Hace un par de días enfrenté un virus ransomware en mi máquina. Miren que me precio de estar bien educado en cómputo: no abro archivos de correos que desconozco, no bajo programas de sitios inseguros, no hago cosas que en general hacen que las máquinas se infecten, pero de alguna manera entró este virus ransomware (“rapid” se llama) en mi máquina y empezó una pequeña pesadilla.
Lo primero que noté es que la máquina parecía estar lenta. Tardaba incluso en refrescar la pantalla rápidamente, como siempre lo hacía. No le di demasiada importancia pero habría que habérsela dado, pues fue un síntoma importante. Pero al día siguiente, al arrancar la máquina, empezó con un comportamiento errático y entonces empecé a sospechar que algo realmente andaba mal. El administrador de tareas se cerraba sin que yo lo hiciese o había un aviso de querer re-arrancar. Y de pronto, apareció un mensaje diciendo que mis archivos estaban encriptados. Escuché entonces que el disco duro tenía una actividad exagerada. Apague la computadora entonces y decidí investigar qué hacer.
Como ya el virus me había dicho que había cifrado mis archivos, sabía de qué se trataba. Encendí la máquina y maté todos los procesos que me parecieron sospechosos. Un archivo llamado info.exe parecía ser el culpable del cifrado. Los archivos comprometidos tenían todos un añadido, que era “.rapid”.
Aparentemente el virus había hecho su tarea y se había auto-borrado. La razón de esto es que si alguien puede hacerse del virus, quizás pueda ver cómo cifró la información y así ayudar a los usuarios afectados a descifrar la misma. Desde luego que se me pedía un rescate en bitcoins, el cual no pensaba dar por dos razones: primero, porque está demostrado que una vez que se paga, prácticamente nadie recibe el decodificador de los archivos cifrados y los ciber-criminales en realidad no les importa ayudar. Hicieron lo que quisieron, se salieron con la suya y finalmente ¿quién confía en quien te hace daño?
Revisando los archivos comprometidos, encontré que el virus había cifrado mis carpetas con mi tesis. Cada vez que hacía modificaciones a la misma, copiaba toda la carpeta y las iba numerando. Tenía las últimas cinco o seis versiones de la tesis. El virus cifró las imágenes realmente, pero no mis archivos “.bib” y “.tex”. También el virus cifró una carpeta de archivos públicos con imágenes y un par de carpetas donde tenía mi código fuente de mis programas en Delphi. Parecía pues un desastre.
Pero en realidad, como mencioné al principio de este artículo, fue una pequeña pesadilla, porque tengo respaldo de todo, de mi tesis, de mis imágenes, de mi software, etcétera. Simplemente borré los archivos cifrados y puse los nuevos. Esto me salvó de un feo coraje y de un problema que me hubiese quitado mucho tiempo solucionar. Vamos, en un par de horas tenía todo de nuevo como estaba originalmente.
Entonces me pregunté ¿por qué Windows sigue teniendo estos problemas de seguridad? ¿Por qué no es como Linux o OS X? Hay muchas razones para ello. La primera es que Windows está construido en un sistema de archivos en donde en una sola carpeta está todo el sistema (C:Windows). Si eliminamos uno de los archivos de esa carpeta podemos dejar inutilizado el sistema. En Linux no es así, pues hay varias carpetas del sistema, por ejemplo /bin, /usr, /root. Vamos, el sistema está distribuido en muchas carpetas. Una segunda razón es que en Windows los programas tienen la extensión .exe, lo que hace que los criminales y programadores de virus puedan atacar estos archivos. En Linux no se necesita de estas extensiones particulares, pues se pueden crear modos para que los archivos hagan lo que queramos y no necesitamos siquiera ponerle extensión.
Pero quizás lo más importante: Linux tiene un sistema de archivos con permisos, en donde cada archivo puede ejecutarse, leerse o escribirse. Esto puede regularlo el usuario y así, por ejemplo, cualquiera puede meterse a mis archivos, por ejemplo, pero no puede, si no quiero, que los modifique. Los permisos los da cada usuario del sistema. Esto se puede hace también con las carpetas, por lo que un virus podría adentrarse, pero si no tiene los permisos del usuario, no puede modificar ningún archivo de ninguna carpeta.
Esto no quiere decir que Linux no pueda sufrir de virus, pero claramente es más difícil que esto ocurra porque el sistema jerárquico de permisos, por mencionar uno de los puntos importantes, permite controlar quién puede leer, escribir o ejecutar un archivo o meterse en una carpeta determinada.
Así, ¿por qué Windows no crea un sistema de permisos? Lo tiene, pero nadie lo usa y además, es poco efectivo porque hay que pasar por una serie de ventanas para hacer esto. Si Microsoft quisiese, debería hacer una forma mucho más simple para realizar esta tarea, además de hacer una jerarquía real en los usuarios para otorgar y dar permisos. Así, por ejemplo, cuando un programa se quiere instalar, el sistema siempre podría avisarle al usuario que alguien está tratando de instalar un programa en particular y entonces podríamos revisar qué está pasando. Muchos antivirus tienen esto implementado y no entiendo por qué Microsoft no toma las acciones pertinentes.
Sí, Windows ha ido evolucionando con los años y un problema que tiene es que debe mantener muchas cosas del pasado para que los siguientes sistemas puedan trabajar con lo que el usuario tiene. Y esto sin duda tiene un costo. Pero claramente, con esta nueva generación de ransomware, bien podría pensarse que hay que decidir nuevas acciones y quizás incluso, ir modificando el sistema para hacerlo de verdad más seguro.
La entrada ¿Por qué sigue habiendo virus en Windows? se publicó primero en unocero.
