Más de diez empresas segovianas, la mayor parte de ellas pequeñas, han sufrido extorsiones a través de Internet tras recibir ‘malware’ y ver cifrados los archivos de sus sistemas informáticos, que quedaron inutilizados tras infectarse.
Los ataques se han producido sobre todo en el último mes, y han afectado a empresas Segovia capital, pero también de la provincia, como Ayllón. Igualmente han atacado a organismos públicos. Se sospecha, igualmente que no todas las empresas hayan denunciado ciberataques.
El procedimiento se inicia cuando un empleado de una empresa recibe un correo electrónico procedente de lo que podría entenderse como un organismo público conocido y, al seguir las instrucciones que se dan en el mensaje, recibe un aviso en la pantalla que anuncia que le han cifrado todos los archivos del sistema operativo y de la copia de seguridad.
Efectivamente, la empresa comprueba que esto ha sucedido y que no tiene solución, por lo que desde la página inicial el estafador le da instrucciones para conseguir el descifrado del equipo. Normalmente los ‘hackers’ indican a la empresa que tiene que realizar un pago electrónico para solucionar el problema por valor de entre 200 a 500 euros y le señalan en qué páginas puede realizarlo.
Una vez realizada la transferencia, la compañía recibe una comunicación que dice que el proceso de restauración de archivos durará unas horas; resultando finalmente que la recuperación de los ficheros es prácticamente inviable debido a que la clave privada introducida nunca abandonará totalmente el servidor de control.
En estos casos lo que utilizan los estafadores informáticos es un ‘ransomware’, un programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado. A cambio de quitar esa restricción, pide un rescate. Algunos tipos de ‘ransomware’ cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.
Según informa la Subdelegación del Gobierno, y aunque inicialmente este tipo de virus estaba limitado a determinados países de Europa del Este, en los últimos años la proliferación de ‘ransomware’ ha ido en aumento como consecuencia de las grandes sumas de dinero que reporta a los atacantes.
El conocido como ‘virus de la policía’, que tuvo bastante repercusión en España durante los años 2011 y 2012, fue un ejemplo de este tipo de ‘ransomware’.
En los últimos años, las acciones dañinas de este tipo de ‘malware’ han ido evolucionando dando lugar a una nueva generación, denominada ‘file encryptor’, cuyo principal objetivo es cifrar la mayoría de documentos del equipo. En este caso, la principal herramienta de extorsión será el pago de cierta cantidad de dinero a cambio de la clave que permitiría recuperar los ficheros originales.
El ‘ransomware’ tiene un único propósito, que es obtener dinero de forma inmediata. La vía de infección más utilizada es el uso de mensajes de ‘spam/phishing’.
De este modo, el uso de mensajes de ‘spam’ o de ‘phishing’ unidos a la ingeniería social, para que el usuario ejecute el fichero adjunto, o bien acceda a determinada URL, serán las técnicas más habituales para conseguir ejecutar el código dañino en el equipo del usuario. También existen otros casos, menos elaborados, en los que los mensajes de correo contienen directamente como adjunto el propio fichero dañino. El método de pago consistirá generalmente en sistemas de pago electrónico (Ukash, Paysafecard, MoneyPak), por medio de SMS Premium o mediante Bitcoins.
En Segovia, el Grupo EDITE, comenzó a funcionar a primeros de 2013 para investigar los delitos relacionados con la delincuencia informática. Es la unidad encargada de resolver todos los delitos informáticos y tecnológicos que se produzca en la provincia. Y en el caso de los casos que se registren en la ciudad de Segovia de Segovia, son investigados por la Policía Nacional.
