Si tiene un conocimiento moderado de la tecnología, cada vez que escucha que un sistema está infectado, normalmente piensa en un código ejecutable que de alguna manera ha secuestrado sus funciones más seguras. Las infecciones se pueden propagar de varias formas, pero una cosa es segura: el vínculo entre los virus y el código ejecutable es tan fuerte que no creemos necesariamente que debamos protegernos de tipos de archivos como JPEG, imágenes PNG y archivos MP3. ¿O nosotros? Contrariamente a la afirmación anterior, los dos primeros tipos de archivos que he mencionado se han utilizado para infectar computadoras a través de los sistemas de mensajería de las redes sociales en Facebook y LinkedIn, según lo informado por Jon Fingas para Engadget el 27 de noviembre de 2016.
¿Que esta pasando?
El 18 de febrero de 2016, Symantec encontró una pieza de software bastante extraña que resultó ser una nueva variante de ransomware que se propaga a través de la web (si no sabe qué es ransomware, consulte esto). Esta cepa en particular, conocida como Locky, se propagó a través de correos electrónicos no deseados con archivos adjuntos a una tasa de aproximadamente diez a veinte mil víctimas por semana entre enero y marzo de 2016. No es necesariamente sorprendente ver que los virus se propaguen de esta manera. Los mensajes de correo electrónico con archivos adjuntos ZIP han sido la estrategia de vacunación desde principios de los 90.
Entonces, sucedió algo más.
Hacia fines de noviembre de 2016, los usuarios de Facebook y LinkedIn comenzaron a ver mensajes enviados con imágenes adjuntas. Parecen bastante seguros, pero cuando se abrieron revelaron una nueva variedad de Locky que encriptaría los archivos del sistema y los desbloquearía solo si la víctima pagaba un rescate de entre 200 y 400 dólares. La parte más impactante de esto fue que el virus se propagó a través de imágenes en lugar del código ejecutado convencional.
No todo es como parece
Aunque las imágenes ciertamente se están utilizando para infectar a las personas en las redes sociales, ¡no es exactamente lo que parece! Eché un vistazo un poco más profundo al mecanismo de Locky y sus formas resbaladizas, y parece que hay más en la historia que un montón de archivos JPEG que «quieren atraparte».
En primer lugar, lo que está distribuyendo cuando envía el malware a alguien es la impresión de que le está dando una imagen a alguien en las redes sociales. Hay una falla en el código de Facebook y LinkedIn que permite que ciertos archivos se transfieran con el ícono de la imagen, lo que lleva al destinatario a creer que recibió una imagen inofensiva del gato o el nuevo jardín de alguien. Lo que el destinatario realmente descarga es un archivo HTA, un programa ejecutable muy antiguo para Windows que existe desde 1999 (otro elemento para agregar a la lista de razones por las que el software en los años 90 era completamente loco).
Básicamente, las aplicaciones HTA son como EXE, excepto que están superpuestas a «mshta.exe» y los administradores las usaban para realizar cambios rápidamente en los sistemas. Dado que tienen la «confianza» total del sistema en el que se ejecutan, son libres de causar cualquier cantidad de estragos que su código les permita.
Cómo prevenir infecciones
Una vez que está infectado con Locky, no hay mucho que pueda hacer, excepto esperar que encuentre una aplicación antimalware que pueda eliminarlo mientras inicia en modo seguro. Pero prevenir la infección en primer lugar es bastante fácil. Cuando recibe un archivo de imagen en Facebook y no tiene una vista previa como la imagen a continuación, probablemente se le pedirá que lo descargue.
Una vez que haya descargado el archivo, verifique su extensión. Si no dice JPG, JPEG, PNG o cualquier cosa que parezca una imagen, probablemente sea un virus. Hemos visto Locky en formato HTA, pero también podría aparecer en otro tipo de códigos ejecutables (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI, etc.). Esté atento a las extensiones de archivo y desconfíe de cualquier cosa que no reconozca. Una forma segura de verificar si el archivo que recibió es una imagen es ver si el Explorador de Windows le brinda una vista previa cuando cambia el estilo de visualización a «Iconos grandes».
¿Tienes algún otro consejo ingenioso para compartir? ¡Cuéntanos en un comentario!