Es posible que hayas oído hablar de WannaCry, el software de rescate que paralizó los ordenadores del NHS (el servicio de sanidad pública del Reino Unido) en mayo de 2017, o del ataque de Petya ransomware que se produjo a finales de junio de 2017.

Normalmente, han sido ordenadores Windows los que se han visto afectados por estos software maliciosos, sin embargo, puede que tengas la duda: ¿puede mi Mac estar en peligro?, ¿debería de hacer algo para proteger mi ordenador?

En este artículo reunimos todo lo que necesitas saber y consejos que deberías seguir para mejorar la seguridad en tu Mac. Puedes también leer este artículo en el que te explicamos cómo eliminar un virus en Mac gratis.

Y si necesitas información para saber cuál es el mejor antivirus que puedes instalar en tu ordenador Apple, entonces te recomendamos leer nuestra guía con los mejores antivirus para Mac en 2019.

¿Qué es un ransomware?

Antes de examinar los distintos casos de ransomware que han atacado ordenadores Mac, explicaremos qué es ransomware en realidad.

Es un tipo de ataque de malware en el que tus archivos se cifran en contra de tu voluntad y una petición de rescate le indica que pagues una cuota si deseas que los archivos se descifren de nuevo.

Como se mencionó anteriormente, ransomware es una preocupación para los usuarios de Windows, siendo WannaCry y Petya ejemplos bien conocidos en esa plataforma, pero ¿es algo de lo que preocuparse si usas un Mac?

Bueno, si usas Windows en un Mac, obviamente deberías ser tan cauteloso como lo serías si estuvieras usando Windows en un PC, pero si usas macOS, es normal que des por sentado que Apple dispone de una serie de medidas de seguridad incorporadas que deberían protegerte.

Pero, por desgracia, incluso los Macs se han visto afectados por los ataques de ransomware, aunque también es cierto que no son tan comunes como en ordenadores Windows.

¿Pueden los Macs tener ransomware?

¿Pueden los Macs infectarse con ransomware? ¿Ha habido casos en los que equipos Mac se han visto infectados con un ransomware?

Sí que ha habido casos en el pasado en los que ordenadores Mac han sufrido una infección ransomware, pero ninguno de ellos ha provocado brotes graves y pocos o ninguno de los Macs se han visto afectados.

Sin embargo, los casos expuestos a continuación hacen una lectura interesante para saber cómo se puede propagar un futuro brote de ransomware.

1. Estafa del FBI (julio de 2013)

Durante más de una década, los ransomware de páginas web han intentando extorsionar a usuarios de Windows mediante el bloqueo del navegador web a un supuesto sitio web de aplicación de la ley. Sin embargo, esto siempre fue mero humo y algo bastante fácil de arreglar.

Pero en julio de 2013, los investigadores de seguridad descubrieron una estafa similar dirigida específicamente al navegador Safari del Mac. El usuario estaba bloqueado en una página web falsa del FBI a través de un cuadro de diálogo que no te permitía salir del sitio, y se exigía una multa de 300 dólares para desbloquear el sistema.

Salir del navegador se hizo imposible. Si el usuario abandona Safari, la página de ransomware simplemente se recarga sola la próxima vez que Safari se iniciaba.

Desde entonces, Apple ha arreglado Safari tanto en Mac como en iPhone/iPad para que sea más difícil que funcione un ransomware en el navegador como en el caso explicado. Sin embargo, es posible que encuentres ejemplos menos virulentos.

Cómo limpiar las estafas del FBI y sus variaciones

Puedes forzar la salida de Safari haciendo clic con el botón derecho del ratón en el icono del Dock, manteniendo pulsada la tecla ‘Alt’ y seleccionando la opción de menú ‘Forzar la salida’.

Luego inicia Safari mientras mantienes presionada la tecla ‘Mayúsculas’. Esto evitará que Safari cargue la última página que tenías abierta, que se escapa del molesto bucle de reinicio del ransomware.

2. FileCoder (Junio 2014)

Los investigadores de seguridad encontraron e identificaron FileCoder a través del sitio web de detección de virus Virus Total, aunque en ese momento FileCoder ya era viejo, habiendo sido detectado por primera vez por el escáner de malware del sitio dos años antes.

Específicamente dirigido a OS X/macOS, FileCoder está inacabado y no es una amenaza, ya que no encripta los datos del usuario. Muestra una ventana de aplicación que exige un rescate de 30 € (bastante descaradamente, esto se descuenta a 20 € si se utilizas una tarjeta de crédito en lugar de PayPal o Western Union).

No se sabe dónde se originó FileCoder, ni cómo se pretendía propagar.

Cómo limpiar FileCoder

Debido a que FileCoder solo ha sido detectado una vez, apenas tenemos información sobre cómo funciona y, por lo tanto, cómo limpiarlo. Sin embargo, debido a esto, no debe considerarse una amenaza activa.

3. Gopher (septiembre de 2015) y Mabouia (noviembre de 2015)

Dos investigadores de seguridad, que trabajan de forma independiente, crean por separado Gopher y Mabouia, dos ejemplos de ransomware dirigidos específicamente a los Mac.

Sin embargo, ambas son solo demostraciones de prueba de concepto, con la intención de mostrar que el ransomware en Mac es totalmente posible.

Aparte de las copias compartidas con los investigadores de seguridad para que aprendan de ellas, ninguna de ellas sale nunca de los ordenadores de los investigadores, por lo que no puede propagarse.

Cómo limpiar Gopher o Mabouia

Debido a que ambos son meras pruebas de concepto y nunca se han propagado, es imposible decir cómo cualquier infección de ransomware creada por Gopher o Mabouia podría ser arreglada.

4. KeRanger (marzo de 2016)

Los investigadores de seguridad encuentran e identifican el ransomware KeRanger en una actualización autorizada para el cliente Transmission BitTorrent.

El primer ejemplo real de ransomware en Mac, esta vez los creadores de ransomware hicieron un esfuerzo claro para crear una amenaza genuina.

KeRanger está firmado con un certificado de seguridad autorizado, por lo que no está bloqueado por el sistema de seguridad macOS Gatekeeper, por ejemplo. KeRanger cifra los archivos y luego deja un archivo ‘README_FOR_DECRYPT.txt’ en el directorio en el que se realiza la petición de rescate (una moneda BitCoin; alrededor de 1.338,62 euros).

Cómo limpiar KeRanger

Entendemos que no podrás descifrar los archivos. Sin embargo, si te preocupa que el ransomware KeRanger pueda haber infectado tu Mac, así es como los investigadores de seguridad que lo identificaron, Palo Alto, te sugieren que lo limpies:

  1. Utilizando Terminal o Finder, compruebe si existe ‘/Applications/Transmission.app/Contents/Resources/General.rtf’ o ‘/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf.’ Si existe alguno de ellos, la aplicación ‘Transmisión’ está infectada, por lo que te sugerimos que elimines esta versión de ‘Transmisión’.
  1. Usando el' Monitor de actividad' preinstalado en OS X, comprueba si se está ejecutando algún proceso llamado 'kernel_service'. Si es así, vuelve a verificar el proceso, selecciona ‘Abrir archivos y puertos’ y comprueba si existe un nombre de archivo como ‘/Users//Library/kernel_service’. Si es así, el proceso es el proceso principal de KeRanger. Te sugerimos que lo termines con ‘Salir > Forzar la salida’.
  1. Después de estos pasos, también recomendamos a los usuarios que comprueben si los archivos ‘.kernel_pid,.kernel_time,.kernel_complete’ o ‘kernel_service’ existen en el directorio ‘~/Library’. Si es así, deberías borrarlos.

5. Filezip, también conocido como Patcher (febrero de 2017)

Los investigadores de seguridad encuentran e identifican el ransomware Filezip que se hace pasar por aplicaciones "parcheadoras" que pueden descargarse de sitios de piratería.

Las aplicaciones Patcher están diseñadas para modificar ilegalmente software comercial popular como Adobe Photoshop o Microsoft Office, de modo que se puedan utilizar sin necesidad de comprar y/o usar un código de licencia.

Cuando el usuario intenta utilizar la aplicación de parcheo, Filezip encripta los archivos del usuario y luego coloca un archivo ‘README!.txt’, ‘DECRYPT.txt’ o ‘HOW_TO_DECRYPT.txt’ en cada carpeta en la que se enumeran las demandas de rescate (0,25 BitCoin; alrededor de 335 euros).

En particular, al igual que muchos ejemplos de ransomware en Windows, Filezip no puede descifrar ningún archivo, por lo que pagar el rescate no tiene sentido.

Cómo limpiar Filezip

Simplemente borra el archivo del parcheador de tu disco duro. La empresa de seguridad Malwarebytes ha descubierto desde entonces cómo descifrar gratuitamente los archivos afectados por Filezip, aunque el proceso es un poco complicado.

¿Pueden los Macs ser afectados por WannaCry?

En pocas palabras, no. WannaCry se aprovecha de un error en el sistema de intercambio de archivos en red de Microsoft Windows, una tecnología llamada SMB.

Una vez que WannaCry se conecta a un solo ordenadro en la red - generalmente porque un individuo abrió un archivo adjunto de correo electrónico malicioso - usa un error en SMB para inyectarse en todos los otros ordenadores en la red que no han sido parcheados.

Los Mac también utilizan SMB como la tecnología de red predeterminada para compartir archivos, por lo que inicialmente podrías pensar que los Mac también podrían verse afectados.

Sin embargo, Apple utiliza su propia implementación a medida de las PYMES. Aunque esto es totalmente compatible con la versión de Microsoft, no sufre de los mismos errores o agujeros de seguridad, por lo que no se ve afectado por WannaCry - o al menos no en la manifestación actual de WannaCry.

El iPhone, iPad, Apple TV e incluso el Apple Watch no utilizan el uso compartido de archivos SMB, por lo que, en teoría, WannaCry no supone ningún riesgo.

¿Pueden los Macs ser afectados por Petya?

Petya es otro ataque de ransomware, similar al de WannaCry, que afectó a los ordenadores de Europa y Estados Unidos a finales de junio de 2017.

Petya golpeó a algunas grandes empresas y, al igual que el anterior ataque de rescate de WannaCry que afectó al NHS en el Reino Unido, se extendió rápidamente a los ordenadores Windows de la misma red.

Los equipos están infectados debido a una vulnerabilidad en Windows para la que Microsoft ha lanzado un parche. La mayoría de las compañías antivirus han actualizado su software para protegerse contra Petya.

El programa de rescate Petya exige que se paguen 300 dólares en Bitcoins como rescate para recuperar el acceso al ordenador. Sin embargo, se cree que los autores son aficionados, ya que la nota de rescate da la misma dirección de Bitcoin para cada víctima y solo se proporciona una dirección de correo electrónico para la correspondencia, que, por supuesto, ya ha sido cerrada.

Es posible que el ataque se haya dirigido contra el Gobierno ucraniano y no como un medio para ganar dinero.

Cómo proteger un Mac de los ransomware

Aunque en el momento de escribir este artículo no ha habido un brote grave de ransomware en Macs (ni en ningún hardware de Apple), los investigadores de seguridad estiman que es una posibilidad real.

Hablando en el programa "Squawk Box" de CNBC tras el famoso ataque de rescate de WannaCry, Aleksandr Yampolskiy, CEO de SecurityScorecard, insistió en que los usuarios de Apple son vulnerables a los ataques de tipo WannaCry, incluso si ese evento específico solo afectaba a los sistemas Windows.

"Sucede que este ataque se dirige a los ordenadores con Windows", dijo. "Pero Apple es absolutamente vulnerable a tipos similares de ataques."

Entonces, asumamos hipotéticamente que has sido infectado. ¿Qué debe hacer en caso de que tu Mac haya sido infectado con un virus?

1. Que no cunda el pánico

Tómate tu tiempo para asimilarlo, y tranquilo/a: seguramente hay una solución disponible.

2. Limpieza

Utiliza un escáner de malware como el escáner de virus gratuito de Bitdefender para buscar el ransomware y eliminarlo.

Es poco probable que seas la única persona afectada por el ransomware, así que estate al tanto de las noticias en webs de tecnología como macworld.es para saber más sobre la naturaleza de la infección.

Es muy probable que encuentres instrucciones específicas sobre cómo limpiar la infección, si un analizador de virus no es capaz de hacerlo.

Es posible que un o una investigadora de seguridad haya encontrado una forma de descifrar tus archivos de forma gratuita, algo que ocurrió con el ejemplo más reciente del puñado de infecciones de ransomware que se han identificado en un Mac.

3. No pagues

Como verás más adelante cuando examinemos el puñado de brotes de ransomware que afectan al Mac, hay una buena posibilidad de que el pago no recupere tus archivos.

4. Desconectar y desconectar el almacenamiento

El único ejemplo de ransomware efectivo que se ha visto hasta ahora en un Mac -KeRanger- también intentó cifrar las copias de seguridad de Time Machine, para intentar imposibilitar que el usuario simplemente restaurara los archivos de una copia de seguridad.

Por lo tanto, al descubrir que tu Mac ha sido infectado por el ransomware, debes minimizar la posibilidad de que las copias de seguridad también se cifren al desconectar inmediatamente cualquier almacenamiento extraíble, como los discos duros externos, y al desconectarte de cualquier red compartida, haciendo clic en el icono de expulsión que aparece junto a sus entradas en la barra lateral del Finder.

5. Instalar ‘RansomWhere?’

Considera la posibilidad de instalar la aplicación RansomWhere? Esta aplicación gratuita se ejecuta en segundo plano y vigila cualquier actividad que se asemeje al cifrado desenfrenado de archivos, como el que tiene lugar durante un ataque de ransomware.

Entonces, detiene el proceso y te dice lo que está sucediendo. Algunos de tus archivos pueden terminar encriptados, pero espero que no muchos.

6. Protección básica contra phishing

Al igual que con muchos ejemplos de software de rescate y malware, WannaCry infecta inicialmente las redes informáticas a través de un ataque de phishing. Nunca abras un archivo adjunto de correo electrónico que no esperabas, incluso si parece provenir de alguien que conoces, y no importa lo importante, interesante o difamatorio que parezca ser.

7. No utilices software poco fiable

El ransomware para Mac más reciente intenta propagarse a través de aplicaciones "agrietadas" o parcheadas diseñadas para permitirte usar software comercial de forma gratuita. Por lo tanto, evita todo software que no proceda de fuentes oficiales.

8. Asegúrate siempre de que tu sistema y tus aplicaciones estén actualizados

En un Mac puedes configurar las actualizaciones automáticas abriendo la aplicación ‘Preferencias del Sistema’, que encontrarás en la lista ‘Aplicaciones del Finder’, y seleccionando el icono ‘App Store’.

A continuación, marca la casilla ‘Comprobar automáticamente si hay actualizaciones’ y marca todas las casillas que se encuentran directamente debajo de este encabezado.

9. Instalar solo desde sitios web oficiales

Si de repente aparece una ventana emergente que indica que uno de los plugins de tu navegador está desactualizado, por ejemplo, asegúrese de actualizar solo desde la página web oficial de ese plugin, como el sitio web de Adobe si se trata del plugin de Flash.

Nunca confíes en el enlace proporcionado en una ventana emergente. Las piratas informáticas utilizan con frecuencia estas ventanas emergentes y sitios web falsos para difundir programas de rescate y otros programas maliciosos.

10. Realiza copias de seguridad con frecuencia y desconéctate

Si tienes una copia de seguridad de tus archivos, entonces importa menos si el ransomware ataca porque simplemente puede restaurar.

Sin embargo, el brote de ransomware de KeRanger también intentó encriptar las copias de seguridad de Time Machine, por lo que puedes optar por utilizar una aplicación de terceros como Carbon Copy Cloner para realizar copias de seguridad de tus archivos.

Puede que te interese leer: cómo hacer copia de seguridad de un Mac.

Sin embargo, no basta con hacer copias de seguridad de tu Mac. Para estar realmente seguro, también deberías desconectar tu unidad de copia de seguridad después de que el Mac haya hecho una copia de seguridad, de esta manera la unidad no puede ser encriptada en un ataque.

¿Cómo puedo proteger mi iPhone o iPad de un ataque ransomware?

Los dispositivos iOS como los iPhones y los iPads fueron construidos desde cero para ser mucho más seguros que los Macs, y el verdadero ransomware a través de algún tipo de infección de malware sería extremadamente difícil de eliminar.

Ciertamente no ha habido ningún ejemplo hasta ahora, o al menos en dispositivos iOS que no hayan sido jailbroken.

Sin embargo, los iPhones, iPads e incluso los Macs están sujetos al secuestro de iCloud, un tipo de ataque de rescate mediante el cual un o una hacker reutiliza las contraseñas descubiertas a través de una de las muchas violaciones de seguridad a gran escala para iniciar sesión y tomar el control de la cuenta de iCloud de un usuario.

A continuación, cambian la contraseña y utilizan el servicio ‘Buscar mi iPhone’ para bloquear de forma remota el dispositivo iOS o Mac, enviando al usuario las solicitudes de rescate de dinero con el fin de recuperar el control.

A menudo amenazan con limpiar a distancia el dispositivo o el Mac además de esto. El primer ataque de esta naturaleza fue el de Oleg Pliss en 2014.

Sin embargo, independientemente de si es posible una infección real de ransomware, ciertamente tiene sentido asegurarse de mantener tu iPhone o iPad completamente actualizado para tener la mejor protección posible contra cualquier amenaza potencial.

Cuando una nueva actualización de iOS esté disponible, aparecerá una notificación junto a la aplicación ‘Configuración’, y podrás actualizarla abriendo ‘Configuración y luego tocando en ‘General > Actualización de software’. (Ten en cuenta que no hay forma de configurar las actualizaciones automáticas del sistema en iOS.)

Cualquier aplicación que afirme proporcionar análisis antivirus para dispositivos iOS es probable que sea dudosa en el mejor de los casos porque todas las aplicaciones iOS están en un entorno de arena, por lo que no pueden analizar el sistema u otras aplicaciones en busca de malware.

¿Debo ejecutar una aplicación antimalware siempre?

Puede que te sorprenda, pero los Macs ya tienen antimalware integrado, cortesía de Apple.

XProtect se ejecuta de forma invisible en segundo plano y analiza todos los archivos que se descargan como parte del proceso de cuarentena de archivos estándar.

XProtect es actualizado regularmente por Apple con nuevas definiciones de malware, puedes ver la frecuencia de las actualizaciones siguiendo estos pasos:

  1. Para abrir la aplicación Información del sistema, haz clic en ‘Apple > Acerca de este Mac’ y, a continuación, en el botón ‘Informe del sistema’.

  2. Selecciona el encabezado ‘Software’ en la lista de la izquierda y, a continuación, el encabezado ‘Instalaciones’ debajo de éste.

  3. Haz clic en el encabezado de la columna ‘Fecha de instalación’ para ordenar la lista por la más reciente y busca entradas que digan ‘XProtectPlistConfigData’.

XProtect fue la forma en que Apple fue capaz de derrotar a KeRanger, quizás la amenaza de ransomware basada en Mac más seria hasta ahora, antes de que tuviera la oportunidad de convertirse en endémica.

Además, también se ha añadido a XProtect el más reciente software de rescate para Mac, Filezip.

En combinación con otras medidas de seguridad incorporadas, como la cuarentena de archivos y el Gatekeeper, que impiden que el usuario ejecute alegremente aplicaciones o abra documentos que descarga de sitios web extraños, el Mac está mejor protegido contra el ransomware de lo que se podría pensar.

Sin embargo, no hay duda de que no hay nada malo en ejecutar ocasionalmente un escáner de virus bajo demanda como Bitdefender Virus Scanner, incluso si éste puede encontrar muchos falsos positivos en forma de virus de Windows en cosas como archivos adjuntos de correo.