En las últimas semanas se ha incrementado los ciberataques producidos de ransomware, que lo que hace es secuentrar (encriptando los archivos de los equipos informáticos) la información que tiene una empresa o administración en sus dispositivos digitales y piden a cambio el pago de una cantidad de dinero que en muchos casos es a través del pago de criptomonedas.

Una de la últimas «víctimas» ha sido la Universidad Autnónoma de Barcelona. La universidad lleva semanas intentando recuperarse de un virus ransomware que bloqueó los sistemas internos y obligó a revisar unos 10.000 ordenadores portátiles para comprobar si han sido afectados. En concreto, el malware utilizado contra la infraestructura informática de la Universidad Autnónoma de Barcelona se denomina PYSA, siglas en inglés de Protect YourSelf Amigo (en inglés significa Protégete, amigo).

Este virus encripta los archivos con un algoritmo complejo que imposibilita su descifrado a menos que se abone el rescate. Los atacantes del centro académico dejaron un archivo de texto simple en que proporcionaron las instrucciones de contacto. Ahora, casi un mes después de la incursión, han dado un paso más para presionar a la institución.

Otras de los afectados por este tipo de ciberdelitos ha sido la Diputación de Orense. La Diputación de Ourense sufrió en noviembre del año 2019 un ataque informático que tuvo como resultado el robo de 169.999,24 € . La institución provincial intenta recuperar ese dinero de forma íntegra y, para tratar de lograrlo, ha presentado una denuncia. El Juzgado de instrucción número uno de Ourense ha abierto diligencias, de las que se está encargando la policía judicial.

Gracias a las diligencias que abrió el juzgado canario de Telde que asumió el caso, la institución provincial logró recuperar 69.402,52 euros. El problema es que no es fácil seguir el rastro del dinero, que llegó a aparecer, en parte, en Estonia.

¿Qué es el ransomware?

El ransomware es un tipo de malware que se introduce en los equipos y dispositivos móviles impidiendo el acceso a la información, generalmente cifrándola, y solicitando un rescate (ransom, en inglés) para que vuelva a ser accesible. Después de la infección inicial, el malware intentará propagarse al resto de los sistemas conectados a la red, incluyendo unidades de almacenamiento compartidas.

¿Cómo se produce la infección?

En la mayoría de los casos la infección se produce por:

  • Correos electrónicos que utilizan la ingeniería social para que la víctima descargue adjuntos infectados o acceda a un sitio web malicioso a través de un enlace.
  • Ataques usando el protocolo de escritorio remoto (RDP), ya sea aprovechando alguna vulnerabilidad en el sistema o con ataques de fuerza bruta.
  • Vulnerabilidades de servicios expuestos a internet (FTP, SSH, TELNET, etc.).
  • Vulnerabilidades en los sistemas operativos y en navegadores que facilitan la infección al visitar sitios fraudulentos.
  • Dispositivos externos infectados que se conectan a los equipos corporativos.
  • Por medio de otro malware que previamente ha entrado en nuestro dispositivo, como por ejemplo en el caso de Emotet.