Falso soporte técnico bloquea tu PC como un ransomware más

Un nuevo tipo de soporte técnico falso está asumiendo la forma de actuar del ransomware, para bloquear los ordenadores de usuarios, según reporta Jerome Segura, investigador de Malwarebytes. Es lo que han dado en llamar «bloqueadores de soporte técnico».

Hasta ahora habíamos observado otros intentos de bloqueo similares pero no tan potentes en alcance, como los típicos bloqueos de navegador o las ya conocidas alertas de infección de virus, que llevan aparejadas descargas de «sacadineros», que no antivirus de verdad.

Esto no es una ventana emergente que puede cerrarse fácilmente, mediante reinicio del PC o cierre forzoso de la app. Esto es, esencialmente, un fragmento de malware que se inicia automáticamente, con lo que los trucos como ALT+F4 ya no surten efecto.

¿Cómo llegan los bloqueos al sistema?

Estos bloqueadores similares al ransomware llegarán a tu equipo si haces click sobre un supuesto parche o actualización para Adobe Flash. Un investigador de nombre @TheWack0lian se ha topado con una muestra que se instala silenciosamente y no se manifiesta hasta el siguiente reinicio, cuando se garantiza la persistencia.

Falso soporte técnico, «ransowmare style»

En ese momento, el usuario verá algo como lo que sigue, una supuesta pantalla de actualizaciones de Windows:

El engaño cargará entonces otra pantalla, avisándonos de que el usuario no puede acceder al equipo debido a que su licencia de Windows ha expirado.

Windows Update no puede continuar debido a que su copia de Software está caducada/corrupta. Por favor, introduzca una clave de producto válida para continuar.

Esta ventana bloquea el uso del equipo de forma completa.

Como ocurre en este tipo de situaciones, la pantalla de bloqueo nos facilita un número de teléfono para que podamos llamar y solicitar soporte técnico. Al llamar al citado número, un amable «técnico» nos ofrecerá conectarse remotamente al equipo mediante Teamviewer para arreglar el problema (borrando su propio malware). Todo ello, al módico precio de 200 €.

Por suerte, no es tan grave como puede parecer. The Wackolian destaca la posibilidad de usar la combinación de teclas CTRL + SHIFT, presionando al mismo tiempo la tecla S. Esto no sirve para restablecer el acceso al equipo, sino para desactivar el bloqueador.

• h7c9-7c67-jb
• g6r-qrp6-h2
• yt-mq-6w

No siempre funcionarán, pero en ciertos casos han servido para desbloquear los equipos.

¿Qué conclusiones sacamos de este hecho aislado?

Precisamente, que esto dejará de ser un hecho aislado en un breve espacio de tiempo. Si un esquema de fraude tiene éxito en Internet, poco tardan los malos en adoptarlo. Segura es de la misma opinión:

No es necesario decir que esto supone una preocupante moda, porque en comparación con la falsa alerta de navegador, estos bloqueadores de Windows son un dolor de cabeza para sacárselos de encima y, hasta que no lo hagas, tu ordenador será completamente inutilizado.

De hecho, los ciberdelincuentes ya están migrando estos intentos de engaño a Facebook, lo que quiere decir que no nos los vamos a quitar de encima en una buena temporada:

¿Y cómo me protejo de este falso soporte?

Utiliza un antivirus fiable y manténlo actualizado, evita hacer click en enlaces sospechosos y supuestos avisos de cualquier tipo. Para esto, además te recomiendo utilizar un bloqueador de popups como UBlock Origin.

Además, recuerda que para proteger mejor las áreas sensibles del sistema, es mejor utilizar una cuenta de Windows sin privilegios de administrador, que deberías configurar lo antes posible.