martes, 29 de marzo de 2016

Locky, el virus que encriptó una década de mi vida

Seguro que os habrán contado historias de gente que, afectados por un virus informático, han perdido determinada información valiosa, documentos de extrema valía personal o material fotográfico de un largo periplo de su vida. A estas alturas, permanecemos ajenos a estos dramas con la constante advertencia de un posible contagio que dé al traste con aquello que guardamos en nuestro ordenador o dispositivo informático. Cuando uno lo vive en primera persona no deja de lamentarse y de pensar en pluscuamperfecto con el temido “si hubiera…”, signo de que bajamos la guardia pensando que somos cautos a la hora de proteger nuestros datos y documentos.
La verdad es que nunca es suficiente la alerta en este tipo de imprevistos. Ni siquiera con varias copias de seguridad instaladas en otros discos duros externos. Hace un par de semanas un virus llamado Locky entró en el hardware de mi ordenador y en menos de quince minutos fue capaz de encriptar años de textos y archivos con una rapidez fulminante. Había cifrado guiones, artículos, ideas, bocetos, ensayos, relatos, documentos personales de gran valor sentimental… eso tan terrible que se escucha de vez en cuando, pero instalado en mis archivos. La rapidez de reacción hizo que el virus no encriptara la totalidad de todos los archivos.
¿Qué es Locky? Pues un virus que entra a través de un correo electrónico que contiene un archivo adjunto comprimido y que es, en realidad, un programa malicioso. En este caso, advertía sobre la revisión de un envío postal, algo que hace dudar debido a la actividad de compras en diversas tiendas on-line. Con un encabezado que sugería la información sobre un envío, el texto rezaba lo siguiente: “Estimado cliente. Su pedido será enviado en breve, le pedimos disculpas por los inconvenientes. Por favor, revise la factura en el archivo adjunto para comprobar que es todo correcto”. Y casi sin querer, uno cae en la trampa, máxime si se espera la llegada de alguna compra.
Con el doble click se activó un protocolo de macros que descargaron el virus bloqueador en el sistema. La empresa de seguridad estadounidense Trustwave, través de su blog Spiderlabs, ya avisaba hace poco del grado nocivo de este virus: “Se han emitido cuatro millones de mensajes de ‘spam’ con este malware en los últimos siete días. 200.000 emails en sólo una hora. Esta categoría de malware representa en su conjunto el 18% del total de spam que llega a nuestras bandejas de entrada”. Resulta, además, que este virus proviene de la misma ‘botnet’ que hace un tiempo estuvo infectando miles de sistemas con otro malware llamado Dridex o Bugat para robar dinero de las cuentas bancarias de usuarios y entidades de todo el mundo. Se trata de virus denominados ‘ransomeware’ y su poder de búsqueda es tan potente que en poco tiempo puede cifrar más de 160 tipos de archivos distintos, incluyendo discos duros, códigos fuente y bases de datos.
Bajo un código polimórfico que puede variar su funcionamiento según opera con una estructura de firmas, el virus tiene como objetivo codificar los archivos mediante un cifrado AES, lo que impide al usuario el acceso a la información guardada. Es así como Locky cambia el nombre y la extensión de todo archivo original que encuentra a su paso, sustituyéndolos por otros cifrados de cada uno de los archivos de los discos HDD o SSD pertinentes. Una vez que el virus ha hecho su trabajo, se autodestruye. El objetivo de los ‘hackers’ no es otro que secuestrar los archivos de sus víctimas para pedir un rescate por ellos. En todas las carpetas en las que el virus ha operado se instala un documento de texto con las indicaciones específicas para recuperar la información. En él se pide dinero en forma de ‘bitcoins’, una criptodivisa creada por Satoshi Nakamoto en 2009 ajena a bancos y gobiernos.
Cada una de estas monedas virtuales cuesta 372 euros (415 dólares) y los ciberdelincuentes exigen un pago indefinido de este dinero electrónico por una clave que supuestamente permite abrir y recobrar los archivos cifrados. A un usuario normal le cobran entre medio y dos ‘bitcoins’. Sin embargo, según la NBC, “al Centro Médico Presbiteriano de Hollywood, infectado por Locky el pasado febrero, los atacantes pidieron 9.000 ‘bitcoins’ por valor de 3,7 millones de dólares para desencriptar todas sus bases de datos”. Con esta forma de extorsión, los delincuentes están trazando un plan estratégico que se extiende por todo el mundo con 4.000 nuevos casos de infección por hora, llegando a los 100.000 por día.
Desagraciadamente, los afectados por Locky no podremos recuperar los archivos encriptados por el momento. Y si es que hay una futura solución, parece que no será pronto. Existen, por tanto, tres únicas opciones.
  1. La primera es ceder al chantaje y pagar los ‘bitcoins’, algo que desaconsejan rotundamente por evitar dar continuidad a estos delitos y sufragar así el desarrollo de este tipo de software. Eso, y que nadie garantiza que todos los archivos se restauren.
  2. Otra es que una empresa de recuperación de datos intenté reestablecer la información. Aunque desde Clínica de Datos ya avisan sobre la complejidad de este proceso: “al tratarse de un virus nuevo requiere algo de tiempo, siendo este virus tan agresivo que difiere del malware tradicional en que es capaz de mutar de cifrado para que se imposible acceder a ellos si no es por medio de la clave del hacker”. Sabemos que este método de recuperación también es muy elevado, aunque fiable.
  3. La última es esperar a que, pasado un largo periodo, se pueda descifrar la encriptación y poder recuperar los datos. Es recomendable, por tanto, guardar todos esos archivos con la extensión del virus aguardando una buena noticia por si acaso.
Respecto a esta última alternativa, para algunos miembros del conocido ForoSpyware, fundado por Marcelo Rivero, si Locky ha irrumpido en tu sistema “corres el riesgo de perderlos para siempre y es probable que si te ha afectado de un modo íntegro, tengas que formatear el PC y comenzar desde cero”. Sin embargo, el experto en seguridad informática Juan Carlos Castro Ortiz abre un resquicio a la esperanza asegurando que “es posible que se descifre el patrón de firmas que usan para encriptar y desencriptar, por lo que a medio-largo plazo se pueda recuperar la información”.
La mayoría de software de seguridad de hoy en día no puede proteger en su totalidad los sistemas informáticos de este tipo de virus ‘ransomeware’. Hay que andarse con mucho ojo. Por cierto, los que defendían la idea de que los ordenadores Mac y su gama Apple eran infranqueables a este tipo de virus, deben saber que el destructivo Locky ha logrado transgredir ese férreo muro, como lo ha hecho con Windows, OS X o Linux. “En España (señala Castro Ortiz) no existe una campaña activa de Locky por el momento. En Francia, por ejemplo, ha sido distribuido haciéndose pasar por un correo que incluía una supuesta factura adjunta de uno de los principales operadores de telefonía de internet. Esto sí es una campaña de distribución activa que multiplica el número de infectados de forma increíble”. También señala que “de momento, el número de infecciones es "bajo" y "tolerable", teniendo en cuenta que el número de contagios es escaso debido a la taxonomía del correo, que se encuentra en inglés y bajo un remitente no familiar de la víctima”.
Pero ojo a esto último. En mi caso el texto estaba en castellano, por lo que el temor que suscita este ‘ransomware’ de que en nuestro país se difunda bajo el nombre del algún operador de telefonía, agencia de mensajería y logística o multinacional de gran calado popular no es tan descabellado.
Finalmente a uno no le queda más remedio que asumir el error de abrir el e-mail y aprender una dolorosa lección que a buen seguro no volverá a suceder. No se trata de asustar a nadie, sino de crear una conciencia colectiva sobre los riesgos de este tipo de ataques informáticos. La semana pasada fui yo, pero mañana podríais ser cualquiera de vosotros. La opción más segura y eficaz de cara a este problema sigue siendo no descargar ningún archivo adjunto sin haberlo escaneado con un buen antivirus, evitar enlaces extraños y, sobre todo, no abrir correos de desconocidos. Tampoco estaría de más habilitar la funcionalidad de control de cambios de Microsoft Office y deshabilitar los macros de forma predeterminada. Con ello, sólo espero que mi pérdida de diez años de textos sirva de aviso a otros que estén a tiempo de salvaguardar sus archivos y documentos.