Cómo perder todo el trabajo en pocos minutos: CryptoLocker

Gonzalo Castells Ortells. Informático FAAM

Francisco Fernández llegó a la oficina y encendió el ordenador para ponerse a trabajar. Leyó su correo electrónico (nada importante, un mensaje de caducidad de la tarjeta de crédito de la empresa, uno de Correos con instrucciones para recoger un paquete postal y mucho spam).

Se dispuso a abrir un proyecto que tenía a medias, pero a primera vista no lo encontró en la carpeta en la que debería estar. Mirando con más detenimiento, encontró el documento en la carpeta: ya no tenía el icono de Word, por eso le había costado identificarlo. Intentó abrirlo de todas maneras, pero era como si el ordenador no supiera con qué programa abrirlo.

Lo mismo pasaba con el resto de archivos dentro de esa carpeta, Y de cada carpeta que comprobaba. Cada vez más preocupado, no prestó mucha atención a la ventana que se abrió automáticamente:

“¡Sus archivos personales han sido encriptados!”  
Se han encriptado sus archivos importantes en este ordenador: fotos, vídeos, documentos, etc. Aquí hay una lista completa de los archivos encriptados, y personalmente podrá verificarlo.  
La encriptación ha sido producida usando una clave pública única RSA-2048 generada para este ordenador. Para desencriptar los archivos necesitan obtener la clave privada. La única copia de la clave privada, que le permitirá desencriptar los archivos, localizada en un servidor secreto de Internet: el servidor destruirá la llave después de una cantidad de tiempo especificada en esta ventana. Tras eso, nadie nunca podrá restaurar los archivos…  
Para obtener la clave privada para este ordenador, que desencriptará automáticamente los archivos, necesita pagar 100 USD/ 100 EUR / o cantidad similar de dinero en otra divisa.  
Cualquier intento de eliminar o dañar este software tendrá como consecuencia la inmediata destrucción de la clave privada por el servidor”  

Francisco Fernández había perdido todo el trabajo de los últimos diez años. El email que había leído a primera hora, informándole de cómo recoger el paquete postal de la oficina de Correos le había contagiado un peligroso virus informático.

CryptoLocker

El archivo que Correos le había enviado por email con las instrucciones de recogida del paquete era en realidad un peliigroso virus llamado CryptoLocker (evidentemente, el remitente no era Correos sino un pirata haciéndose pasar por ellos). Durante los últimos dos años ha causado pérdidas millonarias en empresas de todo el mundo, encriptando todos los archivos importantes de sus ordenadores para volverlos inservibles y pidiendo entre 300 y 500 € para recuperarlos.

A todos los efectos, el pirata está secuestrando nuestros datos y pidiendo un rescate para liberarlos: por esta razón, este tipo de virus se conoce como Ransomware (software de rescate). El pago de este rescate se realiza en bitcoin, una moneda virtual pero con valor real y que hace imposible rastrear la operación para dar con el destinatario de la transferencia.

Este virus puede afectar a todos los dispositivos a los que tenga acceso desde el ordenador (discos duros externos, etc.). Por tanto, es mucho más peligroso en una red de ordenadores, como las que se utilizan en la mayoría de lugares de trabajo, dado que los daños no se limitarían a los datos alojados en el ordenador propio.

¿Qué significa encriptar?

A muchos de nosotros, cuando aún estudiábamos en el colegio, nos ha pillado el profesor mandando una nota doblada que pasaba de mano en mano hasta un compañero/a. Generalmente, el episodio terminaba con el profesor ridiculizando a la persona que enviaba la nota, y de rebote a la destinataria, al leer en voz alta el mensaje ante toda la clase.

El que el profesor interceptara o no nuestro mensaje quedaba fuera de nuestro control. Lo que sí podíamos evitar era que lo entendiera, y por tanto, que pudiera leerlo en voz alta. Para ello utilizábamos un originalísimo código: elegíamos un número (nuestra clave) y sustituíamos cada letra de nuestro mensaje por la resultante de desplazarnos en el alfabeto el número elegido de letras.

Por ejemplo, si la clave elegida es el número 3, la letra A se convertirá en la D en nuestro mensaje cifrado, la B en la E y así sucesivamente. Si la letra del mensaje original es de las últimas del alfabeto, al llegar al final de éste seguiremos contando por el principio. Así, la letra Z se convertiría en la C en nuestro ejemplo, que en una frase completa queda así:

Quiere la boca exhausta vid, kiwi, piña y fugaz jamón.  
Txlhuh od erfd hakdxvwd ylg, nlzl, slñd b ixjdc mdprq.  

Cuando el profesor interceptaba de nuevo la nota, volvía a dejarnos en ridículo, esta vez mayor por creernos más listos que él utilizando este cifrado que pensábamos original. De hecho, es tan poco original que se llama «Cifrado César» ya que Julio César ya lo utilizaba hace más de 2000 años.

Puede que nos resulte útil o divertido comunicarnos de forma que sólo nosotros y la persona con la que hablamos entendamos el mensaje, pero en el mundo digital es casi una constante: cada vez que compramos por internet o consultamos nuestro saldo en el banco online, nuestros datos se envían cifrados (encriptados). De esta manera, una persona que tuviera acceso los mensajes que se envían en nuestra red (man in the middle, el equivalente al profesor en nuestro mensaje anterior) no podría ver nuestro número de tarjeta de crédito o contraseñas. Es importante saber que es muy fácil visualizar el tráfico de una red, por eso no se recomienda realizar compras o transacciones bancarias en páginas que no encripten los datos (los navegadores de internet identifican a las que lo hacen correctamente con un candado junto a la dirección de la página) y mucho menos en redes públicas, como la wifi de un aeropuerto.

El problema, por tanto, no es la encriptación, que en sí es una herramienta útil, sino el uso que hace el virus de ella para extorsionar al propietario de los archivos.

Soluciones

Hay pocas soluciones que permitan prevenir automáticamente la infección por el virus. Es muy difícil para los programas antivirus detectarlo, ya que el Cryptolocker se aprovecha de la inocencia de los usuarios del ordenador. El virus funciona como un genio dentro de una botella: el antivirus sólo tiene acceso a la botella (el archivo adjunto que contiene el virus), que en sí es inofensiva, y no resulta peligroso hasta el «genio» (el virus) convence con engaños a la persona para que le libere. Para entonces ya poco puede hacer el antivirus.

Hasta mediados de 2014 existían programas que permitían recuperar muchos de los archivos encriptados si contábamos también con el archivo original. Estos programas eran capaces de comparar ambos y extraer la clave con la que se había encriptado, clave que luego se aplicaba para desencriptar el resto de archivos infectados. Sin embargo, las nuevas versiones de Cryptolocker son más complejas y potentes, por lo que a día de hoy no se conoce ningún método que permita recuperarlos.

Por tanto la única solución preventiva pasa por concienciar a los usuarios de ordenadores de los peligros que se enfrentan, y la forma de evitar esta y otras amenazas informáticas:

  • Ser muy precavidos con los correos electrónicos que no esperamos, aunque nos lleguen de remitentes conocidos (no hay que olvidar que el pirata se hace pasar por un remitente de confianza, en este caso, el servicio de Correos, pero podría ser cualquier persona de nuestra libreta de direcciones). Extremar esta precaución con los correos que contienen archivos adjuntos.
  • Realizar copias de seguridad frecuentemente, y mantenerlas separadas físicamente del ordenador desde el que se realizan. De esta manera, evitamos perder la copia de seguridad junto con los datos originales en caso de accidente (terremoto, incendio, inundación…), o que el virus afecte al dispositivo en el que la almacenamos.
  • Dependiendo de la importancia de los datos que almacenemos en nuestro ordenador, hay que considerar la opción de contratar a un profesional informático que se encargue de su seguridad y tome las medidas oportunas para su recuperación en caso de infección o accidente.

Pagar la cantidad solicitada no es una solución

Hay que tener en cuenta que en ningún momento tenemos contacto con el pirata ni hay forma de rastrearlo, por lo que aún pagando esa cantidad no hay ninguna garantía de recuperar los archivos encriptados. Es más, al ceder al chantaje estamos financiando al pirata para que desarrolle nuevas versiones más peligrosas del virus (por ejemplo, versiones más difíciles de detectar, que encripten más tipos de archivos o que afecten también a móviles y tablets).

El área de informática de Faam ha llevado a cabo una campaña de información entre los trabajadores de todos sus centros, asociaciones federadas y otros organismos de los que forma parte, como parte de las medidas para evitar la infección por CryptoLocker y otros virus y frenar su propagación.