Mriano recibió el mensaje con cierto asombro. Un cliente le reclamaba el pago de una factura. Era un mensaje apremiante, y sugería la amenaza de escalar el pedido a sus superiores, en una corporación multinacional. Muy verosímil, aunque no recordaba haber dejado un pago pendiente. Así que le dio doble clic a la factura adjunta. Unos segundos después, apareció en pantalla un cuadrpo de diálogo aterrador, con colores alarmantes (rojo, negro), candados y la malísima noticia de que los delincuentes habían encriptado todos los documentos de su notebook. La notebook que usaba para trabajar. Los documentos que necesitaba para trabajar.
Terminó pagando el equivalente a 500 dólares, en bitcoins, la moneda virtual más usada en Internet. En la actualidad, el pago promedio que se exige por esta clase de rescate supera los 620 dólares.
Así funciona el ransomware, con algunas variantes. En ciertos casos cifran los documentos y piden un rescate (ransom en inglés) a cambio de la contraseña. En otros, amenazan con publicar esos documentos en línea.
Para completar el ataque, los delincuentes echan mano de refinadas técnicas de ingeniería social para convencer al receptor de que le de doble clic al adjunto o que visite un sitio malicioso; éste es actualmente el método más utilizado. Pero también pueden llegar por medio de un pendrive o un mensaje en las redes sociales. Por supuesto, también existen versiones que atacan smartphones, en particular los que usan Android.
En 2016, solo en Estados Unidos, las pérdidas causadas por el ransomware rondó los 1000 millones de dólares.
La historia de Mariano no es excepcional. El ransomware ya está a full en la Argentina y en los últimos dos años he recibido docenas de consultas al respecto. Algunas familias de ransomware ya han sido doblegadas por las compañías de seguridad informática y es posible desencriptar los archivos sin pagar por la contraseña, pero la mejor estrategia es, aparte de no caer en las trampas de ingeniería social, mantener un backup actualizado de los archivos en un medio no conectado a la red, porque el ransomware puede buscar discos de red y atacarlos. Por ejemplo, puede usarse un disco externo.