¿Qué es y Cuál es el futuro del ransomware?

 

Aunque parezca sorprendente, el concepto de ransomware no es nuevo. De hecho, las primeras ideas al respecto se remontan a finales de los 80, aunque la primera propuesta completa fue hecha por ADAM L. Young y MOTI Yung [1], de la Universidad de Columbia, en 1996 (!). Este artículo ha evitado que durante esos años, el ransomware se convirtiera en el problema que es hoy. Seguramente, los ciberdelincuentes no debían tener acceso a buenos manuales sobre criptografía (o ser capaces de entenderlos).

Cybersecurity_hack.jpg

Sin embargo, como era previsible, en algún momento estos programadores se pondrían a estudiar y, desde aproximadamente 2012, la situación cambió drásticamente, convirtiéndose en la que es probablemente la mayor amenaza a los sistemas de información. El concepto es, en realidad, muy simple: un ransomware -del inglés ransom, «rescate», y ware, acortamiento de software- es un programa malicioso que infecta los ordenadores y cifra sus ficheros hasta que el usuario paga una recompensa para recuperarlos. 

Este ataque es hoy en día, de hecho, un negocio muy lucrativo. Se estima que en 2018 el coste global de los ataques ransomware en el mundo fue de alrededor de 8.000 millones de dólares, pudiendo superar los 11.500 millones este 2019 [2]. Probablemente el ejemplo más conocido fue el de WannaCry en 2017, que afectó a multitud de grandes empresas e instituciones en nuestro país. 

¿Cómo protegerse del ransomware?

Como veremos a continuación, no hay “atajos”, ni forma de recuperar las claves de cifrado sin pagar la recompensa correspondiente. Por tanto, yo recomiendo 3 claves para proteger nuestros equipos de un ataque ransomware: 

(1) aplicar diligentemente los parches de seguridad del SO,

(2) disponer de un buen antivirus y, sobre todo,

(3) tener copias de seguridad actualizadas de nuestros datos.

Monitor_hack.jpg

Venga, en serio. ¿De verdad no hay forma de recuperar los ficheros sin pagar? No, no la hay. Solo para las primeras versiones de ransomware, que contenían numerosos fallos de programación, puede probarse suerte en No More Ransom [3], un repositorio de antiguas claves de descifrado mantenido por Europol, la policía alemana, Kaspersky y McAfee. Sin embargo, prácticamente todas las variantes actualmente existentes de ransomware están correctamente implementadas. Tanto es así que ProPublica [4] ha reportado que algunas compañías que supuestamente pueden recuperar la información secuestrada por ransomware, lo que realmente hacen es pagar la recompensa a los cibercriminales, sin informar al usuario (y repercutir ésta al usuario afectado, por supuesto, más una generosa comisión). 

¿Pagar o no pagar?

Obviamente, todas las instituciones y empresas de ciberseguridad recomiendan no pagar la recompensa por muchos motivos, la mayoría muy razonables. Sin embargo, en ocasiones puede ser peor el remedio que la enfermedad. Recientemente, la ciudad de Atlanta sufrió el ataque de un ransomware y sus administradores decidieron que no pagarían la recompensa bajo ningún concepto [5]. ¿Resultado? Finalmente gastaron más de 2,5 millones de dólares en recuperar sus sistemas, cuando la recompensa inicial era algo inferior a los 50.000 dólares en bitcoin. 

¿Hacia dónde evoluciona el Ransomware?

Sin embargo, a pesar del panorama descrito, el verdadero problema con el ransomware está por llegar, cuando éste realice el salto al Internet de las Cosas, o IoT. En efecto, todo dispositivo se está convirtiendo en un ordenador, como nuestro microondas, nevera, coche o televisión. Y desde el momento en que se conectan a Internet, se hacen también vulnerables al ransomware y otras amenazas. 

Keyboard_hack.jpg

Es, por tanto, sólo una cuestión de tiempo que nuestro coche se niegue a arrancar y muestre un aviso en su pantalla informándonos de que no lo hará hasta que no paguemos una cantidad en bitcoins como recompensa. O nuestro teléfono, nevera, cerradura electrónica o desfibrilador (que pueden ser comprometidos desde decenas de metros de distancia) [6]. Finalice usted la lista. 

El verdadero problema en este caso es que las soluciones mitigadoras planteadas anteriormente ni siquiera funcionan en este caso. Hasta el momento, no hay forma de realizar una copia de seguridad del software de nuestro frigorífico y, en cualquier caso, el proceso de recuperación del mismo no está al alcance de la mayoría de usuarios. Además, estos dispositivos están diseñados (supuestamente) para durar muchos años, como un coche, frente a los tiempos de reposición mucho más reducidos de ordenadores y teléfonos móviles. 

Finalmente, para terminar de empeorar las cosas, la seguridad suele ser la última de las prioridades para los fabricantes de estos dispositivos IoT, de forma que muchos no tienen equipos de ingenieros específicos, ni sus dispositivos son actualizables. Baste recordar el ejemplo de la botnet Mirai, que infectó cientos de miles de cámaras digitales y webcams, y lanzó un ataque de denegación de servicio (DoS), que resultó en multitud de servicios como Twitter fuera de combate durante horas. La mayoría de los dispositivos atacados no pueden ser arreglados de ninguna forma, por lo que siguen siendo vulnerables.

La solución, como todo en el ámbito de la ciberseguridad, no es sencilla ni inmediata, pero, en mi opinión, pasará a largo plazo en normativas mucho más exigentes por parte de las autoridades, que obliguen a los fabricantes a asumir las consecuencias de fabricar dispositivos defectuosos, que puedan poner en riesgo la vida de las personas.

¿Quieres aprender sobre ciberseguridad? Fórmate con el Tech Bootcamp de Advanced Cybersecurity y da un salto exponencial a tu carrera. Toda la información e inscripciones aquí.

Referencias

[1] Adam L. Young and Moti Yung. 2017. Cryptovirology: the birth, neglect, and explosion of ransomware. Commun. ACM 60, 7 (June 2017), 24-26. DOI: https://doi.org/10.1145/3097347

[2] Terrence August, Duy Dao, Marius Florin Niculescu, Economics of Ransomware Attacks, https://weis2019.econinfosec.org/wp-content/uploads/sites/6/2019/05/WEIS_2019_paper_60.pdf

[3] NoMoreRansom, https://www.nomoreransom.org/en/index.html

[4] ProPublica, Sting Catches Another Ransomware Firm — Red Mosquito — Negotiating With “Hackers”, https://www.propublica.org/article/sting-catches-another-ransomware-firm-red-mosquito-negotiating-with-hackers

[5] Wired, The Ransomware That Hobbled Atlanta Will Strike Again, https://www.wired.com/story/atlanta-ransomware-samsam-will-strike-again/

[6] ZDNet, FDA warning: Scores of heart implants can be hacked from 20ft away

https://www.zdnet.com/article/fda-warning-scores-of-heart-implants-can-be-hacked-from-20ft-away/

Oscar Delgado

Director Académico, Immune Coding Institute

Immune Institute