Los usuarios de Apple, víctimas de malware de ransomware

28 May 2014

ACTUALIZACIÓN: El artículo ha sido actualizado con citas de expertos.

Una nueva amenaza de ransomware está afectando a los usuarios de Apple, sobre todo en Australia. Aparentemente, en las pantallas de inicio de los usuarios afectados aparece un mensaje de aviso en el que se ofrece la posibilidad de recuperar la pantalla del dispositivo a cambio de un pago de entre 50 y 100 dólares.

ransomware apple

Según indican los informes, los usuarios se dieron cuenta de la infección por primera vez ayer a primera hora de la mañana, cuando la alerta de “Buscar mi iPhone” de sus dispositivos IOS y OSX empezó a sonar. Al comprobar las pantallas de sus móviles, los usuarios vieron que habían recibido un mensaje que decía: “Hackeado por Oleg Pliss. Para desbloquearlo TIENES que mandar un bono de 100 $/euros de uno de estos (Moneypack/Ukash/PaySafeCard) a helplock@gmx.com Te envío código 2618911226”.

Apple Ransomware

No está claro cómo los hackers han sido capaces de comprometer estos dispositivos, pero la opinión general es que los hackers están aprovechando las cuentas iCloud de los usuarios, con el fin de acceder a los teléfonos móviles en sí.

El experto de Kaspersky Lab Christian Funk ha afirmado que esto es posible, ya que los cibercriminales han realizado ataques de phishing para comprometer IDs de Apple desde ya hace unos cuantos años. Además, Funk nos recordó un artículo de investigación de Securelist del verano pasado en el cual otro investigador de Kaspersky Lab explicó que los cibercriminales podrían lanzar campañas de ransomware contra dispositivos iOS y Mac por medio de acceso a cuentas iCloud.

Tampoco se sabe quién es Oleg Piss, ni si es una persona real.

El término “ransomware” hace alusión a un tipo de malware que bloquea el dispositivo infectado y exige algún tipo de pago a cambio de desbloquearlo. En algunos casos, el malware simplemente deja el ordenador inutilizable o coloca algún tipo de bloqueo entre el usuario y sus aplicaciones. En otros -como en el caso de CryptoLocker- el ransomware codifica archivos importantes en el dispositivo infectado y exige un pago por la clave que supuestamente desbloqueará los archivos.

Pagar este rescate no se suele considerar una opción adecuada, ya que nunca puedes saber si el sistema realmente se restablecerá. Esta es una de las razones por las que siempre recomendamos crear una o varias copias de seguridad de tus datos en una memoria externa o en la nube. Si tienes una copia reciente podrás recuperar archivos o reinstalar el sistema operativo.

Según el “The Sydney Morning Herald”, los usuarios de iPhone en Queensland, Nueva Gales del Sur, Australia Occidental, Australia Meridional y Victoria, han sido víctimas de esta estafa; de igual manera otros informes indican que usuarios en Nueva Zelanda también se han visto afectados. Hasta ahora, parece que no ha habido afectados en Europa y EE.UU., pero no estaríamos sorprendidos si este problema se extendiera a otros países.

Como señala Chris Brook en Threatpost.com los recientes ataques contra Adobe, eBay y otros han provocado una fuga de contraseñas cifradas de usuarios. Si estas contraseñas han sido de alguna manera descifradas –y los usuarios hubieran usado esas mismas contraseñas para varios servicios- entonces podrían emplearse fácilmente en los llamados “ataques de fuerza bruta” para acceder a cuentas online como las de iCloud. Que conste que los usuarios afectados tendrían que haber hecho uso de una misma contraseña. No está claro si existe alguna conexión entre estos ataques, pero en el pasado, casos de fugas de contraseñas –tanto en casos conocidos como desconocidos – han llevado a comprometer otras cuentas online.

Si el ataque dependiera del acceso a la cuenta de iCloud, su proceso de doble verificación supondría una defensa bastante sólida. De hecho, ahora sería un buen momento para activar esa doble verificación en tu cuenta iCloud. Debajo encontrarás un breve screencast que muestra exactamente cómo empezar este proceso (de hecho paramos el vídeo justo antes de activar la función, pero estoy seguro de que puedes averiguar el resto).