31181432787
academy
Seguridad
Privacidad
Rendimiento
Español

Cómo eliminar ransomware en dispositivos Android

Una infección con ransomware es uno de los problemas más frustrantes que puede sufrir en su dispositivo Android. Por eso, la mejor defensa es impedir directamente que el ransomware llegue a su dispositivo. Si su dispositivo ya está infectado, ¡no tema! Le explicaremos las mejores maneras de eliminar el ransomware en dispositivos Android.

How_to_remove_Ransomware_from_Android-Hero
Escrito por Ivan Belcic
Fecha de publicación marzo 31, 2020

¿Puede eliminarse el ransomware?

En Android, tratar con el ransomware es más peliagudo que hacerlo con muchos otros tipos de malware, ya que eliminarlo no suele arreglar el problema. El motivo es el modo en que funciona el ransomware: en muchos casos, utiliza el cifrado para secuestrar sus archivos o su dispositivo. No es posible revertir el cifrado sin una clave de descifrado especial. Aunque consiga eliminar el ransomware, el cifrado permanece, por lo que sigue siendo imposible acceder a los archivos o el dispositivo.

Hamburguer menu icon

Este artículo contiene :

    La mayoría del ransomware es de la variedad «crypto», así denominada porque ataca y cifra (encripta) archivos y carpetas individuales. Aunque eliminar el ransomware crypto (o «filecoder») evita que siga causando más daños, no revierte ningún cifrado que ya haya tenido lugar. La mayor parte del ransomware crypto ataca equipos PC; de momento, no hay muchos diseñados contra dispositivos móviles.

    En un teléfono Pixel de Samsung, o en cualquier otro dispositivo Android, es más probable encontrarse con un tipo de ransomware conocido como «screenlocker» o «locker», que apresa el teléfono tras una nota de rescate. La buena noticia es que resulta mucho más sencillo eliminar este malware y restaurar el dispositivo que en el caso de los filecoders. En este mismo artículo se proporcionan varias guías detalladas para la eliminación de ransomware en Android.

    En muchos casos, el ransomware se elimina a sí mismo una vez que completa su trabajo para evitar que los investigadores de ciberseguridad lo estudien y desentrañen sus algoritmos de cifrado. Si no lo hace, una herramienta antimalware como Avast Mobile Security suele bastar para borrar todo rastro del ransomware del dispositivo. Pero, por desgracia, esta acción no deshace el cifrado que ya se ha producido.

    Céntrese en la prevención

    Al ser tan graves los peligros, prevenir el ransomware es el único modo de mantener sus archivos a salvo. Si espera hasta que ya se haya producido la infección, tal vez sea demasiado tarde para salvar sus datos. Realice copias de seguridad de toda su información importante, ya sea en un servicio de nube o en un dispositivo de almacenamiento externo desconectado. De este modo, si sufre una infección, puede restablecer fácilmente el dispositivo.

    Avast Mobile Security analiza regularmente el dispositivo para detectar y bloquear cualquier aplicación maliciosa, incluidos los portadores de ransomware conocidos. Detenga el malware antes de que llegue a su dispositivo con una protección preventiva contra enlaces infectados y redes Wi-Fi vulnerables. Nuestra solución de seguridad móvil emplea la misma red de inteligencia de amenazas global basada en IA que incluyen nuestras galardonadas herramientas para PC y Mac. Instale Avast Mobile Security para protegerse del ransomware.

    ¿Ya padece una infección? Siga estos tres pasos para eliminar ransomware en Android.

    1. Aísle inmediatamente los dispositivos infectados

    Si su dispositivo Android ya está infectado con ransomware, el primer paso debe ser ponerlo de inmediato en cuarentena. No lo utilice en su red Wi-Fi doméstica ni lo conecte a ningún otro dispositivo. Si lo hace, el ransomware podría propagarse. Desconecte los dispositivos infectados y aíslelos para reducir el riesgo de nuevos contagios.

    2. Descubra qué tipo de ransomware tiene

    Aislado el dispositivo Android infectado, es hora de averiguar a qué clase de ransomware se enfrenta.

    • Ransomware crypto: Este tipo de ransomware, más prevalente en PC que en dispositivos móviles, cifra los archivos y luego exige el pago de un rescate a cambio de una clave de descifrado que, en realidad, podría no existir.

      Crypto ransomware encrypts your files.
    • Ransomware locker: A menudo se denominan «screenlockers» y es el tipo de ransomware más habitual en dispositivos móviles. En vez de cifrar los archivos, los screenlockers le impiden acceder por completo al dispositivo. Aunque son molestos, suelen más fáciles de eliminar que el ransomware de cifrado.

      An example of screenlocker ransomware, disguised as an FBI alert, shown on an Android phone

    • Scareware: Este tipo de malware manipula a las víctimas para que paguen por un software innecesario (y a menudo inútil). El scareware intenta convencerlo de que su dispositivo Android está infectado con un virus y le indica que compre una solución antivirus capaz de resolver todos sus problemas. El engaño está en que el software por el que paga es inútil. Podría incluso ser malware. Hay scareware que funciona como ransomware, aunque normalmente se trata de una amenaza vacua. Por eso es tan importante que utilice un limpiador de virus con buena reputación de una empresa en la que confíe.

    • Doxxing: Esta práctica no es malware, aunque merece la pena mencionarla aquí porque suele llevar asociada una petición de rescate. El doxxing es chantaje digital: la amenaza de revelar información personal o privada si la víctima no paga un rescate.

    Todos los dispositivos (PC, Mac, Android, incluso iOS) han sido objetivo de al menos uno de los tipos anteriores de ransomware. El panorama de la ciberdelincuencia actual es amplio y flexible, y ofrece a los atacantes una gran variedad de opciones a la hora de extorsionar a sus víctimas.

    Los screenlockers constituyen la mayoría del ransomware para Android. Por ejemplo, Cyber Police (a menudo denominado de forma incorrecta el «virus Cyber Police» para Android u otros apelativos similares) es un troyano screenlocker que infecta dispositivos cuando las víctimas hacen clic en anuncios maliciosos. Cyber Police solo puede infectar dispositivos con las versiones 4.0.3 a 4.4.4 de Android, por lo que, si hace tiempo que no actualiza su software, debería hacerlo ya. El screenlocker Article 161, o «Koler», es otro ejemplo de este tipo.

    Cómo identificar su ransomware

    Para averiguar qué tipo de ransomware infecta su dispositivo, vaya al centro No More Ransom de Europol. El servicio Crypto Sheriff puede ayudarlo a identificar su cepa particular de ransomware. Una vez que sepa cuál es, encontrará guías detalladas sobre lo que debe hacer a continuación.

    Si lo anterior no le sirve de ayuda, un paso recomendable es visitar foros de ciberseguridad como los de Bleeping Computer. Las comunidades de estos foros ayudan a menudo a identificar el ransomware para PC viendo la extensión de los archivos cifrados.

    3. Elimine el ransomware

    Una vez que haya identificado el tipo de infección al que se enfrenta, es hora de aprender a eliminar el ransomware de un dispositivo Android:

    Opción A: El ransomware se elimina a sí mismo

    Como se ha mencionado, buena parte del ransomware se elimina a sí mismo después de bloquear un dispositivo o los archivos que contiene. El objetivo es impedir que los expertos en ciberseguridad estudien el ransomware y, tal vez, logren quebrar sus algoritmos de cifrado. Si la cepa que infecta su dispositivo Android se borra a sí misma automáticamente, no es necesario que haga nada más para eliminar el ransomware (aunque los archivos seguirán cifrados).

    Opción B: Utilice Avast Mobile Security para eliminar el ransomware

    Avast Mobile Security puede purgar una gran variedad de malware de los dispositivos Android, incluidas muchas cepas de ransomware. Solo tiene que activarlo y dejar que analice el dispositivo para eliminar la amenaza. Avast Mobile Security también es capaz de detectar y bloquear el ransomware antes de que infecte su dispositivo.

    The main menu on Avast Mobile Security for Android, showing the Scan button

    Opción C: Elimine el ransomware manualmente

    Si tiene tiempo y ganas, nunca es mala idea probar a aplicar los métodos usted mismo antes de pagar a alguien para que lo ayude. Siga los pasos siguientes para intentar eliminar el ransomware Android por su cuenta. Reiniciará el dispositivo en modo seguro, lo que impide la ejecución de aplicaciones de terceros… incluido el ransomware.

    Paso 1: Reinicie el teléfono en modo seguro

    Este procedimiento puede variar ligeramente en función de su dispositivo y versión de Android, pero la mayoría le permite reiniciar directamente en modo seguro.

    Pruebe a mantener pulsado el botón de encendido durante unos segundos, como si quisiera apagar el teléfono.

    img_04Mantenga pulsada la opción Apagar y luego toque Aceptar.

    Rebooting to safe mode from the Power menu in Android 7.0El teléfono se reiniciará en modo seguro. Lo sabrá porque en la pantalla de inicio se mostrará el mensaje «Safe Mode» (o «Modo seguro»).

    img_06Ahora toca salir a cazar malware.

    Paso 2: Compruebe sus aplicaciones

    Vaya a Configuración > Aplicaciones y compruebe si hay algún programa que no debería estar ahí. Ver algo que no recuerda haber instalado es una clara señal de peligro. Comience con las aplicaciones instaladas más recientemente, ya que es más probable que sean las responsables de su problema de ransomware, y desde ahí vaya hacia atrás.

    Como antes, el procedimiento puede variar levemente en función de su dispositivo y su versión de Android.

    The Apps menu in Android 7.0

    Paso 3: Desinstale las aplicaciones maliciosas

    Cuando encuentre una aplicación que no debería estar ahí, desinstálela. Toque la aplicación y, a continuación, toque Desinstalar.

    The App info menu in Android 7.0Hay ransomware que se otorga privilegios administrativos sobre el dispositivo, lo que le permite desactivar su propio botón Desinstalar. Puede resolverlo del siguiente modo:

    Paso 4: Impida que aplicaciones no deseadas se conviertan en administradores del dispositivo

    Vaya a la configuración de seguridad del teléfono y busque una lista de aplicaciones con privilegios administrativos. La ruta será parecida a esta: Configuración > Seguridad > Administradores del dispositivo. Si ve en la lista cualquier aplicación no deseada, elimine sus privilegios desmarcando las casillas respectivas y seleccionando Desactivar este administrador del dispositivo.

    The Device Administrators menu in Android 7.0Vuelva a la lista de aplicaciones del paso 3, done ahora será capaz de desinstalar la aplicación maliciosa.

    Como última medida, vaya a la carpeta Descargas y elimine el archivo de instalación .apk de la aplicación, si lo ve.

    Ahora puede reiniciar el teléfono en el modo de funcionamiento normal, aunque cualquier archivo cifrado por el ransomware seguirá estando cifrado. Si se vio afectado por un malware screenlocker, después de eliminarlo y realizar los pasos anteriores, el teléfono debería funcionar como nuevo.

    Recupere sus archivos cifrados

    Si su teléfono se vio afectado por un filecoder, eliminarlo no descifrará los archivos. Tendrá que descifrarlos o, mejor aún, restaurarlos desde una copia de seguridad reciente. Sin embargo, como la mayoría del ransomware para Android es de la variedad screenlocker, es probable que no tenga que preocuparse por restaurar los archivos.

    Si, pese a todo, se encuentra con un montón de archivos cifrados, siga leyendo para aprender a recuperarlos sin tener que pagar el rescate.

    A. Restaure desde una copia de seguridad

    Siempre que sus archivos estén a buen recaudo en una copia de seguridad, puede restablecer la configuración de fábrica de su teléfono Android para eliminar el ransomware y restaurar los archivos cifrados. El restablecimiento a los valores de fábrica borra el teléfono entero (las aplicaciones, archivos y ajustes), tras lo cual puede recuperar sus datos desde una copia de seguridad reciente.

    Esta es una excelente razón para realizar copias de seguridad regulares de todos sus dispositivos. Si cuenta con una copia no cifrada de todos sus archivos importantes, ni el filecoder más diligente supondrá amenaza alguna. Si no cuenta con una copia de seguridad del sistema, este método no le servirá de mucho y probablemente no le interese borrar el teléfono entero.

    Paso 1: Realice un restablecimiento de los datos de fábrica

    Busque en la Configuración hasta dar con Copia de seguridad y restablecimiento > Restablecer datos de fábrica.

    The Backup & reset menu in the Settings of Android 7.0

    Toque Restablecer dispositivo para comenzar.

    The Factory data reset screen in Android 7.0

    Paso 2: Introduzca su PIN

    Confirme el restablecimiento con el PIN y luego toque Borrar todo.

    The password confirmation screen to reset a device using Android 7.0

    Paso 3: Reinicie y restablezca

    El teléfono se reiniciará y deberá realizar el procedimiento de configuración inicial.

    The Welcome screen in Android 7.0 on an Asus phonePronto podrá restaurar todos sus archivos desde una copia de seguridad que, esperemos, realizara hace poco, aunque antes de descargar el ransomware. Elija Conservar sus aplicaciones y datos.

    The setup menu in Android 7.0 on an Asus phone

    B. Utilice herramientas de descifrado

    Después de identificar el tipo de ransomware en el teléfono, tal vez pueda encontrar sus claves de descifrado. Cuando los investigadores de ciberseguridad logran romper los algoritmos de cifrado de un filecoder, publican de forma gratuita las claves de descifrado para beneficio de todos.

    La mayoría del ransomware actual aún no se ha descifrado; una vez que se obtiene la clave de descifrado, el ransomware deja de suponer una amenaza. No es fácil encontrar en Internet descifradores para Android. De hecho, nuestra propia lista de descifradores se limita en este momento a soluciones para PC.

    Si no cuenta con una copia de seguridad, le tocará esperar a que algún intrépido investigador descifre el ransomware que mantienen bloqueados sus archivos.

    C. No negocie

    El ransomware es increíblemente frustrante para las víctimas y lamentamos que nadie se vea privado por la fuerza de sus valiosos archivos. La tentación de «limitarse a pagar y dejar todo atrás» es fuerte, y es un sentimiento que entendemos, pero es esencial resistirse. No negocie con ciberdelincuentes y nunca pague sus demandas de rescate.

    Si decide pagar, estará financiando directamente futuras actividades delictivas. También estará enviando el mensaje de que el ransomware es una herramienta eficaz, lo que puede animar a los ciberdelincuentes a atacar a nuevas víctimas. Además, el pago no es garantía de que vaya a recuperar sus archivos ni de que se vaya a eliminar el ransomware.

    Nunca es buena idea acceder al pago.

    ¿Cómo puede llegar el ransomware a un dispositivo Android?

    Muchas cepas de ransomware para PC se infiltran en los equipos de sus víctimas aprovechando vulnerabilidades de los sistemas operativos antiguos. Por su parte, la mayoría del ransomware para Android requiere que usted mismo lo instale. Los ciberdelincuentes engañan a sus víctimas para que instalen el ransomware mediante correos electrónicos de phishing, trucos de ingeniería social y campañas de malvertising.

    A los ciberdelincuentes les encanta camuflar su ransomware como aplicaciones aparentemente inocuas. Esto es exactamente lo que sucedió en 2017 en un ataque de ransomware para dispositivos móviles en China, donde se empleó un tipo de ransomware crypto para Android disfrazado de aplicación de juegos. Una vez que se descarga la aplicación y se le conceden los permisos que solicita, el ransomware revela su verdadera naturaleza. No podrá acceder a su dispositivo Android y no le quedará más compañía que una nota de rescate. El ransomware también puede acceder a su dispositivo a través de falsas solicitudes de actualización del sistema o de software.

    ¿Cómo sabré si mi teléfono está infectado?

    Hemos hablado mucho del ransomware en dispositivos Android, pero ¿qué aspecto tiene exactamente una infección? Hay dos claras señales que le indican que su teléfono está infectado con malware:

    • No tiene acceso: El ransomware screenlocker le impide acceder a su dispositivo. En vez de la habitual pantalla de bloqueo, verá una notificación que le informa de que no puede acceder a su teléfono. Estas aplicaciones no cifran sus archivos, pero en la práctica inutilizan el dispositivo.

    • Recibe notas de rescate: ¿Qué es un ransomware sin una nota de rescate? Muchas cepas de ransomware tienen su propia nota de rescate, una exclusiva tarjeta de visita que transmite tres datos cruciales:

      • Que o bien su dispositivo está bloqueado (screenlocker), o bien sus archivos están cifrados (ransomware crypto).

      • La cantidad de dinero exigida como rescate.

      • El método de pago, a menudo en criptomoneda y a través del navegador Tor.

    Los ciberdelincuentes quieren que sepa que el dispositivo está infectado e intentarán presionarlo para que pague, así que no dudarán en ponerle notas de rescate delante de las narices mediante ventanas emergentes.

    ¿También pueden verse afectadas las tabletas Android?

    Las tabletas Android son tan vulnerables al ransomware como los teléfonos Android. Por ejemplo, Cyber Police aparece tanto en tabletas como en teléfonos. De hecho, es una de las cepas de ransomware para tabletas Android más extendidas.

    Como el sistema operativo subyacente es el mismo, las técnicas de eliminación de ransomware aquí detalladas serán tan efectivas en una tableta como en un teléfono. Si su aplicación de seguridad móvil no es capaz de poner el ransomware en cuarentena y eliminarlo, y además no es posible acceder al modo seguro, solicite la ayuda de un experto en ciberseguridad.

    La defensa es la mejor estrategia

    A estas alturas, ya debería tener claro lo desagradable que puede ser que su dispositivo se infecte con ransomware. Por este motivo, la mejor táctica antiransomware es la prevención, no la eliminación. Avast Mobile Security protege de forma ininterrumpida su teléfono o tableta Android del malware, y lo hace mediante análisis completos del dispositivo, las aplicaciones, los enlaces web y las redes Wi-Fi.

    Si no realiza copias de seguridad regulares de su dispositivo, este es el momento de empezar. Muchos teléfonos Android incluyen una opción para hacerlo de forma automática. Si cuenta con una herramienta de seguridad móvil potente y con una copia de seguridad reciente del sistema y sus archivos, no tendrá nada que temer.

    Proteja su Android frente a amenazas

    gratis con Avast Mobile Security

    Instalación gratuita

    Proteja su iPhone frente a amenazas

    gratis con Avast Mobile Security

    Instalación gratuita
    Ransomware
    Seguridad
    Ivan Belcic
    31-03-2020