descubre ghostlock: cómo pueden bloquear tus archivos en windows

Una nueva técnica llamada Ghostlock permite bloquear el acceso a archivos en Windows usando la propia API del sistema.

El método aprovecha la función CreateFileW y el parámetro dwShareMode con valor 0, lo que otorga acceso exclusivo al proceso que abre el archivo y evita que otros programas o usuarios lo abran.

Aunque se trata solo de una prueba de concepto y no es un malware activo, demuestra que es posible usar APIs legítimas para interrumpir el acceso a datos, incluso en recursos compartidos por red (SMB).

Lo crítico es que la herramienta puede ejecutarse sin privilegios de administrador, lo que la convierte en una amenaza potencialmente grave, aunque no destruye los archivos como lo haría un ransomware.

cómo ghostlock bloquea tus archivos

Ghostlock llama a CreateFileW con dwShareMode = 0. Con este ajuste Windows concede al proceso un acceso exclusivo, impidiendo que cualquier otro proceso abra el mismo archivo mientras está activo.

Esto funciona tanto en archivos locales como en recursos SMB compartidos en la red.

por qué no es ransomware pero sí peligroso

La técnica no borra ni cifra los datos, por lo que no es destructiva como un ransomware. Sin embargo, al bloquear los archivos, impide que los usuarios los lean o modifiquen, lo que puede paralizar el trabajo.

Además, cualquier usuario sin privilegios elevados puede lanzar la herramienta, lo que amplía el riesgo.

qué puedes hacer para protegerte

Evita ejecutar programas desconocidos y mantén el sistema actualizado. Configura permisos de uso compartido y supervisa procesos que mantengan archivos abiertos de forma exclusiva.

Si sospechas de un bloqueo, reinicia el equipo o cierra el proceso que está usando el archivo.