Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 4, Número 41, Agosto de 2005

Ransomware y criptovirología

Carlos Suárez Gutiérrez

 

Mientras visita alguna página web y sin que usted se de cuenta, el servidor remoto, mediante un fallo de Microsoft Internet Explorer (reparado hace casi un año), le envía un troyano llamado Trojan.Pgpcoder; éste a diferencia de los conocidos tiene una novedad: busca en el disco duro de la víctima 15 extensiones de archivos predefinidas (incluidos los documentos de Microsoft Office), los codifica, borra los originales y exige a la víctima 200 dólares a cambio de la herramienta para descifrarlos.

Este no es el argumento de un guión de ciencia ficción, es una nueva forma de afectar a los usuarios, donde se secuestra su información y se exige un pago por su “liberación”.

Los virus tienen secretos

A mediados de los ochenta inicia el estudio de la aplicación de la criptografía en el desarrollo de programas maliciosos; se trata de investigar de qué manera se puede usar para consolidar, mejorar y desarrollar nuevas versiones de programas diseñados para hacer daño. Esta disciplina de la informática se denomina criptovirología.

En seguridad informática, un criptovirus se define como un virus de computadora que contiene y utiliza una llave pública. Recordemos que uno de los mejores sistemas de cifrado de datos es el de llave pública donde cada usuario tiene dos llaves: la primera (pública) se distribuye libremente y sirve para que puedan enviarle un mensaje codificado que sólo el usuario podrá descifrar mediante la segunda (privada).

Extorsión criptoviral

El proceso de extorsión mediante cifrado comprende tres rondas y el ataque lo realiza un criptovirus de la siguiente forma:

  1. Autor del virus – víctima. El programador desarrolla un criptovirus y lo distribuye vía Internet, posteriormente éste se activa en un momento determinado, por lo que puede haber cientos o miles de computadoras infectadas. Cuando el virus se activa, encripta la información del usuario mediante una clave pública en poder del autor del virus. En ese momento el virus notifica al usuario, mediante un mensaje en pantalla, que sus datos han sido cifrados y requieren de una clave para poder restaurarse a su estado original. Generalmente la petición del rescate se hace a través de un intercambio de mensajes cifrados en sitios públicos, como foros, lo que dificulta el seguimiento de estos delincuentes.
  2. Víctima – autor del virus. Si la víctima accede a pagar el rescate, el autor del virus envía la clave privada, que sólo él posee, revelando la usada para el ataque.
  3. Autor del virus – víctima. El autor del virus manda la llave a la víctima para descifrar los datos y, de esta forma, el rescate se lleva a cabo.

Podemos considerar que el ataque es inútil si la víctima tiene respaldos, además de que los expertos en virus no pueden hacer nada por recuperar la información, toda vez que sólo es posible conocer la clave pública contenida en el código del virus, mientras que la clave privada se encuentra en poder del autor del virus y es imposible deducirla con las herramientas de cómputo existentes actualmente.

Un aspecto interesante de este tipo de extorsión tiene que ver con el pago. Recordemos que existen varios servicios en Internet que permiten hacer transferencias monetarias con un buen grado de anonimato; por ejemplo el uso de alias, sistemas de enmascaramiento y redes mixtas dificultan el seguimiento del dinero.

Llega el Ransomware

Originalmente, el Ransomware hacía referencia a un nuevo tipo de licencia usada para la distribución de software, donde el autor demandaba cierta cantidad de dinero para liberar el código fuente de su programa y si sus condiciones eran cumplidas, el programa pasaba a ser Open Source, en caso contrario sólo estaba disponible el código compilado. Poco después se implementa una variación en la que el objetivo de retener el código era el de reunir cierta cantidad de dinero o bien, cumplir una fecha determinada.

Esta forma de distribución pretendía retribuir a los autores del software por el esfuerzo invertido, al asegurar cierta compensación económica antes de liberar el código y estimular a los programadores a invertir su talento en el desarrollo de nuevas herramientas, sabiendo que recibirían un ingreso por el trabajo realizado.

Como es fácil imaginar, el término Ransomware extendió sus alcances para referirse también, al uso de criptovirus para “secuestrar” archivos y pedir el pago de un rescate por ellos; algunas herramientas y técnicas de programación que se idearon pensando en la distribución mediante el esquema de Ransomware, ahora se usan en la creación de criptovirus.

Primeros ataques

En 1995, A. Young escribió un criptovirus de clave pública como parte de su tesis de maestría, al año siguiente se hizo otro experimento exitoso cuidando siempre que el criptovirus no se liberara y causara daños fuera del laboratorio. Las bases para el desarrollo del criptovirus estaban sentadas, era cuestión de tiempo que alguien las retomara, y programara el primer criptovirus distribuido libremente vía Internet.

Algunos ataques fueron documentados en Europa a finales de los noventa, sin embargo, no hay información suficiente que permita asegurar que fue un criptovirus, ni se dispone del código del virus para analizarlo, así que más que un ataque se considera un rumor.

A finales de mayo de este año se difundió la noticia de que el primer criptovirus estaba en circulación bajo el nombre de Pgpcoder, por lo que todas las compañías dedicadas al combate antivirus alertaron a la comunidad informática e iniciaron el análisis del código en cuestión.

Por fortuna, el creador del virus (en realidad es un troyano) cometió algunos errores en el diseño del código utilizando un algoritmo de cifrado muy simple basado en valores fijos, que permite invertirlo y recuperar de manera automática los archivos.

Si bien hasta ahora no se ha documentado ninguna víctima de este criptovirus, su sola existencia es una mala noticia para los usuarios comunes, expuestos a amenazas cada vez más refinadas que van detrás de nuestra valiosa información y, ahora también, de nuestro dinero.

Al momento de esta publicación se conocen tres variedades de Pgpcoder y ninguna utiliza cifrado de clave pública, por lo que todavía no son una amenaza real para nuestra información, sin embargo, todo es cuestión de tiempo.

Conclusiones

Es totalmente factible y casi me atrevería a decir que probablemente, a corto plazo, algún programador diseñe un troyano similar al Pgpcoder, basándose en claves aleatorias y/o criptografía de llave pública, entonces sí habrá muchos problemas de información codificada casi imposible de restaurar.

Si bien las noticias en este campo no son halagadoras, no todo está perdido, en estos momentos cientos de analistas preparan la defensa y los antivirus actualizan sus algoritmos para reconocer esta nueva amenaza. Se trata de colaborar entre todos para que este nuevo tipo de virus dañe lo menos posible, en ese sentido, de nosotros depende el cuidado que tengamos al proteger la información generada o que nos fue confiada para que la mantengamos alejada de los criptovirus.

Para mayor información:

www.cryptovirology.com/

http://en.wikipedia.org/wiki/Ransomware

www.kriptopolis.org/node/707

Inicio | Contacto |