La pyme de Pontevedra, en el punto de mira de los nuevos ciberdelincuentes

Más de una decena de empresas han sido víctimas del Cryptolocker, un virus de última generación que encripta los archivos informáticos a través de un troyano muy bien enmascarado. Después, los atacantes piden un rescate que oscila entre los 500 y los 6.000 euros. Varias firmas pagaron, pero ninguna de ellas consiguió recuperar sus datos
José Torres, en su despacho de la Comandancia de Pontevedra.
photo_camera José Torres, en su despacho de la Comandancia de Pontevedra.

Varios meses después de que los especialistas en la lucha contra los delitos informáticos de la Guardia Civil y de la Policía Nacional desenmascarasen a los responsables del ‘Virus de la Policía’, la Brigada de Investigación Tecnológica de la Comandancia de Pontevedra ha detectado un nuevo sistema de ciberataque que ya se ha manifestado en la provincia en forma de troyanos que encriptan los datos de pequeñas y de medianas empresas.

Más de una decena de ellas ya han denunciado los hechos ante la Guardia Civil, después de sufrir el ataque del Cryptolocker, cuyo funcionamiento es tan simple como efectivo: un correo electrónico muy bien enmascarado, normalmente con un disfraz que le confiere el aspecto de uno de los contactos habituales de la firma objeto del ataque, oculta un troyano que encripta todos los archivos informáticos de la empresa en cuestión (se ha visto, por ejemplo, un ataque a abogados con un email de supuestos procuradores). La única solución que se les presenta en un primer término es el pago de un rescate que, por los datos que manejan los investigadores hasta el momento, no sirve de nada, al contrario: los ciberdelincuentes urgan más en la herida e infectan todos los equipos que se hallan en su camino.

El Cryptolocker es una evolución del ‘Virus de la Policía’ aunque mucho más difícil de eliminar, según los investigadores

Para conocer a fondo esta nueva modalidad delictiva, este periódico se puso en contacto con una de las personas que más sabe de la materia en Galicia, José Torres, de la Brigada de Investigación Tecnológica de la Comandancia de la Guardia Civil de Pontevedra.

Torres explica que el Cryptolocker ''es un troyano del tipo ransomware, un software desarrollado para inutilizar y secuestrar los equipos informáticos. La información no se destruye a través de este tipo de malware, simplemente permanece en el equipo pero cifrada''.

El investigador, con una dilatada experiencia en la lucha contra el cibercrimen (es uno de los pioneros en el empleo del programa Vicus para la detección de la pornografía infantil en las redes P2P, un sistema que, pese a su relativamente reciente creación, ya ha perdido eficacia ante el avance de las tecnologías), trabaja en hallar una solución para una modalidad delictiva que opera ''a través de un sistema muy complejo, de tal forma que si no tienes la contraseña es prácticamente imposible recuperar la información. Los algoritmos utilizados para el cifrado son sumamente robustos''.

Si no tienes la contraseña es prácticamente imposible recuperar la información. Operan a través de un sistema muy complejo

CAUSAS. Torres revela que los cirberdelincuentes hacen un estudio detallado de sus objetivos potenciales antes de lanzar el Cryptolocker. En algunas ocasiones trataron, con menos éxito, de atacar a grandes empresas. Su principales víctimas son las Pymes porque ''no cuentan con la adecuada protección en sus equipos, de ahí los estragos que están produciendo''.

 La Guardia Civil ya ha detectado que los delincuentes no solo se fijan en las empresas y acechan a particulares

En cuanto a las posibilidades de detectar el origen del malware, el responsable de la Brigada de Investigación Tecnológica explica que ''no es nada fácil, debido a que existen muchos tipos de virus con el mismo objetivo pero técnicamente distintos, es decir, con algoritmos diferentes''.

Los servidores desde los que se produce el ataque del Cryptolocker están alojados en países muy alejados y con una legislación casi inexistente en relación con la criminalidad informática, lo que hace que ''perseguirles sea dificilísimo''.

El experto de la Guardia Civil de Pontevedra subraya que, dadas las circunstancias y las complicaciones que genera este nuevo troyano, la mejor medicina es la prevención. ''La solución es que las Pymes protejan sus archivos mediante cortafuegos (los llamados firewall) y con antivirus'', detalla, al tiempo que aconseja que ''ante todo, se realicen copias de seguridad de la información de forma periódica''.

Se presenta en forma de un correo electrónico que aparentemente envía uno de los contactos habituales de la Pyme objeto del ataque

RESCATE. Respecto a si mediante el pago de un rescate, como exigen los delincuentes, se soluciona el problema, los investigadores ya han constatado en Pontevedra que ''eso no garantiza la recuperación de la información. No olvidemos que estamos tratando con delincuentes. En ocasiones algunos empresarios han accedido al pago del rescate y han recibido un archivo que, en lugar de servir para la recuperación de los datos encriptados, lo que hacía era sustraer la información de la empresa''.

EVOLUCIÓN. Los actuales troyanos empleados para infectar a equipos con el Cryptolocker tienen como precedente el ‘Virus de la Policía’, que ''empezó hace aproximadamente tres o cuatro años. Infectaba el equipo y lo bloqueaba, enviando un mensaje falso en nombre de la Guardia Civil o de la Policía Nacional avisando de que el internauta había cometido un delito (generalmente relacionado con la visita a páginas de pornografía infantil) y que debía pagar una multa de 100 euros. Aquel virus era relativamente fácil de eliminar. No ocurre lo mismo con el Cryptolocker'', explica Torres, al tiempo que advierte de que ''ya hemos detectado algún caso de ataque a particulares''.

Comentarios