Llega casi sin avisar y, de la noche a la mañana, ya no tienes acceso a tu ordenador. Todo lo que ves cuando intentas acceder a él es un mensaje que explica fríamente que tu ordenador ha sido secuestrado, y que tienes que pagar una cantidad de dinero –ransom, rescate– para recuperarlo. Esta lacra tiene nombre propio –ransomware–, y es el ciberenemigo número uno para millones de pymes.
Los ataques con estos tipos de softwares son muy comunes y afectan a todo tipo de víctimas. Personas, empresas e incluso instituciones públicas, como el muy reciente ataque que sufrió el Hospital de Torrejón de la Comunidad de Madrid, que bloqueó sus sistemas informáticos. Lo mismo les ocurrió al Ayuntamiento de Jerez, a la Cadena SER y a Prosegur en los últimos meses del pasado 2019. ¿Estaban estas instituciones y empresas en el punto de mira de los ciberdelincuentes o más bien fueron víctimas aleatorias? No hay una respuesta clara para esto, pero lo que sí se sabe es que la inmensa mayoría de los ataques de ransomware son masivos, indiscriminados y automatizados, así que cualquier ordenador puede ser una víctima.
Cualquier ordenador puede ser una víctima de este tipo de ataque, pero para que efectivamente funcione un ataque de ransomware hacen falta tres requisitos. Primero, un malware o software malicioso, que es el programa que va a bloquear el ordenador. Segundo, la oportunidad de que ese malware entre en el sistema. Y tercero, la circunstancia favorable para que ese malware se active. Si falta cualquiera de esos tres elementos, el ataque ransomware no se producirá.
Vayamos por orden. Puede parecer que la clave de ese trío maligno (malware, entrada y activación) es el software malicioso, pero lo cierto es que no. El mundo digital está plagado de virus y malware de todo tipo. Los encontramos en Internet, en nuestros ordenadores, en las memorias USB, en los móviles, en las smart tv, en los firmware de los aparatos electrónicos de todo tipo como módems, cámaras web, impresoras, semáforos… Como si de virus y bacterias reales se tratara, estas amenazas están en todos lados. Pero, al igual que sucede en la vida real que no salimos a la calle y enfermamos automáticamente, en el mundo digital ocurre algo parecido: existen barreras de seguridad y vacunas (las actualizaciones) que mantienen nuestros equipos a salvo de esas amenazas.
El problema viene cuando desconectamos esas barreras o no nos vacunamos a tiempo. Cuando la seguridad baja es cuando un malware puede entrar en nuestro ordenador (la entrada); cuando el equipo no está vacunado es cuando se produce la circunstancia para que el malware se active y secuestre nuestro ordenador (la activación). Si se dan esos dos elementos (entrada y activación), sólo hace falta el malware para que se produzca el ataque.
A estas alturas ya deberíamos haber asumido que hay malware de todo tipo flotando en el mundo digital, esperando entrar en nuestros ordenadores. ¿Cómo consiguen estos archivos llegar a nuestros equipos? Hay varias formas de entrada, pero, tristemente, la mayoría de las veces somos los usuarios de los equipos quienes solemos dejar la puerta abierta para que estas amenazas pasen y hagan sus destrozos.
Hablemos de correos inesperados. "Esperas recibir un paquete y no llega, pincha en el enlace para solucionar la incidencia". "¡Alguien ha accedido a tu cuenta de una plataforma de streaming y debes cambiar urgentemente tu contraseña! Haz clic en el enlace (¡urgentemente!) y genera un nuevo password". "El archivo que esperabas recibir de tu compañera de trabajo ya está online, descárgalo cuanto antes porque sólo estará operativo durante dos horas".
Todos los casos anteriores son ficticios. Ni esperas un paquete, ni alguien ha accedido a tu cuenta y ve películas sin tu permiso ni tus compañeros de trabajo te mandan archivos a tu correo personal (o no deberían si hacen un uso seguro de sus equipos profesionales). Son fórmulas que utilizan los ciberdelincuentes para que hagas clic en un enlace y descargues, sin saberlo, el malware que va a bloquear tu ordenador. Y muchas veces funciona.
A veces la estratagema para colar ese malware en tu ordenador no está tan clara como un correo en el que tienes que hacer clic en un enlace. Esa descarga desconocida puede producirse porque haces clic en un banner que creías que te llevaría a una noticia real y resulta que sólo te lleva a una página que ya no existe pero que permite que descargues secretamente ese archivo malicioso. O te bajas un archivo que está infectado; puede ser un archivo comprimido o incluso un documento de Office que esté internamente vinculado a otro, el archivo maligno. Las fórmulas son variadas pero el objetivo es siempre el mismo: que el malware llegue a tu ordenador.
La gran pregunta: ¿Cómo sé cuándo mi ordenador es víctima de un ransomware? Aquí no hay duda posible: un mensaje seco y certero te dirá que tu ordenador ha sido secuestrado y te pedirá que ingreses cierta cantidad de dinero en una cuenta, normalmente en criptomonedas, para recuperarlo.
En realidad, no es posible blindarse completamente contra un ciberataque, y esto es así porque los ciberataques modernos son masivos, indiscriminados y están automatizados. Imagina una larguísima hilera de coches y un caco que fuera probando a ver si da con alguna puerta abierta. Que probara esta estratagema 24 horas al día, que no parara nunca. Y ahora no pienses en un solo caco, piensa en millones de ellos, que multiplicaran por cien el número de coches que pudieran ser robados.
Y piensa también que se pudiera acceder al interior de los coches no sólo a través de una puerta abierta, sino también por el maletero o por el techo solar; es más añade que existieran coches cuyas puertas pudieran desbloquearse con un botón oculto, algo que el dueño del coche desconoce pero que sí saben los cacos. Es poco probable que este ejército masivo de cacos superinformados no diera con algún coche abierto, ¿verdad?
Pues con los ciberataques ocurre algo parecido: hay programas que se dedican 24/7 a tantear ordenadores a ver si tienen una puerta abierta, y muchas veces estas puertas abiertas no lo están porque los usuarios se las hayan dejado así, sino porque tienen instalados programas y apps que, por fallos o despistes de sus programadores, ofrecen formas de entrada a los cibercacos.
¿Significa esto que tarde o temprano sufriremos un ciberataque? No. Si bien no es posible blindarse al 100%, sí lo es protegerse a un nivel suficiente como para que haya muy pocas posibilidades de que ataquen nuestros equipos.
El sentido común es la mejor defensa, junto con tener todos los programas y apps actualizados. El equipo informático o el experto de tu empresa será quien se encargue de que todo el software funcione con la última versión, además de implementar cortafuegos y barreras digitales para reforzar la seguridad. Pero de la primera defensa, la del sentido común, sólo puedes ocuparte tú.
Y casi siempre es fácil. Para empezar, desconfía de todos los correos, mensajes de Facebook, Twitter, WhatsApp, SMS, etc. que te pidan hacer clic, especialmente si abordan temas tan comunes como la pérdida de un paquete postal, actualizar los datos de tu cuenta corriente o cambiar tu contraseña de alguna red social. Esto también incluye mensajes de personas que conoces.
Antes de hacer clic en un correo, haz memoria y pregúntate si esperas recibir un paquete o si tienes cuenta en ese canal de streaming que acaba de escribirte para decirte que han suplantado tu identidad. Si efectivamente estás a la espera de algo o tienes cuenta en ese canal, escribe directamente a esas empresas, no respondas al correo. Tampoco viene mal hacer una búsqueda en Internet sobre ese asunto, a ver si hay más personas que han recibido un correo parecido.
Decíamos en el párrafo anterior que casi siempre es fácil que se active la bombilla de Alerta. Pero a veces puedes no ver venir la estratagema: puedes visitar una web maliciosa o descargar un archivo infectado desde una fuente lícita. En estos casos, antivirus, siempre. Y para la navegación por Internet, mejor con exploradores siempre actualizados y en sesiones privadas. Y consulta a la persona encargada de la seguridad informática de tu empresa.
Hacer copias de seguridad forma parte de las estrategias básicas para evitar sufrir un ataque de ransomware, pero queríamos que tuvieran su propio espacio porque son esenciales. Las actualizaciones y el sentido común son las mejores herramientas para evitar la entrada y activación del malware, pero incluso aunque sentido común y actualizaciones fallen, todavía quedará una última línea de defensa contra el ransomware.
Como dijimos más arriba, los ciberdelincuentes rara vez buscan objetivos concretos, sino que van llamando a las puertas de todos los ordenadores posibles esperando entrar en el sistema, bien porque el ordenador no esté actualizado y haya una puerta trasera con la que colar el malware, bien porque sea el propio usuario el que, haciendo clic en un correo, instale sin saberlo el malware. Es una técnica masiva. Si pica un 1% de las potenciales víctimas, que son millones, el esfuerzo habrá valido la pena.
Salvo en un caso. Que la víctima del ransomware tenga una copia de seguridad actualizada y operativa. En una situación así, cuando el cibercaco le pida el rescate a cambio de sus datos, esta persona puede cerrar tranquilamente el ordenador, avisar al equipo de informática para que se ocupe del tema, denunciar el caso al grupo de delitos telemáticos de la Guardia Civil y seguir trabajando desde otro equipo offline que tenga operativa una copia de seguridad.
Eso sí, las copias de seguridad no deben hacerse a la ligera: tienen que ser más de una, tienen que estar separadas por varios días (puede ocurrir que la última copia de seguridad también esté infectada) y tienen que guardarse en soportes offline, en ningún caso conectados al ordenador central (porque de estarlo, también podrían quedar inservibles).
Que un ataque ransomware provoque una calamidad depende directamente de lo que hemos contado en el apartado anterior: si hay copias de seguridad, será una sorpresa muy desagradable y relativamente costosa, pero su solución será cuestión de tiempo; si no hay una copia de seguridad del contenido del ordenador secuestrado, entonces la situación será mucho peor.
La gran pregunta es: ¿debo pagar? Las autoridades dicen que no y recuerdan que quienes están detrás de estos ataques son delincuentes profesionales. Explican que pagar no asegura que efectivamente se vaya a recuperar el contenido secuestrado, pues el pago puede animar a los cibercacos a sacar una tajada mayor, bien porque no devuelvan el contenido y pidan un rescate mayor, bien porque efectivamente liberen el contenido bloqueado, pero vuelvan al mes siguiente para un nuevo secuestro.
Así que la recomendación oficial es que no se pague. Naturalmente, es fácil decir esto si se tiene una copia de seguridad que permita volver a trabajar. Pero ¿puede una tienda de zapatos seguir funcionando si su software de gestión de almacenes es secuestrado? ¿Y un despacho de abogados que no guarda copia de seguridad de los casos en los que trabaja? ¿Y una empresa que trabaje telemáticamente? Es una decisión difícil.
Para evitar encontrarse ante la tesitura de que pagar sea la única forma de recuperar lo necesario para seguir trabajando, lo ideal es que la protección esté activada antes de sufrir el ataque. La prevención es fundamental: hay que hacer copias de seguridad y evitar hacer clics en correos que te pidan hacer clic. Y también es importante la concienciación de que es indispensable que los equipos estén actualizados. La estadística está del lado de los ciberdelincuentes, pero son los usuarios y las usuarias de los equipos quienes pueden darle la vuelta a los números hacer que el riesgo de sufrir un ataque se acerque a cero.