El diccionario de la Real Academia Española de la Lengua dice que secuestrar es retener indebidamente a una persona para exigir dinero por su rescate, o para otros fines. Pues bien, ahora también se ‘secuestran’ teléfonos móviles. Se trata del fenómeno ransomware, que consiste en infectar el aparato con un virus que bloquea o cifra sus archivos y exigir el pago de un rescate para poder recuperar el control del mismo y la información que contiene. Un rescate que suele exigirse en bitcoin, una moneda digital a la que no se puede seguir el rastro, por el equivalente a entre cien y doscientos euros, en el caso de particulares, o de varios miles si el afectado es una empresa.
Los ransomware se instalan fundamentalmente en móviles y ordenadores, ya que la forma de propagarse es el correo electrónico o la navegación por webs previamente contaminadas. “El ransomware se utilizó por primera vez en 2011, dirigido fundamentalmente contra equipos informáticos de sobremesa –señala uno de los responsables del Grupo de Seguridad Lógica de la Unidad de Investigación Tecnológica de la Policía-. En la pantalla del ordenador solía aparecer un falso mensaje de la Policía que advertía al usuario de que su aparato quedaba bloqueado al haberse detectado que había entrado en páginas de pornografía infantil o había realizado descargas ilegales. Con el tiempo el malware (software maligno) se ha adaptado a los distintos sistemas operativos de los teléfonos móviles, ya sea Windows, Android o IOS, y ha comenzado a extenderse entre estos aparatos. La variante de ransomware que los cibercriminales utilizan ahora se llama criptolocker, que en lugar de bloquear el ordenador recorre todo el sistema de archivos los cifra y acto seguido remite un mensaje al usuario en el que le reclama el pago de una cantidad para liberarlo”.
“Los primeros ataques a móviles se produjeron hace tres o cuatro años, aunque desde hace dos se han vuelto muy sofisticados para evitar que los antivirus los detecten –dice un ejecutivo del sector de las telecomunicaciones que prefiere mantener el anonimato-. Cuando hace cinco o seis años se empezó a infectar a los ordenadores de sobremesa eran ataques bastante simplones con mails muy burdos, que se fueron perfeccionando con malware en páginas webs de las que el usuario se baja películas o software ilegal. Después comenzaron las campañas suplantando la identidad de compañías de servicios, como Gas Natural, Endesa… y ahora se ha producido una migración de los ataques hacia el mundo móvil, porque el mercado es mucho más amplio. Los ataques están haciendo que el ratio de infección se nos esté yendo a la mayoría de los operadores por encima del 1%. Es más fácil que pretendan robarte con un ransomware a que intenten hacerlo en la calle”.
Tal ha sido su expansión que las compañías telefónicas han iniciado campañas de concienciación entre sus clientes. Vodafone, por ejemplo, ha hecho público un informe en el que asegura que el 1,25% de los usuarios de móviles ha recibido una amenaza ramsonware, lo que no significa que todas hayan tenido éxito. Si tenemos en cuenta que en España hay algo más de 51 millones de estos aparatos, según datos de la Comisión Nacional del Mercado de la Competencia del pasado agosto, el número de ataques registrados puede superar los 600.000. Una cifra que coloca a nuestro país en el puesto número 13 a nivel mundial en ataque a dispositivos móviles, con una penetración casi seis veces superior a la media mundial. De hecho, el 5% de los usuarios afectados a nivel mundial por algún tipo de ransomware que solicita un rescate por cada dispositivo bloqueado eran españoles. El servicio Vodafone Secure Net eliminó 50.000 amenazas de este tipo durante los nueve primeros meses de 2016.
El cibercrimen representa la segunda fuente de ingresos de las organizaciones criminales, por delante del tráfico de drogas
“El modo principal de distribución el ransomware es a través de phishing que suplantan la identidad de otra persona o una empresa y nos invitan a clickar en un link o descargar un documento adjunto, momento en el que el aparato queda infectado –señala un mando del Grupo de Seguridad Lógica de la Policía-. Son ataques masivos, no dirigidos contra empresas o personas concretas. Las organizaciones criminales que están detrás se hacen con listas de correos electrónicos a través de fuentes abiertas o las compran y remiten remesas de ransomware que van evolucionando con el tiempo para hacerlos más sofisticados”.
Un informe de la compañía Kaspersky, empresa de antivirus que presta servicios de seguridad, entre otros, a Telefónica, asegura que el número de variaciones ransomware detectadas para eludir los antivirus fue de 1.113 en 2015, lo que supuso un incremento del 65% con respecto al año anterior. “Los ataques a dispositivos móviles son cada vez más frecuentes y España está al mismo nivel de los países del Este de Europa en cuanto a número de infecciones, siendo la zona Asia/Pacífico la más afectada del mundo”, dice un informe de la mencionada compañía.
El problema de este delito, como otros cometidos por ciberdelincuentes, radica en la dificultas extrema de identificar y detener a sus responsables. La mayoría de las organizaciones criminales dedicadas a la difusión de ransomware actúan desde países del Este, sobre todo Rusia. “Resulta muy complicado detectar de dónde vienen los ataques, porque puede tratarse de una organización criminal radicada en Rusia que utiliza un servidor situado en Reino Unido y que lanza una campaña infectando teléfonos y ordenadores en Sudamérica”, dice un especialista policial. “Existe una industria del cibercrimen que presta servicios a demanda: unos proveen del malware, otros facilitan bases de datos, otros garantizan en anonimato en la red, y hay quienes convierten los bitcoin en dinero efectivo. Son organizaciones en las que la mayoría de sus miembros no se conocen entre sí porque sus contactos son exclusivamente a través de la red”, dice un mando del Grupo de Delitos Telemáticos de la Guardia Civil, que asegura que el 88% de la ciberdelincuencia es económica, es decir, busca obtener algún tipo de beneficio.
Una de esos casos excepcionales en los que se consigue desmantelar la organización delictiva tuvo lugar hace tres años en la Costa del Sol. La Policía detuvo entonces a diez personas, seis ciudadanos rusos, dos ucranianos y dos georgianos que eran dirigidos por un joven de 27 años de nacionalidad rusa que había sido capturado meses antes en Dubai (Emiratos Árabes) cuando estaba de vacaciones. La Operación Ransom, considerada una de las mayores contra el cibercrimen, permitió constatar que la organización había infectado a millones de ordenadores de todo el mundo y obtenía beneficios que superaban el millón de euros anuales. La red aprovechaba la publicidad por Internet para activar un sofisticado virus informático que bloqueaba los ordenadores con la imagen de la Policía del país correspondiente como señuelo y un mensaje que exigía a los usuarios el pago de una multa de 100 euros por haber accedido supuestamente a páginas de pornografía infantil, descargas ilegales o de actividades terroristas. Muchas víctimas accedieron a pagar, aunque no habían cometido ningún delito.
La mayoría de las organizaciones criminales dedicadas a la difusión de ransomware están radicadas en Rusia
“El ransomware está haciendo mucho daño a las pequeñas y medianas empresas que no tienen departamento informático, no adoptan especiales medidas de seguridad y tampoco hacen copias de seguridad de sus archivos, lo que hace que el virus pueda paralizar la empresa”, señalan los especialistas de la Policía. De hecho, el Instituto Nacional de Ciberseguridad de España (INCIBE) puso en marcha el pasado día 15 un servicio dirigido a pymes para ayudarlas a prevenir y solucionar el secuestro de información. El denominado Servicio Antiransomware está disponible a través de la web http://www.incibe.es/protege-tu-empresa, en el que se dan consejos a las compañías sobre la manera de actuar ante este tipo de malware. “A través de este nuevo servicio las empresas sabrán cómo actuar en caso de ser infectados, dónde pedir ayuda, cómo mitigar los efectos de la infección y cómo recuperar la información, además de aprender a evitarlo”, señalan desde INCIBE, que recomienda “no ceder nunca al chantaje” porque el pago de la extorsión no garantía la devolución del control de los equipos secuestrados y fomenta el negocio de los ciberdelincuentes. “Si se cede al chantaje se está abriendo la puerta a ser objeto de otros chantajes posteriores o de cifras más elevadas”.
Una de las últimas campañas de ransomware tuvo lugar el pasado mes de septiembre con falsos mensajes de Correos. Entonces, aprovechando la vuelta de las vacaciones de verano, muchos usuarios recibieron un mail que les informaba de que Correos había intentado entregarle una carta certificada, lo que no había sido posible por encontrarse ausente. La misiva señalaba que el envío se podía retirar en la oficina de Correos más próxima presentando la documentación del envío, que se podía descargar a través de un link que, en realidad, descargaba un ransomware. Los ciberdelincuentes advertían al receptor del mensaje que disponía de un plazo de un mes para retirar la carta, a partir del cual debería abonar una pequeña cantidad de dinero por cada día que transcurriera sin hacerlo.
Las fuentes policiales consultadas manifestaron a este diario que esta campaña masiva de correos maliciosos simulando supuestas notificaciones de correos u otro servicio de mensajería se ha reactivado durante las últimas semanas. En esta ocasión los ciberdelincuentes reclaman 299 euros por el descifrado del ordenador si el afectado paga con prontitud o, de lo contrario, el importe del rescate se eleva hasta los 598 euros. El correo que recibe el usuario afectado reclamándole el rescate especifica el número de archivos cifrados. “Sus archivos ahora son inservibles e ilegibles. La única manera de restaurarlos es utilizar nuestro software de descifrado”.
Un informe del Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI), alerta de la proliferación durante los últimos años de este tipo de virus malicioso “por las grandes sumas de dinero que reporta a los atacantes, extendiéndose así por toda Europa, Estados Unidos y Canadá”. “El cibercrimen representa actualmente la segunda fuente de ingresos de las organizaciones criminales, por delante del tráfico de drogas y sólo por detrás del tráfico de personas”, señala un especialista policial en este tipo de delitos.