Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Aunque los ataques se han hecho populares desde mediados de la década del 2010, el
primer ataque conocido fue realizado a finales de los 80 por el Dr. Joseph Popp.3
Su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló en
2013 que solamente en el primer trimestre había detectado más de 250 000 tipos de
ransomware únicos.4
Métodos de propagación
Para hacer creer a la víctima que su computador está siendo rastreado por la ley,
se muestra la dirección IP del computador en pantalla, además se puede mostrar
material de archivo y simular que la cámara web está filmando a la víctima.
A principios del año 2012 comenzó su expansión por varios países de Europa; según
el país, podría variar el logo referente a las Fuerzas de la Ley correspondientes.
Por ejemplo, en el Reino Unido, contenía el logo del Servicio de Policía
Metropolitana. Debido a estos sucesos, la Policía Metropolitana envió un comunicado
informando que bajo ningún concepto ellos bloquearían un computador ni siquiera
como parte de una investigación.
En mayo de 2012, Trend Micro descubrió las variaciones de este malware para los
Estados Unidos y Canadá, sospechando que los autores planeaban expandirlo a América
del Norte. En agosto de 2012, se comenzó a utilizar el logo del FBI para reclamar
una fianza de 200 dólares a los propietarios de computadores infectados, a pagar
mediante una tarjeta de aMoneyPak. En febrero de 2013, un ciudadano ruso fue
arrestado en Dubái por autoridades españolas debido a su conexión con la red
criminal que había estado usando Reveton, al cual se sumaron otras diez personas
con cargos por lavado de dinero.
En caso de que el pago se retrase más allá de los tres días, el precio se
incrementa a 10 bitcoins, lo que equivalía, aproximadamente, a 2300 dólares, en
noviembre de 2013.
CryptoLocker fue aislado gracias a que incautaron la red GameoverZeuS, tal como fue
anunciado oficialmente por el Departamento de Justicia de los Estados Unidos el 2
de junio de 2014.
TorrentLocker es otro tipo de infección con un defecto, ya que usaba el mismo flujo
de claves para cada uno de los computadores que infectaba, el cifrado pasó a ser
trivial pero antes de descubrirse ya habían sido 9000 los infectados en Australia y
11 700 en Turquía.7
CryptoWall
CryptoWall 3.0 ha sido reportado desde enero de 2015 como una infección que surge
donde hackers rusos se encuentran detrás de esta extorsión.
TeslaCrypt
Se hizo una comparación con el virus Petya que también utiliza disco cifrado. Sin
embargo, Petya cifra solamente la tabla maestra de archivos (MFT) con lo que no
afectan a los datos en sí.
También sobrescribe el registro de inicio maestro (MBR) del disco del sistema que
contiene el gestor de arranque para el sistema operativo. Esto prohíbe
efectivamente al usuario de incluso cargar el sistema operativo sin ingresar el
código de descifrado.
WannaCry
Artículo principal: WannaCry
El ransomware cifra los datos que, para poder recuperarse, pide que se pague una
cantidad determinada, en un tiempo determinado. Si el pago no se hace en el tiempo
determinado, el usuario no podrá tener acceso a los datos cifrados por la
infección. WannaCry se ha ido expandiendo por Estados Unidos, China, Rusia, Italia,
Taiwán, Reino Unido y España, al igual de que se señala que los sistemas operativos
más vulnerables ante el ransomware son Windows Vista, Windows 7, Windows Server
2012, Windows 10 y Windows Server 2016.
Al igual que ocurre con otras formas de malware, los programas de seguridad puede
que no detecten la carga útil (payload) de un programa ransomware hasta que el
cifrado de archivos está en proceso o ha concluido, especialmente si se distribuye
una nueva versión desconocida para el antivirus.13 Si un ataque se detecta de
manera temprana, se puede eliminar de manera sencilla sin darle tiempo de comenzar
el proceso de cifrado.1415