GurusBlog

Ransomware con pago en Bitcoins. ¿Se puede atrapar a los malos?

Ayer saltaba la noticia que los sistemas de Telefónica y otras muchas empresas y organizaciones en diferentes partes del Mundo habían quedado comprometidos. Aunque la mayoría de los medios lo titularon cómo de un Ciber Ataque Mundial, aunque en  realidad denominar ataque a lo que sucedió ayer no es del todo correcto.

WannaCry nombre del  ransomware que infectó los sistema de Telefónica y de otras compañías no debería considerarse técnicamente cómo un Ciber Ataque. En primer lugar porque este tipus de virus no suelen estar dirigidos contra una empresa u organización concreta y en segundo lugar porque para activarse requieren que el que va a ser infectado realice una determinada acción para activar el rasomware. Si no la realiza el ransomware no se activa.

Pero antes de seguir entrando en materia, vamos a dar un paso atrás y a explicar que es el ransomware. Básicamente, estamos hablando de un programa malicioso ( malware) que bloquea los ordenadores personales y dispositivos móviles –tabletas, teléfonos– o cifra los archivos de los equipos infectados para impedir el acceso al usuario. Los ciberdelincuentes envían un mensaje donde piden una cantidad de dinero (en el caso de Telefónica, 300 dólares en bitcoins) para desbloquear el equipo y recuperar los datos. Este bloqueo no supone una fuga de datos.

Las infecciones de equipos con este tipo de códigos dañinos se dan a través de un correo electrónico que remite a un enlace de una página en internet o al descargar un fichero adjunto, o navegando por la red. Así, se instala el programa que bloquea el equipo. Es decir es el futuro infectado el que tiene que realizar una acción para que el virus se pueda activar. Generalmente una vez activado, el virus se distribuye a los servidores y equipos que conforman la red interna que está infectando.

¿Se puede rastrear a los malos?

Una de las preguntas más habituales que surgen cuando nos hemos visto afectados por un ransomware es si podemos llegar a localizar a los malos que nos enviaron el virus que ha cifrado todos nuestros archivos. Exigen el pago en Bitcoins por lo que aparentemente puede parecer imposible de rastrear el pago que realizamos para rescatar nuestros archivos. Sin embargo esto no es así.

Os dejamos un vídeo de  que nos explica cómo han desarrollado un programa para poder detectar quién partes de la cadena delictiva cobra el rescate que pagamos, hay criminales que crean el virus, otros que los distribuyen y otros que lo compran y lo adaptan a las víctimas de cada país y otros que se dedican a blanquear el dinero recibido. Cada parte de la cadena delictiva recibe una parte del dinero cobrado en los rescates.

El vídeo es interesante por varios motivos. El primero porque da una enorme claridad sobre cómo funcionan estas redes ciber extorsionadoras y las importantes cifras de dinero que mueven, y segundo para entender que aunque los pagos sean en Bitcoins se puede rastrear perfectamente quién esta recibiendo bitcoins cuyo origen tiene un acto ilegal.

Saber más sobre los temas de este Post

Conversación

5 comentarios

  1.    Responder

    Este es el gran problema del Bitcoin, su anonimato se presta para delinquir. Yo trabajo como administrador de servicios online y he visto muchísimos casos de instalación de malware, rasomware y demás en servidores en los que se terminan pidiendo bitcoins para que los creadores lo eliminen. Al igual que ataques DDos que dejan offline sitios webs y luego por correo se pide recompensa para detener el ataque. Montos de 900 bitcoins nos hah pedido, imaginen…

  2.    Responder

    Excelente post, es posible que sea difícil de atraparlos pero se debe de hacer para que no sigan haciendo de las suyas.

  3.    Responder

    Muy dificilmente puedan escapar del espionaje online… la cosa en inetrnet no es fácil si no sabes cubrirte bien

  4.    Responder

    Es increíble que puedas hacer algo por internet sin que te pillen.

  5.    Responder

    Gurú Huky, en este caso es distinto. Es un gusano asociado con un ramsonware. Solo se requiere la acción del paciente 0 conectado en red corporativa, pero luego ya se expande solo a cualquier ordenador vulnerable conectado en la misma red o cualquier otra accesible. Y también hace scaneos al azar de internet para buscar nuevas victimas (puerto tcp/445. Desde la época del conficker no se ha visto algo tan infeccioso.


Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies.

ACEPTAR
Aviso de cookies