Hace un par de semanas les presentaba en esta columna una clasificación de diferentes tipos de malware. Hoy voy a profundizar un poco más en uno de los que más preocupa en la actualidad: el ransomware.
Recordemos que el ransomware es un tipo de programa informático con fines maliciosos. Su principal característica, como su nombre (ransom) indica, es que solicita un rescate para dejar de hacer sus fechorías. La variedad más “benigna” del ransomware es la del bloqueador. En estos casos, el programa se instala y muestra una pantalla con un logo oficial, del FBI o de la Policía, anunciándonos que hemos cometido un delito cibernético de cualquier pelaje y el ordenador se ha bloqueado para posterior investigación. No debe ser muy grave de lo que nos acusan, ya que por una módica multa de unos cien euros, el ordenador se desbloquea. Es obvio decir que ninguna Fuerza de Seguridad nos va a notificar un delito de esta manera. Así que, pueden solucionarlo iniciando el equipo con un CD o DVD que contenga un buen antivirus.
La otra variedad de ransomware es la que más preocupa a usuarios y, sobre todo a empresas. El ransomware de cifrado. Para entender que hacen estos programas, tenemos que entender en primer lugar unos conceptos básicos de un arte. La criptografía. La palabra proviene del griego ´kryptos´ ocultar y ´graphos´ escritura. A grandes rasgos, es una serie de metodologías que ocultan un mensaje para que sólo los destinatarios puedan leerlos. Partimos de un texto, y mediante un método, que llamaremos cifrado, obtendremos un criptograma o mensaje oculto. Si el destinatario conoce el método utilizado para el cifrado, podrá descifrarlo y leer el mensaje original.
Existen muchos métodos de cifrado. Todos hemos creado algún “lenguaje secreto” siendo niños. El método en esos casos solía ser la sustitución de unas letras por otras. Si el emisor y el receptor conocían la “clave de cifrado”, y coincidían, la comunicación era segura. Este tipo de clave ya se utilizaba en tiempos de los Romanos para el envío de mensajes militares. El método era también simple, y la clave era un simple número, por ejemplo, el 3. Esa clave indicaba un desplazamiento de letras en el alfabeto, de forma que la “A” se convertiría en “D”, la “F” en “I” y la “Z” en “C”. Es el llamado cifrado César. Les dejo un ejemplo de un posible mensaje que pudo haber enviado con esta clave: EUXWR OH OLUD ODÑ
Este es un cifrado muy simple. Otros sistemas criptográficos bien conocidos son el código Braille, el lenguaje Morse o el lenguaje de signos. Pero la criptografía se ha ido mejorando. Uno de los casos más famosos es el de la máquina Enigma, utilizada por el ejército nazi durante la Segunda Guerra Mundial. El éxito en el descifrado de los mensajes, conseguido por el equipo liderado por Alan Turing decantó la guerra del lado aliado indudablemente.
Otro concepto importante es si el cifrado es simétrico o asimétrico. El cifrado simétrico, es el usado en los ejemplos anteriores. Se usa la misma clave para cifrar y descifrar el mensaje. El problema es que esa clave tenemos que intercambiarla, es decir, tiene que conocerla tanto el emisor, para cifrar el mensaje, como el receptor para descifrarlo. Si por alguna razón, esa clave es interceptada, nuestras comunicaciones no serán privadas. Un ejemplo muy común ce cifrado simétrico que utilizamos continuamente es el de las redes Wifi protegidas por contraseña. La clave de cifrado se calcula mediante un algoritmo, a partir de la contraseña que tenga la red inalámbrica. Cuanto más compleja sea, más difícil será el descifrado.
El cifrado asimétrico, en cambio, requiere dos claves, una pública y otra privada. Si yo quiero enviar a Julio César, por ejemplo, un mensaje cifrado asimétricamente, tendré que conocer su clave pública. Una vez enviado, el utilizará su clave privada para descifrarlo. Este sistema es mucho más complejo, y se requiere de conocimientos avanzados para comprenderlo y utilizarlo. Se basa en algoritmos de cálculos complejos, como RSA, y es utilizado por agencias de inteligencia, bancos y militares de todo el mundo.
Una vez conocidos estos conceptos, podemos explicar de forma más sencilla el problema del ransomware actual. Este malware cifra nuestros archivos, y pide un rescate para darnos la clave de descifrado. En los primeros casos con cierta importancia, los delincuentes cometieron errores, como usar claves simétricas públicas o dejar las claves almacenadas en los equipos infectados. Las claves simétricas, aunque antes las haya simplificado, no son sencillas de averiguar a estos niveles. Para que se hagan una idea, con un algoritmo estándar de cifrado simétrico y una clave de 128 bytes, existirían 340.282.366.920.938.463.463.374.607.431.768.211.456 posibles combinaciones. Prácticamente imposible para cualquier superordenador moderno.
Posteriormente, han avanzado hacia sistemas de claves asimétricas. Una vez infectado con un ransomware de este tipo, olvídense de sus datos. No podrán recuperarlos. Podrán tener la tentación de pagar, si la supervivencia de su empresa depende de ello. Mi recomendación, y la de las autoridades, es no hacerlo nunca. Por varias razones. En primer lugar, mientras estos delincuentes vean que es un negocio próspero, seguirán atacando y perfeccionando sus técnicas. En segundo lugar, porque ¿Quién se fía de un criminal? Hay casos de gente que ha pagado, y el chantajista le exige luego más dinero. Y por último, la empresa que paga suele convertirse en un objetivo jugoso para otros atacantes, ya que se muestra vulnerable ante ellos.La mejor opción entonces, es no infectarse. Mantener sistemas operativos, programas y antivirus actualizados. Tener cuidado con el correo electrónico. Y en caso de empresas, ponerse en manos de un profesional, que evalúe las debilidades de sus sistemas y proponga soluciones. Una herramienta que promete y estoy probando estos días es la Karspersky Anti-Ransomware Tool. Hay versiones gratuitas y puede coexistir con la mayoría de antivirus del mercado.
Por otra parte, la seguridad total no existe. Es, simplemente, una utopía. Por eso, además de las recomendaciones del párrafo anterior, debemos proteger nuestros datos. Con copias de seguridad. Y no de cualquier forma. El ransonware suele explorar la red y cifrar todos los archivos de las ubicaciones en las que tiene permiso de escritura. También las unidades conectadas por USB. Para usuarios domésticos, tener una copia de seguridad guardada en un disco duro externo que conectemos en el momento de hacer la copia y guardemos en el cajón después puede ser salvaguarda suficiente. Para las empresas, que requieren de un sistema de copias de seguridad permanente, deben utilizar unidades de red seguras, con usuarios y contraseñas complejas y utilizados sólo para éstas, de manera que el malware no pueda cifrarlas por no tener permiso de acceso.
Es un problema muy serio que cuesta millones de dólares al año y el cierre de muchas empresas. Por eso, reitero lo que siempre recomiendo. Precaución y sentidiño. He leído en los últimos días que hay alguna variedad de ransomware que, para evitarnos el pago, nos propone infectar a al menos dos de nuestros contactos. Otros nos informan que dedicarán parte de nuestros pagos a ONGs. Jugando con la ética. Hijos de puta.
Mas informacion
Alan Touring el descifrado de la máquina Enigma
Medidas de Seguridad contra Ransomware - CCN-CERT. Centro Criptológico Nacional.
Publicado en el Dominical de El Correo Gallego
Cualquier duda o aportación: zonatic@kubytera.com
Photos on Foter.com
Escrito por
0 comentarios:
Publicar un comentario