Tal como lo decía Andrés hace unos días en uno de sus artículos:
“Un par de días antes de finalizar el 2015, algunos facinerosos se tomaron nuestra página web, exigiendo una recompensa a cambio de regresarnos el control de nuestro sitio. Nos negamos a pagar recompensas, pero hemos perdido casi todo nuestro contenido gráfico”
En lo personal, me sentí vulnerado; ya los secuestros no sólo suceden en los taxis, en los aviones sino que ahora han salido del entorno físico para llegar al nivel de software. Ahora los criminales pueden llegar a tener el descaro de pedir un rescate por devolver algo que, por derecho, le corresponde únicamente a su legitimo dueño que, en este caso, es el extorsionado o, en su defecto, a la familia, socios o amigos del mismo.
Los primeros casos del Ransomware o secuestro se daban a nivel de computadores personales PCs y SmartPhones, en donde los criminales secuestraban la terminal bloqueando las opciones de uso, hasta cuando el operador del ordenador terminaba por pagarle la exigencia al terrorista informático. Ahora bien; para recibir el rescate los delincuentes se valen de bonos de recarga, sistemas de envío de divisas en línea como Bitcoins y opciones similares (medios que son difíciles de rastrear).
Señor lector si el caso anterior era un poco tenebroso, ahora imagínese que ya los delincuentes no vayan tras los datos de una persona sino de una empresa. Así, pues, el blanco ya no son los PCs sino los servidores basados en Linux y el medio para infiltrarse son las vulnerabilidades conocidas en los plugins o en el software utilizado por el webmaster.
Una vez el sitio ha sido vulnerado, lo que buscan los piratas informáticos es apoderarse de los componentes como imágenes y otros medios del sitio (pertenecientes a las rutas del home, root, MySQL, Apache, git, svn, webapp, www, public_html, backup y extensiones como: .JS, .CSS, .properties, .XML, .ruby, .PHP, .HTML, .GZ, ASP, RAR, .7Z, .XLS, .PDF, .DOC, .AVI, .MOV, .PNG, y .JPG.) para posteriormente proceder a cifrarlos (usando un algoritmo del tipo RSA AES de 2048 bits y cambiando las extensiones a “.encrypt”) y borrar los archivos originales para pedir a su administrador el pago de un rescate.
Por lo mismo, los usuarios deben ser muy precavidos y tener en cuenta las siguientes recomendaciones de empresas como ESET, Kaspersky y otras, para evitar situaciones lamentables:
- Hacer back-up periódico de los datos en otro servidor: De tal forma que si el “Cryptolocker”, llega a cifrar los archivos del servidor, la compañía tenga un backup externo y, ojalá diario, para restaurar la información crítica,
- Contar con una solución de seguridad: antivirus, un firewall, protocolos y procesos de seguridad adecuados para filtrar las amenazas o conductas sospechosas.
Es importante aclarar que, más allá de ir a pagar un rescate, dando lugar así a que se fomente la actividad criminal, lo importante es tener en cuenta lo que dice el refrán: “es mejor prevenir que tener que lamentar!”.
Ahora bien, a nivel de TECHcetera, invito a los lectores a reflexionar y comentar (a través del Blog o las redes sociales) acerca de:
- Han sido víctimas a nivel personal o empresarial del Ramsomware?
- Cómo han resuelto el problema?
- Tienen dudas al respecto?
jajaja lo siento, pero creo que eligieron mal el asesoramiento al crear la página, esa conclusión del titulo es un “estándar” desde hace años. Pero bueno, lo importante es que ya aprendieron y cogieron experiencia 😛
De acuerdo, lo que si es nuevo es el Ransomware o secuestro a nivel de servidores Linux.
Mi humilde recomendación es que busque llegar a los delincuentes, conozco casos de éxito en que los ingenieros de Kaspersky Lab llegan a ellos y los pueden judicializar.