Documentos de Académico
Documentos de Profesional
Documentos de Cultura
¿Qué es el ransomware?
Este tipo específico de software malicioso se usa para extorsionar. Cuando un dispositivo logra
ser atacado con éxito, el malware bloquea la pantalla o cifra la información almacenada en el
disco y se solicita un rescate a la víctima con los detalles para efectuar el pago.
Daño Informático
“En la misma pena incurrirá el que alterare, destruyere o inutilizare datos, documentos,
programas o sistemas informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un
sistema informático, cualquier programa destinado a causar daños”.
Antes de la sanción de este tipo penal, la destrucción de datos o programas era una conducta
atípica. Las acciones típicas son alterar (verbo agregado en la nueva redacción), destruir o
inutilizar datos, documentos, programas o sistemas informáticos. Se entiende por
documento a toda representación de actos o hechos con independencia del soporte utilizado
para su fijación, almacenamiento, archivo o transmisión (art.77 CP). Este tipo penal requiere
para su consumación como elemento subjetivo el dolo.
FASES
PASO 1 - Distribución
La forma más común de diseminación de malwares es a través del phishing. Por lo general,
dentro del área de la ingeniería social, donde el delincuente busca identificar páginas o
cualquier información que pueda conducir a la víctima a acceder al enlace fraudulento, al
adjunto de correo electrónico o a un archivo descargable que contiene el virus.
No sólo sucede por correo electrónico, hay muchos anuncios en sitios web, aplicaciones y
software para descargar y, en casos extremos, pen drives que los delincuentes dejan en
lugares estratégicos o los llevan a las empresas con alguna excusa para que alguien los abra.
Aunque ya sea muy bien conocida por todos, esta técnica es eficiente, pues utiliza como
anzuelo la curiosidad y la credulidad de las personas. Una de cada cuatro personas abre
mensajes de phishing, siendo que una de cada diez, además de abrir, todavía accede a los
enlaces, adjuntos y archivos infectados presentes.
PASO 2 - Infección
A partir de este momento en que se accede al archivo o al enlace infectado, el código que lleva
el malware se inserta en la computadora, dando inicio a procesos obligados para completar las
actividades maliciosas. Este es el paso que varía en función al malware ejecutado, el cual
puede producirse en el momento de actualizar o apagar la máquina, al abrir un programa
específico en la computadora o en cualquier otra circunstancia.
Es a partir de esta acción que el código entra en actividad, desactivando copias y sistemas de
reparación y recuperación de errores, programas de defensa y otros.
PASO 3 - Comunicación
Una vez activo, el malware comienza a comunicarse con los servidores de clave de cifrado,
obteniendo la clave pública que permite que los datos de la víctima sean encriptados. Es en
estos servidores donde se almacenan los códigos para cambiar los archivos. Ellos empiezan a
trabajar desde el momento en que se conecta el malware.
PASO 5 - Cifrado
Es en esta etapa que se lleva a cabo el proceso de mover y renombrar los archivos
identificados en el paso anterior, mezclando la información para que el sistema de la
computadora del usuario ya no pueda proporcionarle acceso al usuario, siendo ahora
necesario desencriptarlos para poder recuperarlos.
PREVENCIÓN
La herramienta más importante que tenemos para derrotar al ransomware es contar con un
backup actualizado en forma periódica. De este modo, si es posible restaurar el sistema a una
instantánea anterior o desinfectar el equipo y restaurar desde la copia de respaldo los
documentos que estaban infectados, estamos previniendo llegar al punto de pagar para
solucionar el inconveniente. Además, se debe tener en cuenta que el backup puede verse
comprometido si se encuentra conectado al equipo donde comenzó la infección, por lo cual se
debe diseñar una buena política de respaldo para evitar esta situación.
El ransomware mayormente cifra solo archivos con determinadas extensiones, como ser
imágenes, videos, bases de datos o documentos de ofimática. Al utilizar una solución de
cifrado podríamos lograr que un archivo sobreviva intacto a una infección por ransomware.
Con frecuencia, una de las maneras en que se presenta el ransomware es en un archivo con
doble extensión (por ejemplo, “.PDF.EXE”), aprovechando la configuración predeterminada de
Windows de ocultar las extensiones para tipos de archivos conocidos. Modificando las
opciones del sistema para ver las extensiones completas de archivo, será más fácil detectar
archivos sospechosos.
Gran parte de las infecciones por ransomware se inician con un adjunto en un correo
electrónico. Por ello es importante establecer reglas en el servidor de correos para el análisis
de archivos adjuntos y el bloqueo de mensajes que contengan archivos .EXE, .SCR, doble
extensión, o cualquier otra extensión referente a un ejecutable.
Deshabilitar los archivos que se ejecutan desde las carpetas AppData y LocalAppData
Es posible deshabilitar este tipo de comportamientos a través de las políticas locales o de red
del sistema, o mediante el software de prevención de intrusiones. De este modo evitarás
infecciones por muchas variantes de ransomware, y también infecciones de malware en
general.
El ransomware puede acceder a las máquinas mediante el Protocolo de Escritorio Remoto, que
les permite a terceros obtener acceso a tu equipo en forma remota. Si no se requiere, puede
deshabilitarse para proteger tu máquina del acceso indebido.
TÉCNICAS DE INVESTIGACIÓN
ANÁLISIS DE CASOS