¡No abras esa factura! Un virus secuestrará tu ordenador (y pedirá 380 euros)
Parece una factura de teléfono o un mensaje de Hacienda, pero al abrirlo codifica todos los archivos del ordenador de su víctima y le pide un rescate para recuperarlos
Al menos 376 empresas y usuarios particulares han acudido en los últimos días al servicio 'anti-ransomware' del Instituto Nacional de Ciberseguridad (Incibe) con un problema serio: un virus ha cifrado los archivos de su ordenador. Y lo preocupante es la forma en que ha ocurrido. Todos abrieron un archivo adjunto en un 'email' que aseguraba ser una factura de una compañía eléctrica, operadora o una notificación de Hacienda. Las campañas con este tipo de engaños son cada vez más frecuentes y virulentas. Y solo podemos pararlas nosotros mismos.
S. B. es una archivera de 50 años, veterana usuaria informática de toda la vida, cuando aún se utilizaba MS-DOS. Por eso no se explica cómo cayó en la trampa. "Suelo ser precavida, tengo antivirus, nunca abro 'emails' desconocidos ni abro enlaces o programas pero... hacía unos días que esperaba una factura del electricista y, sin pensarlo, cuando vi que el asunto era 'factura', lo abrí".
Acababa de caer en el engaño de las facturas falsas: "El enlace me llevó a la nube, donde no había ningún documento. Ahí me di cuenta de que había cometido un error de novato, no fijarme en que la dirección del remitente tenía una extensión rara, .pt (de Portugal). Convencida de que era un virus, lancé el antivirus. Resultado: PC limpio, todo OK". Un par de horas más tarde, tuvo problemas con el 'driver' de la batería, que achaca al intento de infección, pero la cosa no fue más allá.
El enlace me llevó a la nube, donde no había ningún documento. Ahí me di cuenta de que había cometido un error de novato
S. B. tuvo una gran suerte porque su despiste podía haber acabado con un virus del tipo 'ransomware' infectando su ordenador, cifrando todos sus archivos y pidiéndole un rescate de 384 euros en 'bitcoins'. La salvó que el 'email' fraudulento le llegó tarde, cuando Dropbox (lo que S. B. llama "la nube") ya había retirado el virus.
Al asedio desde febrero
Desde finales de febrero, hay usuarios de Windows quejándose en las redes sociales porque un virus ha cifrado su ordenador. En España, internet ha estado hasta hace pocos días bajo un virulento bombardeo de mensajes de correo no solicitado que, con diversas excusas, incitaban a abrir un enlace o archivo adjunto que daban entrada al 'ransomwar' Cryptolocker.
Los expertos lo tienen claro: volverán. "Estos 'emails' maliciosos suelen llegar los primeros días de la semana, normalmente lunes o martes, y las campañas no duran muchos días, pero infectan a muchos usuarios", explica Fernando Díaz, analista de Hispasec. A medida que la campaña es detectada por los antivirus, los atacantes cambian de estrategia, a veces en cuestión de horas o días, y van bajando la intensidad.
Estos 'emails' maliciosos suelen llegar los primeros días de la semana, lunes o martes, y las campañas no duran mucho, pero infectan a muchos usuarios
Así, los primeros 'emails' de esta campaña venían con un enlace que mandaba a las víctimas a Dropbox, donde descargaban el virus creyendo que era una factura. Cuando Dropbox se enteró y lo retiró, llegó una nueva remesa de 'emails' con un .zip adjunto que contenía un archivo Excel malicioso haciéndose pasar también por una factura de compañías conocidas. En los últimos envíos, los adjuntos eran ficheros .doc maliciosos simulando ser notificaciones de Hacienda o una supuesta donación.
Hasta el Banco de España ha advertido de un problema similar: el envío de 'emails' en nombre del organismo que, en realidad, son una suplantación de indentidad. "En dichos correos", explica en un comunicado, "se alerta sobre acciones financieras realizadas supuestamente por el Banco de España, al mismo tiempo que se ofrece un enlace para obtener más información, enlace que podría provocar la descarga de virus u otro tipo de 'malware".
"Pueden mandar cualquier cosa con tal de que al usuario le pique la curiosidad por abrir el archivo adjunto", explica Díaz. Y tienen éxito. En Hispasec recibieron entre cuatro y cinco peticiones diarias de ayuda, sobre todo de empresas, en los momentos más duros de esta campaña. Marco Lozano, experto en ciberseguridad de Incibe y coordinador de la Oficina de Seguridad del Internauta (OSI), asegura que desde el 10 de marzo, cuando emitieron una alerta, han tramitado 376 solicitudes en su servicio 'anti-ransomware'.
Lozano no puede discriminar cuántas solicitudes son de empresas o de usuarios, pero apunta a que el número de pequeñas y medianas empresas (pymes) afectadas ha sido probablemente muy alto, por ejemplo, gestorías o despachos de abogados, porque "en estas empresas es habitual recibir 'emails' con facturas y la educación de los empleados en ciberseguridad es baja". Además, asegura, a los atacantes les interesa que las víctimas sean empresas porque "son más susceptibles de pagar un rescate para evitar la pérdida de información".
En la campaña que ha asolado España, el 'ransomware' Cryptolocker pedía un rescate de 384 euros, el doble si no se pagaba en una semana. Aunque los expertos recomiendan no pagar, no todo el mundo hace caso. Lo demuestra que, como explica Fernando Díaz, "es un negocio muy rentable, los atacantes suelen obtener miles de euros a lo largo de una semana". Por eso vuelven y vuelven a intentarlo. Lo confirma Lozano: "Estas campañas se dan con cada vez más frecuencia y van más allá de las pymes, los ciudadanos están padeciendo cada vez más esta amenaza".
A los afectados, explica Fernando Díaz, "les suele hacer bastante daño porque por lo general no tienen copias de seguridad y, al producirse la infección, sienten mucha impotencia por no poder recuperar su archivos". En otras ocasiones, se ha descubierto la clave que descifra el 'ransomware', pero no ha sido el caso con la versión de Cryptolocker que ha atacado España, así que "a las víctimas solo les queda pagar con la esperanza de recuperar sus archivos, algo que nadie les garantiza", explica Díaz.
A las víctimas solo les queda pagar con la esperanza de recuperar sus archivos, algo que nadie les garantiza
Ahora la campaña ha bajado mucho de intensidad. Incibe tiene un sistema que monitoriza el flujo de 'emails' fraudulentos en la red académica y servidores propios. Es un flujo continuo, como el 'ruido' del universo, y solo se lanzan alertas cuando sube mucho el volumen, como la semana del 10 de marzo, cuando contabilizaron entre 50.000 y 100.000 'emails' maliciosos al día. Esta cifra, afirma Lozano, "debería multiplicarse por un número elevado" para mostrar el alcance real del bombardeo al que fue sometida la red española.
¿Quién está detrás del ataque?
Dar con los responsables de estos ataques es muy difícil, hay detenciones en contadísimas ocasiones. Para lanzar sus campañas de millones de 'emails', usan servidores legítimos que han 'hackeado'. No hay pruebas, como documentos de alquiler de los equipos, no hay rastro en los 'hackeos' y los rescates se cobran en 'bitcoins'. Cuando han 'quemado' un país, se van a otro, explica Díaz: "Cada equis semanas van lanzando campañas de 'emails' a distintos países, rotando en distintos idiomas para conseguir nuevas víctimas". Josep Albors, jefe de Concienciación e Investigación de ESET, añade: "El simple hecho de que el 'email' esté en español ya hace que mucha gente pique".
Uno de sus trucos más exitosos es falsear la dirección de correo del remitente, lo que hace creer a las víctimas que el 'email' viene de una institución oficial o de una empresa conocida y confiable, como sucedió en años anteriores con las supuestas facturas de Endesa y Vodafone, las cartas certificadas de Correos y los avisos de Hacienda.
Cada equis semanas van lanzando campañas de 'emails' a distintos países, rotando idiomas para conseguir nuevas víctimas
Otra táctica, que activan o desactivan según cómo les funcione una campaña, es hacer que el virus entre en la libreta de direcciones de la víctima y se reenvíe a todos sus contactos, poniendo a la víctima como remitente, lo que hace que la gente confíe en el mensaje y haga lo que le dicen. Otra estrategia, explica Josep Albors, es "incluir en el cuerpo del mensaje el nombre de a quién mandan el 'mail', para hacerlo más creíble y personalizado".
Estas estafas son casi tan viejas como el invento del correo electrónico. "Los adjuntos maliciosos han sido utilizados desde hace mucho tiempo y no solo para propagar 'ransomware', son bastante más antiguos", explica Albors, quien sitúa el nacimiento de este vector de ataque a mediados de la década de los noventa, cuando "empezaron a usarse los virus de Macro en documentos Office adjuntos en correos electrónicos de forma masiva".
Los virus de Macro cayeron en desuso en el año 2000, superados por otras formas más eficaces de infectar a la gente vía 'mail' e introducir en sus ordenadores mayoritariamente troyanos bancarios, que robaban su información financiera. Paradójicamente, para luchar contra estos ataques Google prohibió el envío de adjuntos con Javascript, que eran muy usados por los delincuentes.
Esto ha provocado la actual vuelta al pasado, a los ataques con documentos de Office con Macros maliciosas. Solo tienen que pedir amablemente a la víctima que active las Macros y, si esta lo hace, la Macro descarga el 'ransomware'. Al no viajar el virus en el 'email', es más fácil que el antivirus lo deje pasar aunque, explica Albors, "un buen filtro 'antispam' puede detectar estos documentos antes incluso de que lleguen a la bandeja de entrada".
La solución contra esta plaga no es clara. Dice Albors: "Desconfiar siempre de estos 'emails' y usar un antivirus actualizado que permita detectar este tipo de correos al poco tiempo de empezar a propagarse". Pero también reconoce que estas campañas "han funcionado y seguirán funcionando" porque su principal ingrediente es el engaño, la provocación para que abramos un archivo o un enlace. No importa si el 'email' avisa de un cargo en nuestra cuenta de miles de euros, o del pago de algo carísimo, su objetivo es que, presas del pánico, sin tiempo para pensar, abramos lo que sea.
Al menos 376 empresas y usuarios particulares han acudido en los últimos días al servicio 'anti-ransomware' del Instituto Nacional de Ciberseguridad (Incibe) con un problema serio: un virus ha cifrado los archivos de su ordenador. Y lo preocupante es la forma en que ha ocurrido. Todos abrieron un archivo adjunto en un 'email' que aseguraba ser una factura de una compañía eléctrica, operadora o una notificación de Hacienda. Las campañas con este tipo de engaños son cada vez más frecuentes y virulentas. Y solo podemos pararlas nosotros mismos.