Autor Camilo Gutiérrez Amaya Sr. Security Researcher ESET

Dentro de la Seguridad Informática, una de las principales amenazas son los códigos maliciosos. De hecho, a lo largo de los años se ha posicionado como uno de los principales causantes de incidentes de seguridad; al principio con los virus, hasta llegar a amenazas sofisticadas como el ransomware. Y precisamente este tipo de malware que, si bien no es nuevo, es el que más dolores de cabeza ha causado en los últimos años tanto para empresas como para usuarios hogareños.ransomw1

▸ LA VARIEDAD DE ESTILOS DEL RANSOMWARE

En el último año, los casos de ransomware han cobrado relevancia en el campo de la Seguridad Informática debido a su crecimiento en la cantidad de víctimas, un hecho que se debe a los importantes niveles de ganancias que los cibercriminales obtienen de este tipo de campañas maliciosas. Este formato de ataque puede parecer algo novedoso, pero como se dijo anteriormente, no lo es. De hecho, el primer caso de ransomware se remonta 25 años atrás; se trataba de un malware que ocultaba los directorios y cifraba los nombres de todos los archivos de la unidad C, haciendo inutilizable el sistema. Luego, se le solicitaba al usuario “renovar su licencia” con un pago de 189 dólares. Desde ese momento se han identificado nuevas versiones de programas que buscaban extorsionar a los usuarios, que a diferencia del cifrado simétrico de PC Cyborg, utilizaban algoritmos de cifrado asimétrico con claves cada vez de mayor tamaño. Por ejemplo, en 2005 se conoció GPCoder, y sus posteriores variantes, que luego de cifrar archivos con extensiones específicas solicitaba un pago de entre 100 y 200 dólares como rescate de la información.

Pero este tipo de códigos maliciosos va más allá, y de hecho hay grupos cibercriminales que lo ofrecen como un servicio. El Ransomware as a Service (RaaS) se ha descubierto a través de una herramienta denominada Tox, la que permite crear este tipo de malware de manera automática, independientemente de los conocimientos técnicos de quien la utiliza. De la misma manera, con la reciente noticia de la publicación de Hidden Tear, el primer ransomware de código abierto, se abre una nueva ventana para el desarrollo de este programa malicioso y sus variantes, donde es posible pronosticar la creación de malware cada vez más sofisticado y masivo.

ransomw2▸LA EVOLUCIÓN DE LAS AMENAZAS

Si bien hasta ahora se habló de sistemas operativos para equipos de escritorio o laptops, estas no son las únicas plataformas que están expuestas a esta amenaza. También se encontraron casos de ransomware para afectar dispositivos móviles, particularmente para Android, ya que es el sistema operativo móvil con mayor cantidad de usuarios en el mundo.

Durante 2015, investigadores de ESET descubrieron el primer tipo de ransomware de bloqueo de pantalla para Android que modifica el código de desbloqueo del teléfono para impedir el acceso. Esto es una diferencia considerable con respecto a los primeros troyanos de bloqueo de pantalla para Android, que lo que hacían era poner constantemente en un primer plano la ventana de pedido de rescate en un bucle infinito.

▸DE LA COMPUTADORA AL TELEVISOR

En los últimos meses se ha registrado un importante crecimiento de ransomware que se enfoca en equipos asociados a la Internet de las Cosas (IoT, por sus siglas en inglés de Internet of Things). Distintos dispositivos, como relojes o televisores inteligentes, son susceptibles de ser afectados por software malicioso de este tipo, principalmente aquellos que operan en Android.

Pero la IoT abarca más que relojes y televisores; desde automóviles hasta refrigeradores ya tienen la capacidad de conectarse a Internet y basar toda su operatividad en una CPU. Si bien aún no se han encontrado amenazas para estos aparatos, al existir un componente de software y una conexión a Internet, es viable que los atacantes se sientan atraídos para comprometerlos y obtener algún tipo de información valiosa de ellos.

Ya se han realizado pruebas de concepto en las que, por ejemplo, se toma con éxito el control total de un automóvil de forma remota. Por este motivo, de no tomarse las medidas de precaución necesarias por parte de fabricantes y usuarios, nada impediría que un atacante lograra secuestrar las funciones de un dispositivo y exigiera dinero para devolver su control. Tal vez no sea una amenaza que se masifique en los años venideros, pero es necesario no perderla de vista para no tener problemas serios más adelante.

▸EL MISMO OBJETIVO PARA OTRA AMENAZA

Durante los últimos años, el secuestro de la información de usuarios y empresas en diferentes plataformas fue una de las tendencias más destacadas. El impacto que puede tener para un usuario, al no poder acceder a toda su información por haberse infectado por un código malicioso, es una preocupación y uno de los incidentes de seguridad más importantes ya que deja al descubierto la falta de copias de seguridad o la vulnerabilidad del negocio de una compañía. Lamentablemente, el éxito de este tipo de ataques para los cibercriminales, los ha llevado a extenderse no solo a los sistemas con Windows o dispositivos móviles, sino que también ha generado un impacto más que considerable y es una de las mayores preocupaciones de los usuarios y empresas.

Los cibercriminales buscan convencer a los usuarios de abrir sus amenazas, cifrando sus archivos y secuestrando su información, y es algo que probablemente continúe sucediendo. Acompañando la evolución de la tecnología, las protecciones contra amenazas como el ransomware han mejorado en base a la experiencia, y deben ser acompañadas por la gestión y la educación de los usuarios. Sin embargo, no todos los dispositivos se pueden proteger con una solución de seguridad, y esto lo convierte en un riesgo de cara al futuro para usuarios y empresas. Basados en estos puntos, continuaremos viendo campañas de ransomware, intentando incorporar nuevas superficies de ataque que prohíban a los usuarios acceder a su información o servicios. La creciente tendencia de que cada vez más dispositivos cuenten con una conexión a Internet le brinda a los cibercriminales una mayor variedad de dispositivos a atacar. Desde el lado de la seguridad, el desafío se encuentra en cómo garantizar la disponibilidad de la información, además de la detección y eliminación de este tipo de ataques. En el futuro próximo, la seguridad de las redes, el bloqueo de exploits y la correcta configuración de los dispositivos tomará una mayor importancia para prevenir este tipo de ataques, para así permitirle a los usuarios disfrutar de la tecnología: estamos en camino a quintuplicar la cantidad de dispositivos conectados a Internet en cinco años, llegando a los 25 mil millones en línea, por lo que el desafío es protegerlos correctamente ante este tipo de ataques.

Redacción Xtrem Secure

Noviembre-diciembre 2016