Criptovirología

Es el año 1989. Una empresa farmacéutica recibe un paquete por correo con un disquete que dice contener información importante sobre el SIDA. Un empleado se decide a introducirlo en un equipo, pero enseguida percibe que algo no va bien: no puede acceder a ningún dato en el disco duro. Se trata de algo bastante más grave de lo que pueden imaginar. El programa que llegó en aquel disquete ha cifrado el nombre de los archivos del ordenador y ahora muestra un texto reclamando el cobro de una importante suma de dinero a cambio de enviar la clave para recuperar los datos. Y no es la única empresa afectada.

Ya hoy, sabemos que todas estas compañías farmacéuticas sufrieron el que fue el primer ataque por criptovirología de la historia, mediante el troyano AIDS [inglés]. Y al contrario de lo que suele suceder con este tipo de ideas, esta modalidad permanecería en el olvido hasta unos siete años más tarde, cuando Moti Yung y Alan Young desarrollaron en el laboratorio una prueba de concepto que utilizaba criptografía asimétrica para cifrar todos los datos de la víctima.

Las ideas aportadas por estas investigaciones sirvieron de base al desarrollo del llamado Ransomware: virus que cifran el contenido del disco para luego reclamar un rescate a cambio de la clave, y cuya explosión comenzó en 2005 con Pgcode.

Un año más tarde, en 2006, aparecería el troyano CryZip, o Zippo, que comprimía algunos tipos de documentos en archivos Zip cifrados siguiendo un esquema simétrico. Sin embargo esta técnica no es demasiado sofisticada y los expertos no tuvieron problemas para romper la clave (de hecho, hay bastantes aplicaciones por Internet que permiten obtener la contraseña de archivos comprimidos).

A fecha de hoy todavía no han aparecido criptovirus suficientemente elaborados como para suponer un problema serio, y de hecho la mayoría pueden considerarse simples pruebas de concepto o experimentos. Sin embargo, es muy probable que todas estas técnicas se vayan perfeccionando con los años, por lo que es de suponer que la fiesta acaba de empezar… De todos modos, la forma más sencilla de estar protegido frente a este tipo de ataques es la de siempre: utilizar un sistema operativo seguro (ejem), y realizar copias de seguridad periódicas. Eso nunca falla.

Para saber más…

El artículo original, de Alan Young y Moti Yung, es Cryptovirology: extortion-based security threats andcountermeasures. Por si a alguien le interesa su trabajo, tienen un libro titulado Malicious Cryptography: Exposing Cryptovirology, que apuesto a que anda por la mula :-P. Estos dos autores también se ocupan de mantener la web Cryptovirology, donde hay ejemplos con código fuente y muchos artículos dirigidos al mundo académico. También hay un artículo muy interesante titulado Malicious cryptography, con su primera y segunda parte.

Si encontráis más información o alguna referencia interesante no dudéis en pasar por los comentarios… :-)

3 comentarios

  1. Pues ahora que lo pienso no es mala idea… Si se utiliza un cifrado más o menos fuerte, utilizando alguna utilidad PGP para cifrar un disco entero o algo así, ya tienes casi seguro que no se va a poder descifrar gratis…
    Aunque supongo que de todas maneras casi cualquier empresa medio decente hace copias de seguridad, así que seguramente les saldría mucho más barato recargar una de esas copias…
    En cuanto a lo de «utilizar un sistema operativo seguro» creo que debería ser «utilizar un sistema operativo seguro y no utilizar siempre la cuenta de administrador», porque haberlos haylos, como las meigas esas…

    Saludos!

  2. En este caso lo de la cuenta de administrador es un poco irrelevante. Toda la información importante es accesible r/w por mi usuario corriente. Si me cuelan un bicho de estos en el Linux y me cifran solo aquello para lo que mi usuario normal tiene acceso, la putada ya está garantizada. ¿Que más me da que los directorios del sistema estén intactos si no puedo ver mi /home.

    Lo mismo me da utilizar un sistema seguro que inseguro. Si te pasan un CD y ejecutas lo que haya dentro, lo mismo da que estes en Linux, en Windows o en Plan9.

  3. Bueno, eso es el caso de que sólo haya un usuario, pero si fuera un servidor empresarial en el que puede haber cuentas de muchos usuarios, seguramente cada usuario (al menos la mayoría) no podrá acceder a los ficheros de los demás, pero si eres administrador (u otro usuario con privilegios) pues la cosa cambia.
    Es de suponer que este tipo de ataque afecte mayormente a empresas, de ahí mi deducción.
    Sólo hay una manera de tener estar completamente seguro de no ejecutar un bicho, no ejecutar nada que no haya programado uno mismo. Bueno, y no tener una doble personalidad muy cabrona claro ;) A parte de esto, la única protección es el nivel de paranoia de cada uno.

Escribe tu comentario

Comment