KISS 2014: Razones para alegrarse – PARTE 3.

“Uno necesita acostumbrarse a la idea de que tiene que separarse de su dinero. Uno necesita estar moralmente desarmado, y sus instintos de propiedad deben suprimirse”.

No, no se trata de Don Draper; es una cita de Ostap Bender, un héroe de una novela clásica de los años 1930 en la literatura rusa. Y no, no tiene relación con el famoso personaje Bender.

Entonces, parece que, curiosamente, el señor Bender sabía un par de cosas sobre el capitalismo, a pesar de ser de un país comunista. Hmmm…

De todas maneras, Bender sabía que a veces es posible forzar a la gente a separarse de su dinero ganado con sacrificio si se los manipula apropiadamente.

Volviendo a la época actual… encontramos este tipo de manipulación vivito y coleando en un contexto moderno, de alta tecnología y cibernético: Hoy en día, la gente está entregando mansamente su dinero a los ciberdelincuentes responsables de los programas bloqueadores, también conocidos como ransomware, que son una forma especialmente engañosa de programas maliciosos. Pero nuestros usuarios de KL no tienen nada que temer, pues la nueva versión de KIS les tiene reservada a los ciberbloqueadores una linda sorpresa, como diría la canción de los Blockheads.

El principio y la tecnología detrás de los programas maliciosos bloqueadores son bastante sencillos.

A través de uno de los varios medios disponibles (por ejemplo, a través de vulnerabilidades de software), un programa malicioso se infiltra en el equipo y muestra una (no) divertida foto con un escalofriante (no con KIS) texto, y bloquea el escritorio y todas las ventanas de los otros programas.

Sólo es posible desbloquear, bueno, lo era (ver debajo) ingresando un código único, que por supuesto, sólo se lo obtiene de los cibermaleantes responsables de infectar el equipo, obviamente a cambio de una suma de dinero a pagar mediante SMS o sistemas de pago online. Mientras no se pague el rescate, el equipo permanece secuestrado, no importa lo que se haga (incluyendo Ctrl+Alt+Del), y cualquiera sea el programa que se intente ejecutar (incluyendo los antivirus), todo lo que la víctima ve es algo parecido a esto:

O esto, para los franceses:

O esto, para los alemanes:

O esto, para los fineses:

O esto, para los rusos:

… O cualquiera de miles de otros bloqueadores de pantallas similares a estos, en cualquier plataforma, incluyendo Windows y Mac.

Hace varios años, la epidemia de bloqueadores se salió de control en Rusia y en los países de la ex Unión Soviética, y como respuesta las autoridades comenzaron a atrapar y encarcelar a los ciberdelincuentes bloqueadores.  En el mejor de los casos, en 2010 las ganancias que los ciberbloqueadores obtuvieron superaron los 3$ millones (en el peor, más de 15$ millones), y la cantidad de sus víctimas fue de ¡decenas de millones! De esta impresionante cantidad, un 5% les pagó a los ciberextorsionistas, que disfrutan del botín y la buena vida, se vuelven cada vez más arrogantes, y se ven alentados a seguir desarrollando sus programas bloqueadores.

Cuando la epidemia alcanzó su pico, lanzamos un desbloqueador gratuito, disponible como una app para los dispositivos móviles de los usuarios y como un servicio online. Después de ingresar el número de teléfono o de la cuenta del ciberextorsionador que aparecía en el bloqueador, nuestro desbloqueador genera un código de desbloqueo que funciona más o menos como ‘llamar a un amigo’. Uno pensaría que la epidemia de los bloqueadores quedaría derrotada de una vez por todas con la llegada del desbloqueador, pero no fue así, pues los ciberbloqueadores apenas se estaban calentando…

Es verdad que, a juzgar por la cantidad de visitas a nuestro servicio online de desbloqueo, el alcance general de la ciberextorsión ha disminuido unos diez veces. PERO… en realidad el problema sólo ha empeorado. Veamos cómo:

Primero: este fenómeno que en un inicio era únicamente ruso (post-soviético) se volvió mundial (gracias a los números comerciales SMS y a los servicios de pago online). A medida que salía de sus fronteras originales, los ciberbloqueadores rusos (post-soviéticos) lograron burlar la justicia de países extranjeros gracias a las peculiaridades burocráticas de la cooperación internacional.

Segundo: antes, los ciberbloqueadores eran ‘honestos’ (sic), pues tras recibir el pago procedían a quitar los banners de las pantallas de las víctimas (hasta que decidieran volver a bloquearlas). Hoy en día no existe ya este código de honor, y los banners permanecen anclados en las pantallas después del pago. Y no es sólo porque los ciberpiratas bloqueadores sean unos malvados, sino porque en realidad ¡los modernos bloqueadores no contienen códigos para poder desbloquearlos, y los servicios de desbloqueo están demás! ¡Uy!

Entonces. ¿qué se puede hacer?

Antes que nada, aparte de unas raras excepciones, aún queda la posibilidad de una ‘intervención quirúrgica’ y la eliminación manual de los bloqueadores utilizando utilidades gratuitas, si es que la solución antivirus ha resultado burlada. Ahora, si uno lee el largo texto de ese enlace, entenderá que la mencionada cirugía no es una tarea para nada fácil y que requiere de especialistas para efectuarla. Entonces, como el usuario regular no puede realizarla, decidimos tirar al trasto el manual que dice ‘sólo para especialistas’.

Ahora, los usuarios de KIS 2014 cuentan con una apropiada función que les permite eliminar un bloqueador sin más ayuda que la de… sus propios cuatro dedos. O tres, pero usados repetidamente J Sin ninguna cirugía. Sin especialistas. Y como cereza sobre el pastel: sin las raras excepciones que mencioné más arriba.

¿Cómo?

Así:

Desde hace un par de años KIS cuenta con la función Teclado virtual. Se trata de un controlador del sistema operativo que evita la captura de pulsaciones en el teclado, o keylogging. Es decir, incluso si un equipo se infecta con el más villano de los troyanos u otro programa malicioso, los intentos que hagan estos para interceptar, digamos, las contraseñas que el usuario ingresa mediante el teclado serán vanos, ya que las teclas no llegan a pulsarse físicamente en el teclado, sino en el Teclado virtual que los troyanos no pueden ver. Ahora usamos esta función para combatir a los maliciosos bloqueadores.. .y a sus dueños.

El Teclado virtual evita que los bloqueadores tomen el control total del teclado. Cuando el usuario ingresa la combinación Ctrl+Alt+Shift+F4 (o Ctrl+Alt+Del varias veces), el Teclado virtual entiende de que se trata de situación de emergencia e instruye a KIS 2014 para que ejecute el procedimiento de desactivación de bloqueadores. O, para ser más precisos, los distintos componentes antivirus (firmas y heurísticos) detectan la infección, realizan una limpieza de los procesos activos y el registro del sistema, y desbloquean la pantalla. Después se eliminan los restos del bloqueador mediante las funciones estándar del antivirus, se reinicia explorer.exe, y se restaura la tecla “Start” (o como se llame hoy en día) y el escritorio original. A propósito, el escenario descrito de la desactivación del bloqueador devela los contenidos de nuestra patente de aplicación que actualmente se encuentra bajo análisis de expertos.

Epílogo

Este verano un americano de 21 años cayó víctima de un bloqueador. Esto es lo que encontró en su pantalla:

Finalmente, se entregó a las autoridades. Después se supo que sí tenía contenidos de pornografía infantil en su PC. Bueno, como se dice, uno cosecha lo que siembra…