Menu
in

ImageGate: Una imagen JPG que te infecta con ransomware

Si en estos últimos días has recibido imágenes inesperadas a través de plataformas como Facebook o LinkedIn, lo mejor que puedes hacer es ignorarlas por completo. De acuerdo a la compañía de seguridad Check Point, una nueva campaña de ransomware busca infectar a los usuarios utilizando un método muy particular, que es camuflar el paquete malicioso con una imagen JPG. Todo parece indicar que el ransomware es una variante del conocido Locky, que ya hizo de las suyas a principios de este año.

2016 ha sido sin lugar a dudas el año del ransomware. Sus desarrolladores confirmaron que esta mecánica de secuestrar datos funciona muy bien, demostrando una efectividad superior cuando se ataca a lugares específicos, como por ejemplo hospitales o agencias gubernamentales. Ante la posibilidad de perder información permanentemente, las víctimas optan por pagar el rescate y tomar medidas después, pero con cada éxito, el ransomware se vuelve más complejo. Lo perturbador de esto es que los responsables sólo deben modificar ransomware existente para mantener la rueda en movimiento. En febrero último, el Centro Médico Presbiteriano de Hollywood pagó el equivalente a 17 mil dólares en bitcoins, liberando a su infraestructura del ransomware llamado Locky. La presencia de Locky disminuyó mucho a partir de junio, pero si nos guiamos por el nuevo informe de Check Point, ha regresado de una forma muy interesante.

Tal y como es costumbre, Check Point decidió bautizar a la campaña con el nombre ImageGate. Básicamente se trata de un nuevo vector de ataque que cubre al ransomware bajo la apariencia de una imagen compartida en redes sociales (con Facebook a la cabeza) y otras plataformas (LinkedIn también fue mencionada). En este punto es cuando el desconocimiento del usuario juega en su contra. Al hacer clic sobre el enlace de la imagen, lo que se descarga en realidad es un archivo con extensiones SVG, JS o HTA, y en un típico caso de «la curiosidad mató al gato», hacer doble clic sobre ese archivo automáticamente dispara a Locky. Todos estamos de acuerdo en que son demasiados errores encadenados por parte del usuario, pero es evidente que la campaña funciona.

Hasta que los servicios en línea no implementen las protecciones necesarias para impedir que bichos como Locky afecten a millones de usuarios, la primera línea de defensa no es otra más que el sentido común. En primer lugar nadie debería hacer clic en un enlace no solicitado, aún si el contacto es de confianza (preguntar antes de qué se trata es una buena idea). Y si por alguna razón hacen clic, es crítico ver de cerca la extensión del archivo. Como siempre: Ante la duda, no.

Escrito por Lisandro Pardo

Leave a Reply