Saltar al contenido principal
ransomware-securityINFO

Correos falsos de Interpol propagan ransomware, pero la clave de descifrado está dentro

Una campaña de ransomware suplanta a Interpol para atacar a pequeñas empresas mediante un archivo en Proton Drive. El fallo: la función de descifrado y la clave viajan dentro del malware, así que recuperar sin pagar es posible.

Por Eric Gerard · Editor · Save My Disk8 min de lecturaPhoto via Unsplash

Una nueva campaña de ransomware suplanta a Interpol para presionar a las pequeñas empresas a infectarse a sí mismas. Los investigadores de Bitdefender, con reportes recogidos por medios como SC Media, Infosecurity y Hackread, describen correos que se hacen pasar por una "Interpol Cybercrime Investigation Unit" oficial y afirman que se necesita una respuesta urgente para colaborar en una investigación sobre problemas de cumplimiento o seguridad. El cebo es la autoridad y el miedo. La realidad es un intento torpe de engañar al destinatario para que ejecute malware.

Hay un giro inusual que cambia toda la respuesta. Las personas detrás de esta campaña construyeron su ransomware tan mal que la herramienta necesaria para revertir el cifrado, y la clave que usa, viajan dentro del propio malware. Ese único error vuelve a poner sobre la mesa la recuperación sin pagar.

Cómo es la campaña del falso Interpol

El mensaje llega como un correo disfrazado de aviso oficial. Usa el nombre de Interpol y la etiqueta inventada de una "Cybercrime Investigation Unit", e insiste en la urgencia: supuestamente se requiere la cooperación del destinatario para una investigación en curso sobre un asunto de cumplimiento o seguridad. Ese planteamiento busca cortocircuitar el juicio. Un empleado asustado que cree que un organismo policial internacional lo vigila es más propenso a hacer clic primero y pensar después.

El correo no lleva la carga directamente. En su lugar apunta a un enlace de Proton Drive donde se aloja un archivo protegido con contraseña, y facilita amablemente la contraseña en el cuerpo del mensaje. Los archivos protegidos con contraseña son un truco de evasión habitual: muchos escáneres de correo y de endpoints no pueden inspeccionar el contenido de un archivo cifrado, de modo que el fichero malicioso se cuela por los filtros que de otro modo lo marcarían.

Cómo funciona la cadena de infección

Una vez que la víctima descarga el archivo e introduce la contraseña facilitada, no encuentra un documento. Encuentra más archivos anidados en su interior. Capa tras capa, el empaquetado mantiene enterrada la carga real, lo que dificulta aún más el análisis automatizado y hace que el objeto parezca un paquete de ficheros inofensivo.

En el fondo del anidamiento se halla el ransomware, disfrazado de fichero de vídeo. La ingeniería social es coherente hasta el final: un destinatario al que se le dijo que esto concierne a una investigación espera revisar pruebas, así que un "vídeo" resulta plausible. Cuando la víctima intenta reproducir ese vídeo, el ejecutable se lanza. En lugar de imágenes, empieza a cifrar los archivos en las unidades disponibles y deja una nota de rescate exigiendo un pago.

Cadenas de código verde caen por una pantalla de ordenador oscura
Cadenas de código verde caen por una pantalla de ordenador oscura

La cadena está deliberadamente estratificada pero no es sofisticada. Cada paso, la falsa autoridad, el alojamiento de ficheros fuera de la plataforma, la contraseña facilitada, los archivos anidados, el disfraz de vídeo, es un truco ya conocido. Lo que hace notable a la campaña no es su ingenio, sino su selección de objetivos y un error de implementación que se vuelve contra los atacantes.

El fallo clave: la clave de descifrado viaja dentro del malware

Aquí está el detalle que más importa a cualquier víctima. Según los investigadores que analizaron las muestras, este ransomware lleva tanto su función de descifrado como la clave necesaria dentro del propio malware. En una cepa bien construida, la clave que desbloquearía tus archivos se genera en la infraestructura del atacante y nunca toca tu equipo, que es precisamente por lo que pagar puede parecer la única opción. Esta campaña hace lo contrario.

Como la lógica de descifrado y la clave están presentes localmente, es técnicamente posible recuperar los archivos cifrados sin negociar con los atacantes ni pagarles. Es un defecto grave en el diseño de los atacantes. También significa que fabricantes como Bitdefender están bien situados para publicar un descifrador gratuito construido a partir de ese material incrustado, y que socios de antivirus y policiales pueden añadirlo al catálogo público de herramientas gratuitas.

Seamos claros sobre los límites: extraer una clave incrustada de forma segura es tarea de analistas de malware, no algo que improvisar a partir de un artículo de blog. No intentes diseccionar la muestra tú mismo. La conclusión práctica es más simple e igual de importante: no pagues, porque el cifrado empleado aquí no es del tipo irrompible en el que se apoya un ransomware correctamente implementado.

A quién se dirige

La campaña apunta a pequeñas y medianas empresas más que a consumidores, y alcanza varias regiones. Los investigadores observaron objetivos en Estados Unidos, Europa, Asia y Oriente Medio, abarcando un amplio conjunto de sectores: tecnología, finanzas, servicios jurídicos, agroalimentario, farmacéutico y medios. Esa dispersión sugiere una distribución oportunista más que una lista de víctimas escogida a mano.

Las pequeñas empresas son un blanco atractivo por una razón. A menudo carecen de un equipo de seguridad dedicado, el personal puede estar menos entrenado frente a la suplantación, y el impacto de un aparente aviso de Interpol puede anular la cautela habitual. Los atacantes apuestan por esa brecha. Un equipo bien informado, en cambio, detecta la estafa en la primera línea: una policía real no envía "pruebas" de una investigación como un archivo protegido con contraseña desde una nube de consumo.

Qué hacer si recibes uno de estos correos

Si un mensaje así llega a tu bandeja, trátalo como hostil y no interactúes con la carga:

  1. No descargues el archivo ni abras ningún fichero de su interior. El ransomware se dispara al abrir el falso vídeo, así que lo más seguro es no llegar nunca a ese paso.
  2. No respondas ni uses ningún dato de contacto del correo. La marca Interpol es falsa, y cualquier "unit" nombrada en el mensaje es una invención.
  3. Aísla cualquier equipo que ya haya descargado o abierto el fichero: desconecta el cable de red, desactiva el Wi-Fi y desconecta las unidades externas para limitar la propagación.
  4. Repórtalo a tu equipo de informática o seguridad y a tu autoridad nacional de ciberdelincuencia. Si necesitas verificar una petición policial genuina, contacta con el organismo por sus canales públicos oficiales, nunca a través del correo.

Qué hacer si tus archivos ya están cifrados

Si la carga ya se ejecutó y tus archivos están bloqueados, la respuesta sigue el protocolo estándar de ransomware, con un factor alentador: el diseño defectuoso de esta cepa hace realista una recuperación gratuita. Avanza con calma, paso a paso.

Empieza por aislar el equipo y fotografiar la nota de rescate y la extensión de los archivos cifrados. Luego identifica la cepa con precisión: nuestra guía de identificación con ID Ransomware explica cómo subir una muestra y la nota para determinar exactamente qué te ha golpeado. Una identificación correcta es lo que permite encontrar o construir un descifrador adecuado.

A continuación, consulta las herramientas gratuitas oficiales. Como la clave está incrustada, un descifrador para esta familia es viable, así que revisa el portal No More Ransom y la página de herramientas gratuitas de Bitdefender. Nuestra guía pilar sobre cómo descifrar un ransomware sin pagar explica cómo encontrar, verificar y probar de forma segura un descifrador oficial en una copia antes de lanzarlo de forma masiva. Si aún no existe una herramienta para tu muestra exacta, conserva los archivos cifrados en un disco externo limpio y vuelve a comprobarlo, porque las herramientas para cepas defectuosas suelen aparecer.

Si dispones de una copia de seguridad limpia y desconectada anterior al ataque, restaurarla es la vía fiable más rápida. Sea cual sea el camino, no pagues el rescate: el pago financia la operación, te marca como blanco fácil y es innecesario cuando el propio cifrado es reversible. Para la respuesta completa paso a paso y las opciones de recuperación, consulta nuestras guías sobre qué hacer cuando tus archivos están cifrados por ransomware y cómo recuperar archivos después de un ransomware.

Cómo puede blindarse una pequeña empresa

Esta campaña triunfa por las personas, no por brillantez técnica, así que las mejores defensas son organizativas. Forma al personal para desconfiar de cualquier mensaje no solicitado que dice ser de la policía y pide descargar un fichero protegido con contraseña, y haz normal detenerse a verificar en lugar de reaccionar a la urgencia. Bloquea, cuando sea posible, los tipos de adjuntos de riesgo y los archivos protegidos con contraseña en la pasarela de correo, ya que esa es exactamente la evasión en la que se apoya esta campaña.

Mantén copias de seguridad sin conexión o inmutables para que incluso un cifrado exitoso sea una molestia y no una crisis, y prueba que realmente puedes restaurar desde ellas. Por último, establece una regla simple: todo contacto real de una agencia policial se verifica por los canales nacionales oficiales, nunca mediante un enlace, un adjunto o un número de teléfono suministrados en un correo inesperado. Esos hábitos neutralizan el miedo que esta falsa campaña de Interpol está diseñada para explotar.

Guías relacionadas

Selección editorial
4.5 / 5

Haz copia ahora para frenar el ransomware → EaseUS Todo Backup

Copias automáticas · clon de disco · copia offline

Fundada en 2004Garantía de 30 díasVersión gratuita 2 GB
Ver la oferta

Preguntas frecuentes

¿El correo falso de Interpol viene realmente de Interpol?

No. Interpol no abre investigaciones enviando a las empresas un archivo protegido con contraseña alojado en Proton Drive. La organización coordina a las policías nacionales a través de Oficinas Centrales Nacionales oficiales, nunca pidiendo a una empresa que descargue y descomprima un fichero para 'colaborar en una respuesta urgente'. Cualquier correo que dice ser de una 'Interpol Cybercrime Investigation Unit' con un adjunto y una contraseña es una estafa.

¿Por qué importa que este ransomware esté mal construido?

Porque los investigadores hallaron que la función de descifrado y la clave que necesita están incrustadas directamente dentro del malware. En principio, eso significa que el cifrado puede revertirse sin contactar ni pagar a los atacantes, y que un fabricante como Bitdefender puede crear un descifrador gratuito a partir de ese fallo. Es lo contrario de una cepa bien implementada, donde la clave privada permanece en el servidor del atacante y la recuperación es matemáticamente imposible.

¿Debería abrir el adjunto para ver de qué se trata?

No. Nunca abras el archivo comprimido ni el fichero disfrazado de vídeo que contiene. El ransomware se activa cuando la víctima intenta reproducir el falso vídeo. Si ya has recibido el correo, no descargues nada, aísla cualquier equipo que lo haya tocado y reporta el mensaje a tu equipo de informática o a la autoridad nacional de ciberdelincuencia.

Mis archivos ya están cifrados. ¿Qué hago ahora?

Aísla el equipo afectado de la red, fotografía la nota de rescate, identifica la cepa con ID Ransomware y consulta el portal No More Ransom en busca de un descifrador gratuito antes de nada. Como la clave está incrustada en este malware, un descifrador público es técnicamente viable. Restaura desde una copia de seguridad limpia si la tienes, y no pagues.

¿Es obra de una gran banda de ransomware?

Los investigadores estiman que esta campaña es más probablemente obra de un individuo o grupo pequeño poco sofisticado que de una operación de ransomware establecida. La entrega reutilizando Proton Drive, los archivos anidados, la envoltura de falso vídeo y sobre todo la clave de descifrado incrustada delatan una pericia limitada. El arma principal es el miedo, la intimidación de un falso aviso policial, más que la fuerza técnica.

¿Cómo puede una pequeña empresa evitar este ataque?

Trata como hostil cualquier correo no solicitado que dice ser de la policía y pide descargar un fichero con una contraseña suministrada. Bloquea en la pasarela los adjuntos de riesgo, archivos comprimidos y ejecutables, mantén copias de seguridad sin conexión o inmutables, y verifica cualquier contacto policial real a través de los canales nacionales oficiales, nunca mediante un enlace del correo. La concienciación del personal es aquí la medida más eficaz.