RANSOMWARE Y REDES TOR (2 GRUPOS)

¿Qué es el ransomware?

Este tipo específico de software malicioso se usa para extorsionar. Cuando un dispositivo logra
ser atacado con éxito, el malware bloquea la pantalla o cifra la información almacenada en el
disco y se solicita un rescate a la víctima con los detalles para efectuar el pago.

¿Cómo reconocer el ransomware?

Si te han atacado, el ransomware te mostrará en la mayoría de casos un mensaje de rescate en

la pantalla, o añadiendo un archivo de texto (mensaje) de las carpetas afectadas. Muchas
familias de ransomware también cambian la extensión de los archivos cifrados.

TIPO PENAL (SUJETO ACTIVO, SUJETO PASIVO, PENA, ACCIÓN TÍPICA)

Daño Informático

El Art. 183 2do párr. Establece que:

“En la misma pena incurrirá el que alterare, destruyere o inutilizare datos, documentos,
programas o sistemas informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un
sistema informático, cualquier programa destinado a causar daños”.

Antes de la sanción de este tipo penal, la destrucción de datos o programas era una conducta
atípica. Las acciones típicas son alterar (verbo agregado en la nueva redacción), destruir o
inutilizar datos, documentos, programas o sistemas informáticos. Se entiende por
documento a toda representación de actos o hechos con independencia del soporte utilizado
para su fijación, almacenamiento, archivo o transmisión (art.77 CP). Este tipo penal requiere
para su consumación como elemento subjetivo el dolo.

Supuestos: Malware: Virus o código malicioso, Ransomware. No penaliza la existencia de virus,

sino su distribución o introducción en dispositivos informáticos. El programa distribuido tiene
que ser un programa destinado a causar daño, el format.exe por ejemplo no cumple los
elementos del tipo. Este tipo penal no alcanza a los fabricantes de “tecnología de doble uso”
por ejemplo fotocopiadora, programas P2P. Daño informático agravado: el Art. 184 CP
establece que la pena será mayor, si mediare cualquiera de las circunstancias siguientes:[…]

“5. Ejecutarlo en archivos o registros de uso público, o en datos, documentos, programas o

sistemas informáticos públicos; 6. Ejecutarlo en sistemas informáticos destinados a la
prestación de servicios de salud, de comunicaciones, de provisión o transporte de energía, de
medios de transporte u otro servicio público.” (CP art 184)

FASES

PASO 1 - Distribución

La forma más común de diseminación de malwares es a través del phishing. Por lo general,
dentro del área de la ingeniería social, donde el delincuente busca identificar páginas o
cualquier información que pueda conducir a la víctima a acceder al enlace fraudulento, al
adjunto de correo electrónico o a un archivo descargable que contiene el virus.
No sólo sucede por correo electrónico, hay muchos anuncios en sitios web, aplicaciones y
software para descargar y, en casos extremos, pen drives que los delincuentes dejan en
lugares estratégicos o los llevan a las empresas con alguna excusa para que alguien los abra.

Aunque ya sea muy bien conocida por todos, esta técnica es eficiente, pues utiliza como
anzuelo la curiosidad y la credulidad de las personas. Una de cada cuatro personas abre
mensajes de phishing, siendo que una de cada diez, además de abrir, todavía accede a los
enlaces, adjuntos y archivos infectados presentes.

PASO 2 - Infección

A partir de este momento en que se accede al archivo o al enlace infectado, el código que lleva
el malware se inserta en la computadora, dando inicio a procesos obligados para completar las
actividades maliciosas. Este es el paso que varía en función al malware ejecutado, el cual
puede producirse en el momento de actualizar o apagar la máquina, al abrir un programa
específico en la computadora o en cualquier otra circunstancia.

Es a partir de esta acción que el código entra en actividad, desactivando copias y sistemas de
reparación y recuperación de errores, programas de defensa y otros.

PASO 3 - Comunicación

Una vez activo, el malware comienza a comunicarse con los servidores de clave de cifrado,
obteniendo la clave pública que permite que los datos de la víctima sean encriptados. Es en
estos servidores donde se almacenan los códigos para cambiar los archivos. Ellos empiezan a
trabajar desde el momento en que se conecta el malware.

PASO 4 - Búsqueda de archivos

El ransomware realiza una exploración sistemática en la computadora de la víctima buscando

archivos de sistema específicos, que sean importantes para el usuario y que no se puedan
replicar fácilmente, como es el caso de los archivos con extensión .jpg, .docx, .xlsx, .pptx y .pdf.

PASO 5 - Cifrado

Es en esta etapa que se lleva a cabo el proceso de mover y renombrar los archivos
identificados en el paso anterior, mezclando la información para que el sistema de la
computadora del usuario ya no pueda proporcionarle acceso al usuario, siendo ahora
necesario desencriptarlos para poder recuperarlos.

PASO 6 - Pedido de rescate

En general, primero aparece un aviso en la pantalla de la computadora infectada. Es por este

medio que el hacker avisa que ha secuestrado los datos y que sólo los devolverá si el usuario
realiza el pago de un rescate. Después que se realiza el pago, el cybercriminal le envía a la
víctima la clave de cifrado que desbloqueará la computadora.

PREVENCIÓN

 Descarga archivos a tu ordenador de fuentes conocidas

 Usa un antivirus o una herramienta que te ayude a encontrar vulnerabilidades en tu

ordenador.

 Haz backups periódicos en fuentes externas a tu ordenador.

  Evade el software pirata. Compra licencias o busca programas similares de código
abierto.

Reglas básicas para evitar perder información:

 Realiza una copia de seguridad de tu información de forma periódica, y mantén al

menos una copia de seguridad completa desconectada de internet.

 Mantén tus programas actualizados – incluyendo el sistema operativo-, parcheados y

en la última versión.

Sin embargo, para ayudar a los usuarios/empresas a reconocer, evitar y eliminar el

ransomware la opción más eficaz es implementar una solución fiable y multicapa.

 Tener una copia de respaldo actualizada

La herramienta más importante que tenemos para derrotar al ransomware es contar con un
backup actualizado en forma periódica. De este modo, si es posible restaurar el sistema a una
instantánea anterior o desinfectar el equipo y restaurar desde la copia de respaldo los
documentos que estaban infectados, estamos previniendo llegar al punto de pagar para
solucionar el inconveniente. Además, se debe tener en cuenta que el backup puede verse
comprometido si se encuentra conectado al equipo donde comenzó la infección, por lo cual se
debe diseñar una buena política de respaldo para evitar esta situación.

 Instalar una solución de seguridad

Siempre es una buena idea tener un software antimalware y un firewall para identificar

amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas
variantes de códigos conocidos para evadir la detección, por lo que es importante contar con
ambas capas de protección.

 Utilizar herramientas para el cifrado de archivos

El ransomware mayormente cifra solo archivos con determinadas extensiones, como ser
imágenes, videos, bases de datos o documentos de ofimática. Al utilizar una solución de
cifrado podríamos lograr que un archivo sobreviva intacto a una infección por ransomware.

 Capacitar al personal sobre los riesgos

A nivel empresarial, es necesario acompañar la inclusión de tecnologías de defensa con la

creación de planes de capacitación para alertar al personal sobre los riesgos que existen en
línea y cómo evitarlos.

 Mostrar las extensiones ocultas por defecto

Con frecuencia, una de las maneras en que se presenta el ransomware es en un archivo con
doble extensión (por ejemplo, “.PDF.EXE”), aprovechando la configuración predeterminada de
Windows de ocultar las extensiones para tipos de archivos conocidos. Modificando las
opciones del sistema para ver las extensiones completas de archivo, será más fácil detectar
archivos sospechosos.

 Analizar los adjuntos de correos electrónicos

Gran parte de las infecciones por ransomware se inician con un adjunto en un correo
electrónico. Por ello es importante establecer reglas en el servidor de correos para el análisis
de archivos adjuntos y el bloqueo de mensajes que contengan archivos .EXE, .SCR, doble
extensión, o cualquier otra extensión referente a un ejecutable.

 Deshabilitar los archivos que se ejecutan desde las carpetas AppData y LocalAppData

Es posible deshabilitar este tipo de comportamientos a través de las políticas locales o de red
del sistema, o mediante el software de prevención de intrusiones. De este modo evitarás
infecciones por muchas variantes de ransomware, y también infecciones de malware en
general.

 Deshabilitar RDP cuando no sea necesario

El ransomware puede acceder a las máquinas mediante el Protocolo de Escritorio Remoto, que
les permite a terceros obtener acceso a tu equipo en forma remota. Si no se requiere, puede
deshabilitarse para proteger tu máquina del acceso indebido.

 Actualizar el software de dispositivos de escritorio, móviles y de red

Los cibercriminales con frecuencia se basan en software desactualizado con vulnerabilidades

conocidas para usar un exploit e ingresar al sistema. Al gestionar la instalación frecuente de
updates de seguridad es posible incrementar las barreras de protección contra cualquier tipo
de malware.

 Crear políticas de seguridad y comunicarlas a los empleados

La gestión a través de la creación de políticas de seguridad y la generación de los canales de

comunicación para cerciorarse de que los empleados las conozcan y respeten ahorrará muchos
dolores de cabeza evitando infecciones que puedan propagarse con base en el uso de la
Ingeniería Social.

TÉCNICAS DE INVESTIGACIÓN

TIPOS PENALES SOBREVINIENTES

ANÁLISIS DE CASOS