Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
56
3C Tecnología (Edición 20) Vol.5 Nº 4
Diciembre16 marzo17, 56 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e20.56-76
INFECCIÓN CON RANSOMWARE EN EL
SERVIDOR DE BASE DE DATOS DEL
SISTEMA ONSYSTEC ERP
RANSOMWARE INFECTION ON THE ONSYSTEC ERP
SYSTEM DATABASE SERVER
Raúl Armando
Ramos Morocho
1
Enrique Gallegos Mosquera
2
1. Universidad Técnica de Babahoyo. Facultad de Administración, Finanzas e Informática.
Babahoyo, Los Ríos (Ecuador). E-mail: rramos@utb.edu.ec
2. Universidad Técnica de Babahoyo. Facultad de Administración, Finanzas e Informática.
Babahoyo, Los Ríos (Ecuador). E-mail: enriquedgallegos@gmail.com
Citación sugerida:
Ramos Morocho, R.A. y Gallegos Mosquera, E. (2016). Infección con ransomware en el servidor de
base de datos del sistema Onsystec ERP. 3C Tecnología: glosas de innovación aplicadas a la pyme,
5(4), 56-76. DOI: <http://dx.doi.org/10.17993/3ctecno.2016.v5n4e20.56-76/>.
Recepción: 22 de noviembre de 2016
Aceptación: 08 de diciembre de 2016
Publicación: 14 de diciembre de 2016
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
57
3C Tecnología (Edición 20) Vol.5 Nº 4
Diciembre16 marzo17, 56 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e20.56-76
RESUMEN
Se presenta un estudio de caso de una infección efectuada en un servidor de base de datos con
Windows Server, con un tipo de software mal intencionado denominado ransomware; una situación
alarmante, porque la empresa ctima de este ataque no pudo realizar sus operaciones y
transacciones a causa de la infección. El virus no solo detuvo el motor de la base de datos, sino también
apli un cifrado (no conocido) en todos los archivos del sistema, y solicitaba que se contacte a un
email para negociar la devolución del acceso a las bases de datos y archivos encriptados.
ABSTRACT
We present a case study of an infection performed on a Windows Server database server, with a type
of malicious software called ransomware. It is an alarming situation because the company that was
the victim of this attack could not carry out its operations and transactions because of the infection.
The virus not only stopped the database engine, but also applied an encryption (not known) in all files
of the system, and requested that an email be contacted to negotiate the return of access to
encrypted files and databases.
PALABRAS CLAVE
Ransomware, cifrado, servidor.
KEY WORDS
Ransomware, encryption, server.
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
58
3C Tecnología (Edición 20) Vol.5 Nº 4
Diciembre16 marzo17, 56 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e20.56-76
1. INTRODUCCIÓN
La inclusión de las TIC en las empresas privadas, en los últimos años ha crecido exponencialmente,
esto ha hecho posible que la productividad aumente; y como ilustrativamente se dice que la cizaña
crece junto con el trigo, a como aumentan las herramientas de gestión de negocios, también
aparece en el escenario el famoso software mal intencionado, cuyo objetivo es obtener beneficio
(generalmente económico) introduciendo malware en un ordenador empresarial, aprovechando las
vulnerabilidades y bugs de los sistemas de información o utilizando ingeniería social.
Cuando se trata el tema de virus informáticos, la tendencia es restarles importancia y suponer que
son algún tipo de software que crea accesos directos en una unidad USB extraíble, o simplemente
que es un programa que ralentiza el funcionamiento de un computador; si bien la tecnología aumenta
para beneficiar las organizaciones en general, lo cierto es que a la par, evolucionan también los
ataques de los delincuentes informáticos; las unidades de TIC de las empresas, tienen ahora la
responsabilidad de actualizar su conocimiento respecto a este tema y capacitar a los usuarios de los
sistemas de información, para potenciar los recursos de software disponibles y para tener conciencia
que una red de computadoras suele ser una calle sin semáforos” para los ciberdelincuentes.
Este trabajo tiene como título infección con ransomware en el servidor de base de datos del sistema
Onsystec ERP, la información ha sido recopilada por medio de la entrevista a las personas que
estuvieron directamente involucradas en el caso. El objetivo de este estudio de caso es analizar y
aumentar el conocimiento de los ataques con ransomware a los sistemas de informacn; para mitigar
los casos de infección con este tipo de virus, como bien se sabe es mucho más sencillo entender un
tema cuando se presenta en la vida real, por esa razón se utilizan este tipo de trabajos como técnica
de aprendizaje.
2. DESARROLLO
La compañía Onsystec S.A. es una empresa dedicada a brindar soluciones informáticas a sus clientes,
desde el año 2009, su cede es en la ciudad de Ventanas, en la provincia de Los Ríos. El producto estrella
de la compañía es el sistema llamado Onsystec® ERP 6.0, este es un sistema informático empresarial
que gestiona funciones de integración y administración de los negocios relacionados con las tareas
de producción, automatizando los procesos y controlando la disponibilidad de los productos
(inventario) y los flujos de trabajo.
A inicios del año 2016, Onsystec implementó su sistema ERP en una empresa llamada Agroxven, que
se dedica a la compra, selección y exportación de productos de agricultura, en especial el cacao; sin
embargo, por ser una empresa grande, en la que participan en realidad doce compañías anexas, el
proceso de implementación había sido evolutivo y parsimonioso, es decir, se había visto la necesidad
de ajustar o personalizar ciertos requerimientos, por lo que el proceso se desarrol en un tiempo
más o menos prolongado, ya que hasta el octavo mes del año aún se estaban precisando detalles,
agregando funciones o capacitando a los usuarios; pese a seguir en el proceso de implementación,
Agroxven ya estaba trabajando con normalidad, haciendo uso del sistema ERP de Onsystec.
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
59
3C Tecnología (Edición 20) Vol.5 Nº 4
Diciembre16 marzo17, 56 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e20.56-76
En el mes de agosto del 2016, un día sábado, los usuarios del sistema en Agroxven, notaron que no
pudieron acceder al servidor de la base de datos, o sea, no podían facturar, ingresar información o
generar reportes. Todos los servicios de los sistemas que utilizan habían sido dados de baja, por lo
tanto, no podían acceder a la información almacenada en la base de datos, que se encontraba en un
ordenador con Windows Server.
Hasta ese momento nadie sabía lo que ocurría, todos pensaban que era un fallo en el sistema ERP,
sin embargo, los otros sistemas que usaban tampoco respondían, por lo que descartaron esa opción.
Pensaron también que era un error en algún recurso de la red; bueno, el caso es que ellos dejaron
pasar ese día y no comunicaron a Onsystec lo sucedido, por lo que ese día no se pudo solucionar el
problema.
El día lunes de la semana siguiente todavía continuaba el problema por lo que ahora si le notificaron
a Onsystec que el sistema no se podía conectar al servidor; entonces fue el equipo de soporte técnico
a revisar cual era el problema. Después de analizar el asunto, se dieron cuenta que el servicio de
Mysql, que es el SGBD que utiliza Onsystec ERP, había sido detenido, es decir, el motor de la base de
datos no estaba funcionando, pero también había en ese equipo otros servidores de otras bases de
datos: Postgresql y Cobol, y todos estos fueron también detenidos.
Después notaron que exactamente todos los archivos como: documentos, ficheros comprimidos, y
todo lo que estaba almacenado en el disco duro, en ambas particiones, aparecían con extensión de
una aplicación, es decir, un archivo ejecutable; como bien se conoce, por ejemplo: un documento de
Microsoft Word, tiene una extensión de un documento, de igual manera una música o un video, éstos
no pueden ser una aplicación, por lo que el ingeniero de soporte cnico supo que se trataba de
algún tipo de virus; hay una gran cantidad de virus en la red que hacen casi lo mismo, la mayor parte
de estas infecciones se producen mediante unidades de USB extraíbles, la diferencia es que, algunos
de estos virus, son algo inofensivos, pues ocultan los verdaderos archivos y crean otros con los
mismos nombres pero con otra extensión, generalmente con una extensión de aplicación o accesos
directos, en esos casos el problema se resuelve con un simple comando en la consola de comandos de
Windows, y se eliminan los archivos creados por el virus que en realidad no pasan de los 2kb cada
uno. El caso Agroxven no era tan sencillo, porque los archivos mantenían su peso original, eso significa,
que no eran archivos creados por el virus para engañar al usuario, sino que eran los ficheros
originales, pero el malware había aplicado sobre ellos un algoritmo de encriptación, para cambiar el
nombre y la extensión, pero manteniendo internamente su contenido verdadero, de alguna manera,
modificaron el código hexadecimal para alterar su arquitectura, y hacerlos ilegibles, pues se
convirtieron en una aplicacn, provocando que al hacer clic para leerlos, se ejecuten para solicitar
una clave de descifrado o para causar una mayor propagación del virus.
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
67
3C Tecnología (Edición 19) Vol.5 Nº 3
Septiembre diciembre ‘16, 55 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e19.55-76
Figura 1. Captura de los datos mysql encriptados.
Fuente: Elaboración propia.
Se observa como los comprobantes electrónicos y demás datos están como tipo aplicación y el
nombre ha sido modificado, agregando el email y el id de la infección, con los cuales se podía
contactar con el creador del virus.
Se continuó revisando todo el equipo, entonces aparece la parte más trágica de todas, toda la
información de la base de datos estaba también encriptada, o sea, los archivos sql, y los que tenían
la información de la empresa; ¡un desastre total!, habían perdido toda la información de años en
tan solo horas. Onsystec ERP, posee una herramienta que efectúa respaldos de la base de datos
todos los días de manera automática, y los almacena en una carpeta en el servidor, pero todos los
backups de la base de datos habían sido guardados en el mismo equipo, ¡q problema más
grande!, esto significa que ellos también estaban bajo el efecto de la infeccn, el caso era grabe
porque no podían restaurar esos respaldos ya que eran inaccesibles por el SGBD.
Figura 2. Captura de los backups encriptados.
Fuente: Elaboración propia.
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
68
3C Tecnología (Edición 19) Vol.5 Nº 3
Septiembre diciembre ‘16, 55 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e19.55-76
Ahora bien, los respaldos se almacenaban en una carpeta en el mismo equipo, pero esa carpeta
estaba sincronizada con una cuenta de Dropbox, el famoso software de almacenamiento en la
nube, que proporciona una capacidad que va desde 5 hasta 15Gb de almacenamiento gratuito pero
aumentable comprando uno de los planes que ofertan, en este caso era una cuenta gratuita, el
ingeniero de Onsystec previendo que algo como esto podía suceder, incluso algún daño físico en el
equipo, o alguna otra situacn; con los backups en la nube, se evitaría la perdida de la informacn.
Entonces cada vez que Onsystec backups realizaba los respaldos en la carpeta donde se guardaban,
automáticamente se actualizaba en la nube, hasta allí todo bien, el problema era que los respaldos
no se almacenaban por versiones en la nube, sino que los reemplazaba, es decir, por ejemplo: el
backup del miércoles en la noche se subía a la nube a las 12:00 de la noche, al día siguiente a la
misma hora se realizaba el nuevo backup, el cual reemplazaba al anterior. Por lo tanto, los gico
era pensar que si el virus encriptó los archivos el viernes en la noche, antes de que se realizara el
backup automático, el respaldo se iba a subir a la nube encriptado y éste reemplazaría el respaldo
del jueves, provocando el deterioro total de ese respaldo, y aunque Onsystec tenía respaldos
aparte, que había copiado del Dropbox manualmente, pero estaban guardados en el mismo
servidor; ahora bien, en otro caso, si el virus encriptaba la información después del backup
automático, la situación era similar, solo con la diferencia de un día, ya que el sábado también se
haría el respaldo automático a la misma hora, por lo que el resultado habría sido el mismo.
En realidad, lo que sucedió fue que el equipo donde estaban los servidores de las bases de datos
había sido infectado con un Ransomware, este es un tipo de software mal intencionado que
básicamente secuestra (encripta) toda la información que hay en un ordenador, como archivos,
documentos, etc., y después pide una remuneración económica para su rescate” (descifrar). La
manera de cómo este equipo se infec con este virus, a ciencia cierta no se conoce aún, sin
embargo, se puede sugerir que era un virus que ya estaba en el equipo desde antes de la instalación
del sistema ERP, aunque aún no se activaba, pero estaba monitoreando la informacn, capturando
contraseñas, datos etc., para ver qué tan lucrativo pudiera ser el ataque, y en el momento que le
parec oportuno, lo ejecutó; primero deteniendo el servicio del SGBD, esto significa que el malware
tenia privilegios de usuario administrador para poder detener el servicio.
Esto pudo ser posible utilizando una vulnerabilidad del software SMBD o S.O., o simplemente
habiendo obtenido la contraseña del usuario administrador previamente, por medio del mismo
software mal intencionado, haciendo uso de un keylogger o un aplicativo similar, y después cifró
toda la información con un algoritmo desconocido; dando lugar a que la única manera de recuperar
información de extrema importancia, sea pagando la suma de dinero que ellos solicitan.
Este tipo de virus es muy peligroso y dañino, con la capacidad de enviar a la bancarrota a una
empresa, en tan solo minutos. El nombre de este Ransomware se desconoce hasta el momento,
puesto que existen una gran cantidad, para nombrar algunos: Satana, CTB Locker, Locky, Zepto,
entre muchos otros. Otra teoría con respecto a la manera en que se infec el equipo, pudo haber
sido por medio del mismo Dropbox, ya que éste se actualizaba a tempranas horas de la madrugada,
y el malware pudo haberse introducido por el mismo puerto del Dropbox, y no sería la primera vez
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
69
3C Tecnología (Edición 19) Vol.5 Nº 3
Septiembre diciembre ‘16, 55 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e19.55-76
que los softwares mal intencionados utilicen estos medios, que son muy utilizados por los usuarios,
para infectar ordenadores y para capturar información que les puede proporcionar eventos para
alcanzar sus objetivos lucrativos.
Otra teoría, pero poco probable es que algún usuario haya revisado algún correo electrónico o
descargado alguna aplicación en el servidor, y ejecutó el malware sin darse cuenta, pero de acuerdo
a los usuarios, dicen que nadie maneja ese ordenador, solo el administrador de la base de datos
que es el ingeniero a cargo, y es de Onsystec. Seguidamente de que Onsystec descubrió que se
trataba de un ransomware, unos de los virus más lucrativos que existen, consideraron pagar por
el rescate, pues los archivos eran indescifrables, y era información con la que la empresa trabaja
y la necesitaban con urgencia, más allá demo se infectaron, había que resolver el problema.
El caso es que existen un tipo de ransomware que después que el usuario paga el monto económico
solicitado por el delincuente informático, éste de todas maneras elimina la información y la víctima
no tendrá acceso a ella jamás a pesar de haber pagado el rescate; considerando esta situación,
Onsystec empezó a analizar otras opciones, entonces se dan cuenta que el respaldo almacenado
en Dropbox, no estaba encriptado, y entonces se fijaron en la fecha y era el backup realizado el día
viernes, el mismo día que el virus se activó, eso significa que efectivamente el virus se ejecutó
después de la sincronización de Dropbox. La explicación es que una vez que el virus encriptó todos
los archivos, inmediatamente bloqueó los puertos de comunicacn, incluido el de Dropbox, por ello
el backup no se pudo actualizar en la nube el día siguiente, ya que había perdido la conexión.
Fue a como se pudo salvar la información de la base de datos, y en realidad no se perdió casi
nada, sólo lo que trabajaron el día sábado, pero no ingresaron al sistema, desde ese punto de vista,
ciertamente no se perdió nada de la base de datos, gracias a ese error del ransomware de bloquear
los puertos de comunicación. La solución que tuvo este caso, realmente se puede decir que fue
buena fortuna o una acción torpe del ransomware, aun así, sirve como un ejemplo claro para
concientizar que la información es lo más valioso de una empresa y es necesario tomar todas las
precauciones preventivas y correctivas para evitar estos ataques a futuro.
Los antecedentes de este tipo de casos son muchos en Ecuador y en otros países, si se lee una
revista de tecnología o alguna fuente de noticias, existe una variedad de eventos dados en
diferentes empresas o simplemente en usuarios convencionales, sin tener el debido conocimiento
para evitar una infección y/o para emplear medidas de recuperación de la información después de
haber sido infectados, y sencillamente asumiendo la pérdida de ella. Para no citar un antecedente
demasiado lejano, se narra una experiencia que se dio en el año 2014, en el GADPLR (Gobierno
Autónomo Descentralizado Provincial de Los Ríos) en la ciudad de Babahoyo.
En una ocasión un usuario del área de administración notifia la unidad de TIC que no podía
trabajar porque un programa se ejecutaba en primer plano y no era posible detenerlo,
también comentó que el S.O. estaba ralentizado y algunos archivos no se encontraban ni se podía
abrir su contenido, el jefe del área envió a alguien a revisar el asunto; entonces se revisó el equipo y
se supo que era un virus, en ese momento no fue relevante el mensaje que mostraba la ventana
emergente del programa que estaba en primer plano (que estaba en inglés), la cual si la detenía
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
70
3C Tecnología (Edición 19) Vol.5 Nº 3
Septiembre diciembre ‘16, 55 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e19.55-76
con el administrador de tareas, al instante volvía a aparecer; se sugirió que era un programa de esos
que se descargan de páginas como softonic, entre otras, que a veces engañan a los usuarios
haciéndoles creer que son los programas que buscan, pero en realidad son un grupo de malware
que se instalan en el ordenador, son algún tipo de troyanos o gusanos de internet, pero con
objetivos no tan dañinos.
Aunque no se leyó lo que decía el mensaje, lo que se pudo observar fue el nombre de esa
aplicacn, ésta se llamaba CTB Locker, hasta ese momento la persona que revisó el equipo
desconocía por completo la existencia de ese tipo de virus, por lo que se hizo respaldo de los
archivos y datos, formateó el disco duro y reinsta el sistema operativo, aunque se notó que los
archivos todos presentaban una extensión aleatoria y tenían el icono de fichero desconocido de
Windows, pero parec irrelevante ese detalle.
Después de formatear el equipo y reinstalar el sistema, funcionaba todo correctamente, ahora el
problema era que se había hecho una copia de seguridad a archivos encriptados, por eso tean
una extensión aleatoria y eran desconocidos para Windows.
Figura 3. Captura de los documentos encriptados por CTB Locker.
Fuente: Elaboración propia.
Figura 4. Captura de la ventana emergente de CTB Locker, llamado también Critroni.
Fuente: Elaboración propia.
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
71
3C Tecnología (Edición 19) Vol.5 Nº 3
Septiembre diciembre ‘16, 55 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e19.55-76
Cuando se investigó el CTB Locker, entonces se supo que se trataba de un ransomware que había
empezado a difundirse el mes de julio del 2014, que realizaba un ataque más sofisticado que lo que
hacían los virus normalmente, pero ahora ya no había esperanza de recuperar la información ya
que el virus había sido eliminado; el error fue haber formateado el equipo, ¿por qué?, porque
después de investigar sobre el asunto, es un malware relativamente sencillo de eliminar con una
herramienta antimalware o algún antivirus, entre ellos podemos mencionar: Hitman Pro,
SpyHunter, y muchos más; la solución hubiera sido más sencilla, ya que si se eliminaba el
ransomware con un antivirus, se podía utilizar una herramienta llamada Shadow Explorer con la
cual se podían restaurar los archivos a una fecha anterior, pero eso no funcionó porque se formateó
el sistema, debió haberse realizado antes de formatear para poder recuperar la informacn,
aunque los ficheros se restauraan a una versión anterior.
Este caso en realidad no se resolvió, puesto que no se pudo desencriptar los archivos (aunque
quedaron guardados), ya han pasado dos años y ya han creado herramientas para descifrar esos
archivos. La empresa de antivirus Kaspersky y otras empresas similares han creado aplicaciones
para descifrar archivos de algunos de los ransomware más conocidos, a que, en cualquier
momento es posible recuperar información que se haya perdido a causa de estas infecciones; este
como otros antecedentes, enriquecen el conocimiento y la experiencia en este tipo de situaciones
que son muy comunes en las TIC.
¿Son frecuentes los ataques con software malicioso en las empresas?
La creación de programas maliciosos aumenta exponencialmente, esto representa una amenaza
constante a las empresas, ya que éstas son el blanco prioritario de los cibercriminales, la
evolución del malware en los últimos años ha sido abrumadora.
Los expertos de G DATA Security Labs descubrieron 1.84 millones de nuevas amenazas informáticas
en la primera mitad de 2014, lo que significa que el cibercrimen alumbró un nuevo malware para
entornos Windows cada 8.6 segundos, es decir, más de 10,200 nuevos tipos de programas
maliciosos cada día. (Computerworld, 2014, p. 26)
Por otra parte, el software mal intencionado no tiene sentido sino utiliza medios de propagación y
maneras para introducirse en los dispositivos para comprometer la información de los usuarios y
sacar provecho; y una parte de esas infecciones se producen en Ecuador.
Al día hay 10.5 millones de ataques cibernéticos en el mundo, el 1.8% es en Ecuador; cada 34
segundos un malware desconocido es descargado, cada 5 minutos una aplicación de alto riesgo es
utilizada. A nivel regional, Ecuador es el segundo país más atacado por cibercriminales.
(CHECKPOINT, 2015, p. 59)
Hay que tener presente los códigos maliciosos como botnets, bitcoinsminers y ransomware, los
nuevos códigos se enfocan en generar una ganancia económica para los atacantes, en lugar de
realizar un daño como hacían los antiguos virus. Los objetivos principales de estas amenazas son:
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
72
3C Tecnología (Edición 19) Vol.5 Nº 3
Septiembre diciembre ‘16, 55 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e19.55-76
robo de información para obtener dinero vendiéndola a la competencia, secuestro de los datos para
pedir una compensación económica como rescate y uso de ataques DOS (denegación de servicios)
para detener la producción de una empresa. (Pérez, 2016).
¿Qué se necesita saber sobre un ransomware?
Para entender con mayor precisión la naturaleza, la propagación y la amenaza que representa un
ataque ransomware, es necesario analizar un poco que tan frecuente se producen este tipo de
ataques, dónde y cómo se realizan. Cuáles son los medios más comunes que utiliza para introducir
su código malicioso en un dispositivo, en que plataformas se ejecutan, y qué se pronostica sobre
ellos para los siguientes años.
De acuerdo con el gobierno de los Estados Unidos, unos 4,000 ataques ransomware se llevan a
cabo todos los días, un aumento del 300% desde el año pasado, y el mero sigue en aumento.
Esto se debe a que el ransomware se ha convertido en unos de los negocios más rentables para los
cibercriminales. (Acronis, 2016)
Para este análisis vamos a ver cómo evolucionan las detecciones de diferentes familias de
ransomware durante los primeros seis meses del año 2016.
Figura 5: Cuadro estadístico de las infecciones producidas por la familia ransomware, desde enero a junio de
2016, en los países de Latinoamérica.
Fuente: (Amaya, 2016).
Los cibercriminales se enfocan en propagar sus amenazas en donde se encuentra la mayor cantidad
de usuarios potenciales, es decir, las grandes empresas en los países con la mayor cantidad de
manejo y producción de información, ya que los ataques en estas empresas son s rentables para
ellos:
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
73
3C Tecnología (Edición 19) Vol.5 Nº 3
Septiembre diciembre ‘16, 55 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e19.55-76
Figura 6. Gráfica de los países más atacados con ransomware.
Fuente: (Amaya, 2016).
A pesar que los ataques ransomware evolucionan con el tiempo, los medios de propagación
básicamente siguen siendo los mismos:
Dispositivos USB, correos electrónicos, puertas de acceso; es decir, vulnerabilidades en el sistema
lo que permite la introducción de malware. También se debe considerar la nube o Cloud” como
medio de propagacn, ya que de esta manera la infección se produce de manera más rápida por
toda la red.
El código malicioso ransomware en la actualidad no solo infecta a ordenadores con Windows
también ataca a MAC OS el sistema operativo de Apple y se han visto algunos casos en Linux, pero
no con tanto éxito como en los dos anteriores, eso con respecto a computadores, pero si hablamos
de dispositivos tecnológicos en general, ransomware ha también migrado a otras plataformas, por
ejemplo: los dispositivos móviles han sido también blanco; después de haber causado pérdidas
financieras en un gran número de empresas en el mundo, ahora ataca a la plataforma Android.
Existen dos tipos generales de malware que entran en la categoría de ransomware para Android:
el ransomware de bloqueo de pantalla, y el criptográfico. En el de bloqueo de pantalla, el recurso
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
74
3C Tecnología (Edición 19) Vol.5 Nº 3
Septiembre diciembre ‘16, 55 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e19.55-76
secuestrado es el acceso al sistema comprometido, en cambio, en el criptogfico el recurso
secuestrado son los archivos del usuario. (LIPOVSKY, 2016).
Pero también el ransomware está afectando ahora a los automóviles, por medio del software
denominado jackware.
Defino como jackware al software malicioso que intenta tomar el control de un dispositivo cuyo
objetivo principal no es el procesamiento de datos ni la comunicación digital. Un automóvil, por
ejemplo, sería uno de estos dispositivos. (COBB, 2016)
Existen cada vez nuevas variantes de ransomware que pueden tener efectos más severos, es el caso
del nuevo malware de esta familia que se denomina Jigsaw que muestra una imagen de la
marioneta Billy, que es una identidad de la serie de películas de terror Saw.
Además de este recurso gráfico, la verdadera amenaza de esta variante de ransomware reside en
que cada hora se van eliminando algunos de los ficheros cifrados. Esto hace que el tiempo sea un
factor fundamental si se quieren recuperar los archivos. De hecho, si se intenta detener el proceso
o reiniciar el sistema, Jigsaw eliminará 1000 ficheros, por lo que limita las acciones que puede
realizar el usuario para tratar de recuperar su información sin pagar el rescate. (Albors, 2016)
En realidad, Jigsaw es solo un ejemplo de la gran cantidad de variantes que se producen en la familia
ransomware, lo que da lugar a que estos ataques sean cada vez más agresivos y sus planes de
extorsión puedan tener éxito. Aun así, existen herramientas de descifrado de archivos por
ransomware, que han sido creadas por empresas de la seguridad informática, generalmente son
gratuitas, que pueden permitir recuperar la información que fue encriptada, aunque cada vez
existen esas variantes mencionadas que incluyen nuevas características que complejizan el proceso
de restitución de los datos.
Las infecciones de ransomware siguen creciendo y sus efectos en constante evolución, lo que
sugiere que las empresas y usuarios que crean y procesan información importante, tengan el
conocimiento y la experiencia requerida para evitar este tipo de ataques. Las detecciones de
ransomware en ESET Live Grid, sistema que reúne información de amenazas detectadas en equipos
de usuarios ESET alrededor del mundo, muestran una tendencia creciente desde el último trimestre
del 2015 y el primero del 2016:
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
75
3C Tecnología (Edición 19) Vol.5 Nº 3
Septiembre diciembre ‘16, 55 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e19.55-76
Figura 7. Crecimiento de las infecciones detectadas por ESET.
Fuente: (Pagnotta, 2016).
3. CONCLUSIONES
El caso de Onsystec tuvo una solución afortunada debido a las copias de seguridad efectuadas en
Dropbox y a una acción torpe del ransomware ya que bloqueó los puertos lógicos, impidiendo que
se actualizara en la nube los archivos infectados. Ahora bien, en cualquier otra situación de
infección con ransomware no es recomendable de ninguna manera pagar” por el rescate, ya que
no hay garantías de que será restituido en su totalidad el acceso a la información comprometida;
además, pueden quedar vestigios del malware que darán lugar a manifestaciones futuras con fines
iguales.
Por medio de este estudio se ha concluido que los casos de infección con software mal
intencionado, en particular: el ransomware, son una realidad en el mundo de la informática y es
necesario tomar medidas preventivas y correctivas para hacer frente a este tipo de ataques. Si se
trata de un usuario convencional, el riesgo disminuye considerablemente, pero si es una empresa
de producción masiva de información importante, la unidad de TIC tiene la ardua tarea de aislar los
eventos y actividades que puedan dar lugar a que se produzca una infección de ransomware.
Por medio de esta experiencia, Onsystec está tomando las medidas requeridas para evitar y corregir
este tipo de casos en sus clientes, por eso, está ahora desarrollando una herramienta (software) que
va a permitir realizar copias de seguridad de las bases de datos del sistema ERP, por separado,
automáticamente, todos los días, por versiones, que se almacenarán en una carpeta que luego se
subirán a un servidor FTP (Protocolo de Transferencia de Ficheros) en otro equipo y en otra
ubicación geográfica. Si bien este es un tema de constante investigación y evolución, este
trabajo será el acicate que va a permitir considerar la seguridad de los datos como realmente
importante en la productividad de una empresa o usuario que hace un uso notable de la
informacn.
Raúl A. Ramos Morocho y Enrique Gallegos Mosquera
INFECCIÓN CON RANSOMWARE EN EL SERVIDOR DE BASE DE DATOS DEL SISTEMA ONSYSTEC ERP
76
3C Tecnología (Edición 19) Vol.5 Nº 3
Septiembre diciembre ‘16, 55 76
Área de Innovación y Desarrollo, S.L.
ISSN: 2254 4143
DOI: http://dx.doi.org/10.17993/3ctecno.2016.v5n4e19.55-76
4. REFERENCIAS BIBLIOGRÁFICAS
Acronis. (2016). Ransomware va viral. Recuperado de:
<http://www.computerworld.com/article/3123041/backup-recovery/ransomware-goes-
viral-what-you-need-to-know.html/>.
Albors, J. (2016). Welive Security. Obtenido de Jigsaw y cómo el ransomware se vuelve más
agresivo con nuevas capacidades: Recuerado de: <http://www.welivesecurity.com/la-
es/2016/04/15/jigsaw-ransomware-mas-agresivo-nuevas-capacidades/>.
Amaya, C. G. (2016). Nuevas variantes de ransomware en evolución constante. Recuperado de:
<http://www.welivesecurity.com/la- es/2016/07/08/variantes-de-ransomware-evolucion/>.
Checkpoint. (2015). Security Everywhere, una estrategia en la ciberguerra. Computerworld EC, 59.
COBB, S. (2016). Welive Security. Obtenido de Jackware: cuando los autos conectados
conocen al ransomware: Recuperado de: <http://www.welivesecurity.com/la-
es/2016/07/21/jackware-autos-conectados-ransomware/>.
Computerworld. (2014). 8 Segundos malware en Windows. Computerworld EC, 26.
Lipovski, R. (2016). Welive Security. Obtenido de El auge del ransomware para Android:
criptográfico y de bloqueo de pantalla: <http://www.welivesecurity.com/la-
es/2016/02/18/auge-ransomware-para-android/>.
Pagnotta, A. (2016). Welive Security. Obtenido de Tu seguridad depende de ti: aprende a evitar
el ransomware: <http://www.welivesecurity.com/la-es/2016/05/02/tu- seguridad-evitar-
el-ransomware/>.
Pérez, I. (2016). El malware empresarial crece en el mundo. Obtenido de Computerworld:
<http://computerworld.com.ec/actualidad/tendencias/30-el-malware- empresarial-crece-
en-el-mundo.html/>.