El ransomware se ha convertido una de las principales armas de los cibercriminales, pues en muchos casos han terminado obteniendo grandes resultados económicos, especialmente con las empresas. Sin embargo, este también puede terminar llegando a través de redes sociales, con el objetivo de “secuestrar” nuestras cuentas o la información de nuestros dispositivos.
Según un informe de Kaspersky, existen dos clases de ransomware, pero solo una es la más utilizada. Esto se debe a que una es más fácil de contrarrestar que la otra, por lo que es poco probable que alguien termine pagando el “rescate”.
- Ransomware de bloqueo: este tipo genera que el usuario pierda el control de su dispositivo. Es decir, no puede hacer uso de las funcionas básicas del equipo, como por ejemplo, el teclado, el mouse, etcétera. Al restringirnos el uso completo de nuestro aparato, nos muestra una ventana con instrucciones para pagar un “rescate”. Este tipo de ransomware no suele poner en peligro la información del usuario, sino que se limita a bloquear el uso de sus dispositivos.
- Ransomware de cifrado: este se encuentra diseñado para quitarnos el acceso a nuestra información y es el más usado debido a su efectividad. Es decir, podemos seguir utilizando el equipo, pero no podremos acceder a los archivos que están cifrados. Para hacerlo, tendríamos que conocer la contraseña, la cual solo la tiene el cibercriminal.
LEE TAMBIÉN: Identifican malware en 34 servidores de Microsoft
En entrevista con El Comercio, Martina López, investigadora de ciberseguridad de ESET, detalla que este tipo de malware “puede ser un ataque malicioso que termine cifrando todos nuestros archivos importantes, por ejemplo. Nuestras fotografías, nuestros documentos, que quizá para el cibercriminal no tengan valor. Quizás ni siquiera las roba, solo las cifra, pero para nosotros pueden ser irreemplazables”.
Esto no significa que el cibercriminal está detrás en todo momento, sino que es un malware programado para realizar este tipo de acciones. Quizás en algún momento el delincuente nos contacte, pero no es necesario para que ya seamos víctimas de este ciberataque.
MIRA: ¿Temes ser víctima de un cibercriminal? 3 consejos para mejorar tu seguridad en redes sociales
¿Puedo ser víctima de ransomware a través de las redes sociales?
Sí, pero no de la forma en que creeríamos. No es que Instagram, por ejemplo, tenga enlaces que nos lleven a descargar ransomware en nuestro equipo en cualquier momento. Por el contrario, los cibercriminales utilizarán otras técnicas para intentar que caigamos en su trampa.
Para esto, se utiliza el phishing (hacerse pasar por otra persona/entidad para generar confianza) para terminar convenciendo al usuario de ingresar a un enlace o realizar acciones. Si nosotros seguimos sus indicaciones, por el motivo que sea, terminaremos descargando ransomware en nuestro equipo, así como cualquier otro tipo de malware.
Por ejemplo, a través de Discord, grupos de usuarios han empezado a utilizar malware, incluyendo ransomware, a través de los canales de esta aplicación, la cual también funge de red social. “Los creadores de malware proporcionan una forma asequible y fácil de hackear a alguien y presumir de ello ante el resto de sus compañeros, e incluso una forma de ganar dinero a través del ransomware, la criptominería y la venta de datos de usuarios”, señaló Avast, según recogió Europa Press.
Asimismo, Avast indicó en 2018 que estaba ocurriendo una ola ataques a cuentas de Instagram, siendo las más populares (más de 100 mil seguidores) los principales blancos. Estas eran congeladas, su información encriptada y luego se pedía un pago para poder recuperarlas.
“Los hackers obtienen acceso a las cuentas a través de una estafa de phishing que se hace pasar por una posible asociación comercial. Las víctimas reciben un correo electrónico que contiene una propuesta para trabajar juntas y un enlace a lo que el remitente afirma que es su propio sitio de Instagram. Cuando las víctimas hacen clic en el enlace, se les lleva a una página de inicio de sesión de Instagram falsa, diseñada para capturar todas las credenciales ingresadas. Una vez que la víctima ‘inicia sesión’, los hackers obtienen el nombre de usuario y la contraseña”, indicó la empresa de antivirus en aquel momento.
Los cibercriminales terminaban pidiendo rescates de entre US$ 110 (S/.420 aproximadamente) a US$ 122 (S/.467 aproximadamente). Este pago tenía que ser exclusivamente por bitcoins, pero no había ningún tipo de seguridad que la cuenta fuese liberada o que no siguieran pidiendo dinero luego de haber realizado el primer abono.
Por ello, depende del usuario estar informado y saber diferenciar de una conversación con un contacto o seguidor, con la de un cibercriminal tratando de engañarnos para robar o encriptar la información de nuestro dispositivo.
MIRA: ¡Cuidado cuando hagas clic! Las URLs acortadas y los peligros que ocultan
Sin embargo, sí existe un precedente de cibercriminales que se aprovecharon de un fallo en redes sociales para incrustar un ransomware y que los usuarios terminaron descargándolo. En noviembre de 2016, los creadores del ransomware ImageGate aprovecharon una vulnerabilidad de Facebook y LinkedIn para colocar su malware dentro de las redes sociales.
“El virus se incluye en un fichero de imágenes y se sube a la red social. Los atacantes se aprovechan de un fallo de configuración de la red social para forzar que el archivo se descarte. Tras abrirla, el malware se encarga de cifrar los archivos de la víctima y exige un rescate por ellos en bitcoins”, indicó EuropaPress en aquel momento.
Los cibercriminales buscan constantemente la forma de introducir su ransomware en este tipo de redes sociales porque son “confiables” para los usuarios. Es por este motivo que incluso venden su “producto” a terceros para que estos lo prueben de diferentes formas.
MIRA: De esta manera podrían estar robando tu cuenta de Twitter
Ransomware como un servicio
El RaaS (Ransomware as a service) es la forma en la que cibercriminales venden este tipo de malware a quienes no son expertos o desarrolladores. “Los programadores simplemente ponen su software malicioso a la venta. Para quienes crean esta clase de software, esta es una estrategia más rentable y menos riesgosa”, indicó Kaspersky en su informe.
De esta forma, no solo generan dinero al vender el ransomware para que terceros lo usen, sino que tampoco se arriesgan a cometer el cibercrimen, pues estos simplemente proveen el malware. Así, el uso del ransomware ya no se limita solo a quienes vienen creándolo y mejorándolo con los años, sino también para cualquier persona que quiera incursionar en este mundo.
Esto ayuda a que los cibercriminales que utilizan el phishing también terminen añadiendo el ransomware en su forma de operar, tal y como se vio en el caso de las cuentas de Instagram en 2018. Gracias a que existen diferentes familias de ransomware, cada vez hay más y más ciberdelincuentes utilizando este método.
¿Qué son las familias del ransomware?
Según Martina López, las familias son los grupos de ransomware y sus derivados. “Cada grupo cibercriminal, cada persona, puede generar un código malicioso nuevo. Así como pasó, por ejemplo, con la COVID-19, cada variante se caracterizó por tener algo en especial. Mayor resistencia a las vacunas, más mortalidad, etcétera. Bueno, con la familia de ransomware pasa lo mismo”, aseguró la investigadora.
Estas características van desde la velocidad del malware hasta la forma de cobrar el “rescate” que han establecido. “Hay variantes que son mucho más rápidas, es decir, que el momento de cifrado es mucho más instantáneo; hay familias en donde quizá lo que buscan son archivos en particular para cifrar, como puede ser alguna base de datos dirigida a corporaciones; hay archivos en donde el pago se le solicita en dólares; hay archivos en donde solicitan el pago en criptomonedas. Hay un montón de variantes de familias de ransomware. Algunas más conocidas, otras, no”, añadió.
Debido al auge de este ciberataque y los grandes montos que pueden pedir como “rescate”, las empresas son las que terminan siendo principales objetivos de los ciberdelincuentes. “Quizá las más renombradas en Latinoamérica, hoy por hoy, son aquellas que, en primer lugar, apuntan a organizaciones y corporaciones, como es el caso de Conti [Perú ha sufrido este tipo de ataque], el caso de Sodinokibi [utilizado en el caso Kaseya]. Familias que tenían detrás a bandas de ransomware. Ya no tanto hablando de una amenaza en general, en donde uno se la puede descargar de cualquier sitio, sino de amenazas que se dirigen más a corporaciones y a Gobiernos, que a usuarios en general”, concluyó López.
Si bien el ransomware está enfocado más en “secuestrar” la información de las empresas, los usuarios también pueden ser el objetivo. Debido a la diversidad de este malware y los resultados que está obteniendo, los cibercriminales están usándolo también para victimizar a los usuarios en redes sociales. Recordemos que, como todo, el uso del ransomware se volverá más fácil y accesible, por lo que más delincuentes informáticos terminarán usándolo. Especialmente en redes, pues tienen un universo más grande y, por ende, más probabilidades de obtener un buen resultado si se siguen apoyando en el phishing.