¿Qué es Doxware? ¿Realmente necesito preocuparme? Doxware es una variante de ransomware con un giro más oscuro: mientras que la tecnología subyacente entre doxware y ransomware es prácticamente idéntica, la diferencia clave radica en el comportamiento humano de los perpetradores y en las consecuencias para las víctimas.
“La verdad sobre el doxware, su relación con el malware y cómo puedes protegerse”
Incluso si no has escuchado el término ‘doxware‘ antes, es casi seguro que estés familiarizado con algunas de las grandes empresas que han sido víctimas de este ciberdelito, como Netflix o la Cadena SER. Doxware es la evolución más reciente en malware.
¿Qué diferencia al doxware del ransomware y cómo puedes protegerte?
Para comprender sobre el doxware, primero debes entender que es el ‘doxing’ o ‘doxxing’. Doxear a alguien es revelar su identidad en línea. El término se refiere tanto al rastro para encontrar la identidad de alguien como a los documentos de identificación que a menudo se publican públicamente y de manera vergonzosa en un ataque de doxing.
“Comenzamos con lo básico: ¿Qué es Doxing? ¿Cómo se relaciona con el malware?”
El doxing puede ser personal, vinculando a una persona pública a sus hábitos privados al revelar información personal vergonzosa o reveladora, como fotos; o puede ser un delito impersonal, que libera datos confidenciales en masa, como cuentas bancarias o números de seguridad social.
Durante la última década, el doxing ha sido un método popular utilizado por los vigilantes de Internet para castigar a sus enemigos percibidos, a veces con aplausos generales, a veces con consecuencias desastrosas. Para entender mejor este término, te invitamos a leer nuestro post: Doxing: todo lo que debes saber.
El componente de malware real de doxware es funcionalmente el mismo que cualquier otro ransomware. Un virus doxware se apodera de archivos de una computadora específica o de muchas computadoras y servidores específicos.
La diferencia radica en las consecuencias, en caso de que la víctima opte por no pagar el rescate. Después de infectar la computadora y cifrar los archivos, el propietario del doxware exige un rescate: sin pago, los archivos se harán públicos.
¿Cómo funciona un doxware?
Al igual que otras formas de malware, el doxware llega a una computadora de destino en forma de un archivo infectado, a veces oculto en un archivo adjunto de correo electrónico, o a través de un sitio web infectado.
Una vez adentro, gran parte del proceso es automático: las versiones anteriores del ransomware, una vez descargadas, cargaban y encriptaban archivos en masa. Pero las variaciones más nuevas ejecutan un script para buscar archivos más específicamente personales o vergonzosos (es decir, palabras clave como «desnudo»), así como contactos personales.
El atacante exigirá un rescate, generalmente a través de una moneda de Internet anónima e imposible de rastrear, como Bitcoin. Si el atacante sigue adelante con sus amenazas, los datos se cargan en un sitio anónimo de texto sin formato, o se envían directamente a la lista de contactos de la víctima por correo electrónico, Facebook o Skype.
Pueden pasar meses antes de que una víctima descubra que ha sido infectada; mientras tanto, su computadora ha sido un vector del virus.
¿En qué se diferencia de ransomware o extortionware?
La línea entre ransomware y doxware es lo suficientemente borrosa como para que los términos a veces se utilicen indistintamente; sin embargo, la diferencia está en los pasos finales.
El ransomware se retiene por, bueno, un rescate, lo que hace que los archivos sean inútiles a menos que se vuelvan a comprar, mientras que el doxware viene con la amenaza específica de hacer públicos archivos específicos.
Además, la mayoría del ransomware se dirige a todo un disco duro, mientras que el doxware busca palabras clave específicas que probablemente contengan datos privados y confidenciales que el propietario no desearía difundir (números de PIN, cuentas bancarias).
En términos menos digitales, el ransomware es un robo, mientras que el doxware es un chantaje. Todo ello cae bajo el término general Extortionware.
¿Por qué es importante?
Los ataques de ransomware cada vez son mayores y aumentan cada, y el 70% de los afectados aceptan pagar el rescate.
Sin embargo, los ataques de ransomware han estado ganando cada vez menos para sus atacantes. A medida que las empresas se vuelven más conocedoras de la seguridad, más respaldan sus archivos de misión crítica, lo que hace que el rescate por su devolución segura sea menos atractivo.
¿Por qué pagar un rescate cuando puede limpiar y reiniciar? Debido a esto, los delincuentes digitales han tenido que adelantarse unos pasos.
Si bien las empresas que han realizado copias de seguridad de su información de forma segura pueden estar dispuestas a perder archivos, pocas están dispuestas a que esos archivos se hagan públicos. El daño de las relaciones públicas podría hacer que el rescate valga la pena.
Cómo protegerse contra un ataque
Si eres víctima de un ataque de doxware:
- Informa a las autoridades. Muchos países de la UE tienen un departamento específico para manejar los delitos cibernéticos, y cualquier detalle puede ser útil para un caso abierto.
- No pagues el rescate. El éxito es un estímulo para futuros ataques, y no hay garantía de que los atacantes cumplan con su parte del trato una vez recibido el pago. Es casi imposible rastrear monedas como Bitcoin hasta la fuente, por lo que, si este doxware tuvo muchas víctimas, los atacantes no tienen forma de vincular su pago a sus archivos.
Desafortunadamente, tus opciones son limitadas una vez que los archivos están encriptados. Como muchos otros delitos cibernéticos, tu mejor defensa es evitar que suceda el fraude. Sigue estos consejos:
- Realiza una copia de seguridad de tus datos. Realiza una copia diaria de seguridad de los datos de misión crítica en la nube o en un dispositivo fuera de línea.
- Educa sobre hábitos seguros en Internet. El 95% de las brechas de seguridad tienen un «error humano» como factor contribuyente; asegúrate de que los empleados estén al día sobre no hacer clic en correos electrónicos de phishing o sitios web sospechosos y participa en simulacros mensuales de «phishing».
- Haz que la seguridad de tu red sea proactiva. La visibilidad en tiempo real de tus activos críticos y la detección de anomalías de alta fidelidad son sus mejores opciones para detectar malware con la suficiente rapidez como para evitar cualquier daño.
A medida que crece la cantidad de dinero en juego, el doxware seguirá creciendo en escala y sofisticación. Tu mejor ofensiva, en este caso, es una buena defensa.