El ransomware es un software malicioso que cifra secretamente los archivos de tu PC. Luego intentará obligarte a pagar al rescatador, con el fin de obtener la clave de descifrado necesaria para recuperar el acceso a tu información digital.

El ransomware se propaga con frecuencia a través de archivos adjuntos y enlaces de correo electrónico tipo “phishing”. También a veces usan técnicas muy selectivas: como anuncios maliciosos que descargan el malware cuando interactúas con ellos. Forzando una descarga no autorizada (drive-by downloads), descargando automáticamente el malware. También puede extenderse a través de las redes locales en las que se ha arraigado una infección.

Muchos ataques notorios, como los del grupo Conti, han robado datos antes de encriptarlos, lo que ha llevado a la publicación de datos privados en Internet. Otros ataques de ransomware mienten sobre el aspecto del descifrado, dejando a los que pagan el rescate con ordenadores inoperativos.

Aunque Windows sigue siendo el objetivo más popular, los ataques también han afectado a sistemas macOS y Linux. El ransomware existe incluso para dispositivos móviles y sistemas integrados.

Una breve historia del ransomware malicioso de encriptación

El ransomware no siempre ha utilizado el desafiante cifrado asimétrico de archivos completos que vemos hoy. El primer ataque de ransomware del que se tiene constancia, creado en 1989 y destinado a interrumpir el trabajo de los investigadores del SIDA. Encriptando los nombres de los archivos para impedir que se pudiera acceder a ellos, haciendo que el sistema quedara inutilizado a menos que se comprara una clave de desencriptación de 189 dólares al creador del malware.

En 2005, surgió una familia de virus conocida como PGPCoder o GPCode. Estos eran troyanos que encriptaron todos los documentos y archivos que encontraron. La única evidencia que dejaban consistía de un archivo de texto con instrucciones para pagar un rescate a través de sitios de comercio de oro en línea.

Los investigadores de Kasperksy pudieron identificar al creador de GPCode por su dirección IP. El creador del malware se puso en contacto con la empresa antivirus e intentó venderles una herramienta para desencriptar el malware PGPCoder. Obviamente, Kaspersky se negó y, tras investigar los sistemas de múltiples víctimas para resolver las direcciones IP proxy que el malware utilizaba para llamar a casa, localizó la ubicación del autor. A día de hoy no está claro si la policía llegó a actuar sobre la base de la información proporcionada por Kaspersky. La última versión conocida de GPCode se publicó en 2010.

A medida que los nuevos métodos de pago se hicieron populares, los desarrolladores de ransomware malicioso los adoptaron. En la década de 2010, la familia de programas maliciosos WinLock utilizaba mensajes SMS de alta calidad para obtener rescates baratos, según los estándares modernos, de unas 10 libras.

La popularización de las criptomonedas, en particular el Bitcoin, creado en 2008, proporcionó a los delincuentes un método relativamente difícil de rastrear para recibir los pagos del ransomware, y ahora la mayoría de los ataques exigen el pago mediante criptomonedas.

Quizás el ransomware más famoso fue el Wannacry de 2017. Utilizado en un vasto ataque que afectó a unos 200.000 ordenadores en todo el mundo, según la Europol. Por suerte fue detenido cuando el investigador de seguridad británico Marcus “MalwareTech” Hutchins descubrió un interruptor de apagado.

Actualmente vemos cientos de ataques de ransomware cada año, y hay pocos indicios de que la tendencia disminuya.

¿Qué hacer con la sospecha de un ransomware?

Si sospechas que has sido infectado por un ransomware, pero aún no se ha cifrado todo, reinicia inmediatamente tu ordenador o apágalo. Es poco probable que el reinicio impida que se cifren tus datos, ya que el proceso de cifrado se reiniciará con tu PC. Analiza la unidad en busca de malware sin arrancar el sistema operativo, por ejemplo, utilizando un disco de rescate.

Si el disco de rescate puede identificar el ransomware, pero no descifrar los archivos que ha bloqueado, no está todo perdido. Los especialistas en seguridad analizan constantemente el ransomware. Lo primero que deberías consultar es la página de No More Ransom de Europol. La página te ayudará a identificar el ransomware y a encontrar un descifrador para él.

Si el disco de tu sistema ya ha sido totalmente encriptado, y no puedes desencriptarlo, te quedan dos opciones. Si el disco duro contenía archivos realmente importantes o irremplazables, puedes etiquetarlo y guardarlo en algún lugar seguro y estar atento a la publicación de un descifrador. Estos pueden ser de ingeniería inversa, liberados por grupos de ransomware malicioso cuando cesan su actividad, o incluso robados y liberados por investigadores de seguridad que trabajan contra los creadores del malware, como en el caso de la filtración del Conti de marzo de 2022.

Si has guardado copias de seguridad, la mejor y más rápida manera de lidiar con un PC infestado de ransomware es reinstalar el sistema operativo y restaurar tus datos desde las copias de seguridad.