Desactiva esta función de Windows: está haciendo más fácil la vida a los piratas

A menudo indicamos que, si queremos estar protegidos de todo tipo de ataques informáticos, es imprescindible tener un buen antivirus instalado en nuestro ordenador. Windows Defender, por ejemplo, es el antivirus que viene instalado por defecto en Windows 10. Y también podemos optar por otras soluciones, como Kaspersky o Bitdefender. Sin embargo, por muy bueno que sea nuestro antivirus, hay técnicas diseñadas para saltarse su seguridad, como el abuso de la función EFS de Windows, que está haciendo que el nuevo ransomware sea indetectable.
EFS es una de las funciones nativas de Windows que permite a los s cifrar archivos y carpetas específicas con una clave simétrica, la cual posteriormente se cifra con una segunda clave asimétrica. Tanto el cifrado como el descifrado se realizan por debajo del recuperar los datos tiene que pagar por la clave privada para poder descifrar los datos. De lo contrario, será imposible recuperar la clave EFS.

Todas estas pruebas se han realizado en laboratorios, en entornos virtuales y aislados. Y han sido un éxito. Aunque los investigadores de seguridad no han dado pistas sobre el proceso, es muy probable que en poco tiempo empecemos a ver serias amenazas de seguridad que se aproveche de esta función de Windows para evadir a los antivirus.
Cómo proteger nuestro ordenador
Lo primero que debemos tener en cuenta es que si estamos usando una edición Home de Windows no tenemos de qué preocuparnos. La función de EFS no está disponible para nuestro PC. Para comprobar si tenemos esta función, y si está habilitada, abrimos las propiedades de cualquier carpeta, elegimos «Opciones avanzadas», y nos fijaremos si la opción «Cifrar contenido para proteger datos» está disponible.

Si queremos protegernos del ransomware que abusa de esta característica, lo que debemos hacer es deshabilitarla por completo en nuestro sistema operativo. Para ello abriremos el registro de Windows y nos desplazaremos hasta el siguiente directorio:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS
Aquí cambiaremos el valor de la entrada «EfsConfiguration» por «1». Si no existe el valor (DWORD de 32 bits), lo creamos.
También podemos ir al siguiente directorio:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetPolicies
Y en él crear un nuevo valor llamado «NtfsDisableEncryption» y darle el valor «1».
Eso sí, esto solo es factible si no usamos el cifrado EFS. Si lo usamos, o tenemos carpetas cifradas que solemos usar, no podemos desactivar esta función.
Algunos antivirus, como Kaspersky, ya han incluido funciones para detectar este tipo de amenazas, aunque la mayoría de los antivirus aún no cuentan con ellas. Por ello, si podemos asumirlo, es mejor deshabilitar la función y no confiar plenamente en el antivirus.
Los consejos básicos de seguridad, como evitar descargar archivos de sitios web pirata o de dudosa fiabilidad, junto con no abrir ningún archivo (ni PDF, ni documentos ni nada) que pueda venir a través del USB nos ayudará a reducir la probabilidad de terminar infectados.