¿Qué es un ransomware?

Es un programa informático malintencionado que puede bloquear el acceso a tu ordenador así como dañar tus archivos de trabajo. También afecta los dispositivos USB o discos de red que estén conectados al ordenador. El virus encripta e inhabilita el uso de los archivos y solo se pueden recuperar si se ha hecho previamente una copia de la información. A cambio de poder liberar la protección criptográfica, pide al usuario un rescate económico coaccionándolo con falsos avisos acompañados de un formulario de pago. No se debe hacer nunca este pago. Esta forma de infección se está extendiendo por todo el mundo, y tiene como finalidad financiar otras actividades criminales graves. Por otro lado, nadie asegura que hacer el pago inicial garantice la liberación de los archivos.

¿Cómo se produce la infección?

Estos son algunos de los sistemas de infección más utilizados: 

• Mensajes de Spam o phishing: los mensajes de phishing (suplantación de identidad) tratan de engañar el usuario pidiéndole una serie de datos personales o bien que abra un fichero adjunto, que es el que infectará el ordenador.  
• Código malicioso de otro programa: a través de un tercer programa descargado (como un programa Torrent o similar), que implementa el código malicioso del ransomware.
• Web Exploit / Kits: mediante una página con publicidad (banners) en hacer clic se intenta aprovechar de alguna vulnerabilidad del navegador, o bien de algún conector (plug-in) que tengas instalado y sea vulnerable.
• Contraseñas predecibles o vulnerables: algunos sistemas prueban de conectarse al ordenador que se quiere infectar haciendo servir contraseñas y usuarios genéricos o de fácil deducción. Una vez se ha conectado, instala el programa malicioso.

Medidas básicas de prevención

Como cualquier otro virus, la infección por ransomware se puede evitar siguiendo una serie de pautas básicas de seguridad.  

1. Realizar copias de seguridad periódicas de los datos importantes. Las opciones de hacer dichas copias son: 
   • en la nube: copias en Drive, Dropbox, OneDrive, Mega...
   • en un disco duro externo USB que después se desconecta del ordenador
   • en otro ordenador tener copia de los datos 

2. Mantener el ordenador actualizado, tanto el sistema operativo como las aplicaciones: cada vez que el sistema pida hacer una actualización (Windows Update), hazla, y cuando un programa pida actualizarse (Adobe, Flash...), haz la actualización. 
3. Tener el cortafuegos o firewall de Windows activado.
4. Utiliza el sistema anti­spam de Google, ya que así el sistema de correo identifica la mayoría de correo basura. En caso de que no sea así, es necesario marcar el mensaje fraudulento como spam para ayudar al sistema a aprender a identificar­los.

5. Mostrar las extensiones de los ficheros, porque de esta manera se puede identificar un archivo con doble extensión (por ejemplo “fichero.pdf.exe”) y ver que es un archivo malicioso.

6. Tener activada la opción de Restaurar sistema. Esta opción de Windows permite recuperar el sistema y archivos si han sido infectados. 

Medidas concretas de prevención

Como que los métodos más comunes de infección son los mensajes de spam o phishing, o bien el código malicioso de otro programa, se debe recordar que para poder infectar el ordenador, es imprescindible la interacción del usuario, sea voluntaria o no. Por lo tanto, siguiendo unas pautas de comportamiento adecuadas se pueden evitar estas infecciones. 

1. Sospechar de los mensajes de correo que proceden de un emisor conocido, pero que presentan algunas de las siguientes características: 

• no está correctamente redactado
• presenta importantes faltas de ortografía
• el texto tiene mezclas de idiomas o parece traducido por un programa externo 
• mezcla masculinos y femeninos
• utiliza un estilo que no es propio del emisor 

2. Sospechar de mensajes de correo de empresas que no tienen un vínculo con el destinatario: 

• notificación de envío de un paquete, cuando no se espera ninguno 
• solicitud de pago de una factura 
• invitación a entrar en una cuenta bancaria

3. Sospechar de mensajes sin texto con adjunto. 
4. Sospechar de mensajes que no presenten ningún saludo y solo pida abrir un adjunto. 
5. No abrir ningún adjunto que sea un ejecutable. 
6. Guardar siempre el archivo adjunto y comprobar que el fichero realmente sea correcto (no tiene doble extensión).
7. Navegar por páginas seguras.
8. Utilizar programas bloqueadores de publicidad (adblock, ublock).
9. No descargar software ilegal.
10. A la hora de instalar un programa, leer bien las pantallas que muestra, desmarcando aquello que no te interese o sea sospechoso. 

Procedimiento reactivo una vez se detecta la infección

Si, a pesar de todo, tu ordenador es infectado, se debe actuar de la siguiente manera: 

1. Apagar el ordenador.
2. Contactar con el Servicio de Informática para notificar la infección e informar de la manera más precisa cómo se ha producido dicha infección. 

Como trabajamos en un entorno de red, es muy importante encontrar el foco de infección original, para poder realizar la limpieza y evitar futuras infecciones.

Cómo recuperar los archivos

• Discos de red: el Servicio de Informática restaurará la copia limpia más reciente. 
• Los archivos locales de tu ordenador se pueden restaurar si 
  • tienes una copia de seguridad en un disco que no estaba conectado físicamente en el momento de la infección
  • existe una copia de los ficheros en Dropbox / Drive, ya que estos programas permiten recuperar versiones anteriores de los ficheros, que no estén infectados
  • la opción Restaurar Sistema está activada y configurada correctamente