Confilegal
Por qué es necesaria una ley penal especial para combatir la cibercriminalidad y el “ransomware”
Javier Puyol es el socio director de Puyol Abogados, una nueva boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo y las nuevas tecnologías. Confilegal.
Firmas

Por qué es necesaria una ley penal especial para combatir la cibercriminalidad y el “ransomware”

Javier Puyol
16 Julio, 2017

La técnica de usar un virus de computador para retener datos como rehenes ha existido durante décadas, pero ha ganado más notoriedad en los últimos años. El primer virus ransomware conocido, apodado como troyano SIDA, ocurrió en 1989, según Symantec.

El pago demandado en ese entonces fue de 189 dólares.

Al final, no fue exitoso porque pocas personas usaban computadores personales en ese momento e internet era usado sobre todo por científicos y expertos de la tecnología. Los pagos internacionales no eran tampoco tan comunes en ese entonces[i].

Un “ransomware” es un tipo de virus que impide o limita el acceso del usuario a su propio sistema informático.

Esta tipología de virus se caracteriza porque cifra y bloquea los archivos de sus víctimas a las que se solicita un rescate -habitualmente en “bitcoins”, la moneda virtual- a cambio de poder recuperarlos, y es, sin lugar a dudas, uno de los tipos de “malware” más peligrosos en la actualidad.

Debe tenerse presente que un “bitcoin” en estos momentos corresponde aproximadamente a unos 1.600 euros[ii].

Un dato muy significativo que nos afecta mucho, es el que indica que España actualmente es el segundo país del mundo en donde se producen más ciberataques, sólo superado por Estados Unidos.

En este sentido, el 22 por ciento de todos los ataques ocasionados por el “malware” bancario se llevan a cabo en España, frente al 5 por ciento de Alemania o el 1 por ciento  de Rusia.

La dinámica de este tipo de malware determina que proceda a camuflarse dentro de otro archivo apetecible para que el usuario haga click. Por ejemplo, puede ocultarse en documentos adjuntos en e-mails, vídeos de páginas de dudoso origen o, incluso, en actualizaciones de sistema o de programas, a priori, confiables.

Una vez que ha penetrado en el ordenador, el “malware” se activa y provoca el bloqueo de todo el sistema operativo.

España actualmente es el segundo país del mundo en donde se producen más ciberataques, sólo superado por Estados Unidos

En este sentido, tal como señala Computerhoy.com[iii] existen dos tipos de bloqueo: sin y con encriptación.

El primero de ellos es una toma del sistema sin encriptar los datos. Lo normal es que este “malware desactive” el Administrador de tareas, blinda el acceso al registro e infecta el fichero EXPLORER.EXE para que desaparezcan los iconos de escritorio.

Esto te impedirá usar sus programas.

Por otra parte, debe tenerse presente que también está la variante que encripta los datos del disco duro con códigos casi imposibles de descifrar si no conoces la clave. Si la encriptación sólo afecta a archivos del sistema, un antivirus puede recuperar el control reinstalándolos.

Pero si está encriptado todo el sistema operativo o, aún peor, los datos del usuario, la única solución es formatear el disco duro, con la inevitable pérdida de datos.

A continuación, lanza el mensaje de advertencia con la amenaza y el importe del rescate que se ha de pagar para recuperar la información.

Éste se suele enviar al cibercriminal mediante transferencia, llamada o SMS. Para potenciar la incertidumbre y el miedo de la víctima, en ocasiones incluyen en la amenaza la dirección IP, la compañía proveedora de Internet y hasta una fotografía captada desde la “webcam”.

Pago por el secuestro

En muchos casos, aunque el usuario pague el rescate solicitado, no le te devolverán el control del ordenador y tendrá que proceder a formatearlo de nuevo, con la consiguiente pérdida de los archivos y ficheros, de los datos en ellos contenidos, y lo que es más importante, toda la información que el usuario tenía almacenada en los mismos, con los siguientes perjuicios que ello lleva consigo, y exclusivamente de índole o naturaleza puramente económica.

Las modalidades más frecuentes de este malware ransomware, según TicBeat[iv], son entre otros los siguientes:

a). Jigsaw

Tipo de ataque: elimina archivos periódicamente para que la necesidad de pagar un rescate cada vez sea mayor.

Cómo funciona: cada hora que transcurre sin que la víctima pague el rescate, se elimina un archivo cifrado del ordenadores o equipo, haciéndolo irrecuperable, se pague o no por ello. Este malware además elimina un extra de 1.000 archivos cada vez que las víctimas reincidan el equipo y se conectan a Windows.

b). Petya

Tipo de ataque: Cifra unidades enteras de archivos.

Cómo funciona: el “ransomware” Petya cifra la tabla de archivos maestros, que contiene toda la información sobre cómo se asignan los archivos y carpetas en el equipo.

c). Kimcilware

Tipo de ataque: cifra los datos de los servidores web.

Cómo funciona: Kimcilware es un “RansomWeb” porque en lugar de atacar directamente el equipo infecta servidores web a través de vulnerabilidades que encuentra, cifrando las bases de datos y los archivos alojados. De esta manera deja inoperativa la web (por ejemplo, la de empresa) hasta que se pague el rescate.

d). 4. DMA Locker, Locky, Cerber y CryptoFortress

Tipo de ataque: cifran datos en unidades de red, incluso cuando éstas no están almacenadas en una red de acceso local.

Cómo funcionan: todos ellos son ransomware de la misma familia, y lo que hacen es enumerar todas las acciones que se realizan dentro de un protocolo de red abierta SMB (Server Message Block) y cifrarlas. Esto es, desde archivos compartidos, a impresoras y otros dispositivos externos que estén conectados.

e). Maktub

Tipo de ataque: comprime los archivos antes de cifrarlos.

Cómo funcionan: Maktub se distribuye a través de correos spam, con apariencia de archivo adjunto PDF o de editor de texto. Mientras el usuario lo abre, en segundo plano se instala en el equipo, comprimiendo los archivos y cifrándolos. El precio que exige por el rescate suele ser elevado.

f). “Ransomware” en la nube

Tipo de ataque: elimina o sobreescribe las copias de seguridad en la nube.

Cómo funciona: hace tiempo que el entorno “cloud” dejó de ser un lugar seguro para almacenar y compartir archivos e información de valor. Las nuevas versiones de ransomware son capaces de atravesar los sistemas de cloud computing y de archivos compartidos que los hacen susceptibles al ataque.

g). 7. SimpleLocker, Linux.Encoder.1 y KeRanger

Tipo de ataque: acceden a dispositivo para bloquearlo parcial y totalmente.

Cómo funcionan: tres formas de llamar al mismo ransomware, especializado cada uno en un sistema operativo distinto. SimpleLocker escanea la tarjeta SD de modelos con Android en busca de determinados tipos de datos para luego cifrarlos y Linux.Encoder.1 y KeRanger bloquean y cifran los datos instalados en equipos con Linux y macOS, respectivamente.

h). Cerber

Tipo de ataque: emplea el altavoz del ordenador para enviar mensajes de audio a la víctima. Afecta especialmente a los usuarios Windows.

Cómo funciona: este “ransomware” genera un VBScript, titulado “# DECRYPT MY FILES # .vbs”, que permite que el equipo mande mensajes de voz al usuario infectado, pidiéndole el rescate y mandándole amenazas. Está adaptado para trdacudir el mensaje en 12 idiomas.

i). Tox

Tipo de ataque: bloquea y cifra los archivos.

Cómo funciona: es como un “kit de ransomware” para que cada ciberdelincuente diseñe su propia amenaza, personalizada. Estos “packs” se distribuyen en foros de la deep web mediante un sistema de afiliación, ya que cada desarrollador se lleva una comisión por cada infección exitosa. Se distribuye como la mayoría de ransomware, por correo electrónico o descargas fraudulentas y cifra los archivos alojados en el equipo.

Debe destacarse como en muchas ocasiones, el propio usuario cede de forma casi inmediata a la extorsión que se deriva del ransomware, sobre la base del pánico, la vergüenza o el sonrojo, que le provoca el hecho de que terceras personas puedan conocer información o secretos íntimos de la persona almacenados en su ordenador, o simplemente el temor a perder la información que se encuentre bloqueada en sus ordenadores.

Cómo protegerse del “ransomware”

Para protegerse del ransomware lo primero que debe tenerse presente es que es completamente imposible estar seguros al 100 por ciento. El primer consejo que se suele dar es siempre mantener debidamente actualizadas las aplicaciones y también los sistemas operativos.

Ello es especialmente preocupante en aquellos sistemas cuyo software ha sido diseñado a medida, y donde la capacidad de reacción y de establecimiento de medidas de carácter preventivas es mucho más dificultoso, lo que les hace más vulnerables a sufrir daños ante la posibilidad de cualquier ataque que se pueda producir.

Esa primera regla básica se debe complementar con otras medidas también lógicas.

Entre ellas, el uso de algún tipo de antivirus que se actualice y chequee el sistema con regularidad. Aquí los fabricantes de soluciones de seguridad tratan de competir con sus propias alternativas, pero dado que los atacantes renuevan sus técnicas es imposible contar con la garantía total de que una u otra solución nos ayudará a protegernos del todo.

Tampoco estará de más volver a acudir al sentido común, y evitar la descarga de documentos y ficheros sospechosos de remitentes aún más sospechosos, pero como siempre uno de los métodos clave para evitar problemas más adelante es disponer de copias de seguridad o backup de los datos, y aquí nos pueden ayudar tanto los servicios en la nube como sistemas de almacenamiento externo que de hecho no tengamos conectados al ordenador en todo momento, para que no se vean afectados[v].

Se puede afirmar que el “ransomware” es un mal de nuestro tiempo, que ha venido para quedarse, y que hoy en día es imprescindible que todos los que usamos la informática como un elemento vital de nuestra actividad vital y profesional, seamos particulares, o empresas, o incluso las propias administraciones públicas, tomemos suficiente conciencia de la importancia y la gravedad del problema que se nos está suscitando, y adoptemos las decisiones de seguridad precisas para combatir esta nueva lacra de nuestro tiempo, a la que es necesario derrotar no sólo con las medidas adecuadas de todo orden, que impidan que este tipo de prácticas proliferen.

Se hace preciso una actualización del Código Penal, o porque no, incluso o la cibercriminalidad, pues constituye un muevo foco de preocupación, con un grandísimo impacto social y económico, que empieza a tener unas magnitudes desproporcionadas, a las que hay que combatir y erradicar eficazmente desde el Estado de Derecho.

 

[i] Cfr.: PHAM, Sherisse. “¿Qué es un virus ‘ransomware’ y cómo actúa?. CNN 15 de mayo de 2.017

[ii] Cfr.: Ciberataque mundial: “¿Qué es un ataque tipo ‘ransomware’?”. 20 minutos. 27 de junio de 2.017

[iii] En este sentido Computerhoy.com. “¿Qué es ransomware y cómo funciona el secuestro de datos?. 12 de mayo de 2.017.

[iv] TICBEAT,“Los 9 tipos de ransomware más habituales”. 6 de febrero de 2.017.

Citada también por Diagonal Informática.

[v] Cfr.: PASTOR, Javier. “Qué es el ransomware, cómo actúa y como prevenirlo”. XaTaka. 7 de marzo de 2.016

Javier Puyol

Javier Puyol

Javier Puyol es abogado, socio director de Puyol Abogados, magistrado excedente, exletrado del Tribunal Constitucional, exdirector de la Asesoría Jurídica Contenciosa del BBVA, consultor en tecnologías de la información y comunicación, administrador concursal, árbitro y mediador civil y mercantil, profesor universitario y académico de la Real Academia de Jurisprudencia.


Leave a Reply

Be the First to Comment!

avatar
wpDiscuz