ransomware. Mi primera impresión fue levantar una ceja y preguntarme, ¿qué es Ransomware? Es un software malicioso que permite entrar en un ordenador o servidor y encriptar archivos, es decir, ponerles un "candado" y dejándolos sólo accesibles mediante clave. En principio deja inaccesibles los datos salvo que el atacante te facilite la clave, y ellos mismos suelen ponerse en contacto de alguna forma para vendertela. Básicamente secuestran los datos (aunque no los muevan de donde estaban) y piden un rescate por ellos. Su amenaza es que si te niegas a pagar, o se quedan inaccesibles o los borran directamente.

Funciona a todos los niveles, aunque sólo sea noticia cuando afecta a grandes empresas. A nivel personal puede ser incómodo, porque a nadie le gusta perder las fotos y documentos que tiene guardados, pero en función del rescate que pidan, quizás ni dediquemos un segundo a ceder al chantaje, muy pocos usuarios perderían datos realmente esenciales. Pero, ¿qué pasa si es tu negocio el que está afectado? ¿si se borran los datos de todos los clientes, trabajadores y proveedores?

En la noticia con la que abro el post se habla de un ataque a MongoDB, es una empresa cuyos servidores alojan y gestionan bases de datos de Amazon, Movistar o Ebay. El daño que puede hacer a una gran empresa es significativo. ¿Y a un país? En diciembre de 2015 se sucedieron una serie de apagones en Ucrania, un malware llamado KillDisk estaba desconectando centrales eléctricas. KillDisk es un troyano con varias funciones, desde infectar un sistemas (entre ellos industriales) y cambiar código para inutilizarlo hasta bloquearlos y pedir rescates por ellos.

Existen formas complejas de configurar sistemas industriales y empresariales para evitar, o contener, el daño, pero a nivel doméstico hay algunos consejos básicos al alcance de cualquiera:

1. Tanto Cuerpos de Seguridad del Estado, como expertos en seguridad, recomiendan no pagar. A menudo, después del pago, siguen bloqueando los datos, o incluso piden un segundo rescate.

2. En informática todo avanza. Si ya estás infectado, pero es una versión de Ransomware muy antigua, es posible eliminarlo con herramientas específicas. Varias compañías de seguridad ofrecen sus servicios gratuitos y facilitan tutoriales, por ejemplo Kaspersky o AVG. Contra las versiones más nuevas es difícil actuar.

3. Hacer una copia de seguridad con cierta frecuencia. Si te bloquean los datos, o el ordenador entero, sería tan fácil (aunque pesado) como formatear, reinstalar el sistema y volver a copiar los datos guardados.

4. Mantener un buen antivirus siempre actualizado y los firewall activos. Para proceder al ataque deben inocular un software y ejecutarlo, si tu sistema de seguridad lo detecta y lo bloquea, el ataque no se produce.