Segurilatam 018

artículo técnico Ciberseguridad Origen del ‘ransomware’ Para comprender el contexto de los cibe- rataques de tipo ransomware es impor- tante conocer el origen y los anteceden- tes de esta familia de código maliciosos. El término proviene de las palabras en inglés ransom , que significa rescate, y software , que se refiere a los progra- mas para computadoras. El programa es creado para impedir, de manera parcial o total, el acceso a los archivos del usua- rio, lo que aprovechan los delincuentes para solicitar un pago –normalmente, en criptomonedas– a cambio de proporcio- nar lo necesario para su recuperación. Esto también ha generado que a esta actividad se la denomine secuestro de información o secuestro de datos. El uso de programas que secuestran nuestra información ha ido evolucionan- do en sus distintas formas de propaga- ción, evasión de antivirus, cifrados más complejos e incluso en la manera de coaccionar a los usuarios para el pago del rescate. Las redes del cibercrimen también son utilizadas para comercializar códi- gos maliciosos de tipo ransomware en la Internet profunda ( deep web ), donde existen productores de código –usual- mente, desarrolladores– y distribuido- res que lo ofertan en kits de bajo costo. Y también servicios de spam para en- viar miles de correos en una campaña orquestada. En 1989, uno de los antecedentes más referidos e incluso conocido como el pri- mer ransomware es el creado por Joseph Popp, un investigador de la enfermedad del SIDA. Popp envió por correo postal más de 20.000 copias de un programa que contenía un supuesto cuestionario para diagnosticar el riesgo de contraer la enfermedad utilizando discos flexibles para alojar un código malicioso de tipo troyano. El código malicioso lograba ac- tivarse después de 90 encendidas de la computadora para, a continuación, arro- jar un mensaje con la exigencia de pago de 189 dólares a cambio del descifrado. Joseph Popp argumentó que el res- cate pretendía utilizarlo para financiar la investigación contra el SIDA. Lo cierto es que esta amenaza resultaba fácil de eliminar, por lo que el incidente tuvo un impacto considerable debido a la canti- dad de incidentes generados más que por la afectación económica. Nuevo ejemplo Un par de años después, a principios de 2016, recibí una llamada de una empre- sa de la Ciudad de México reportando un incidente que afectó a las opera- ciones de su único servidor, donde se encontraba el sistema de facturación y la información contable de 15 años de existencia, que fungía como repositorio de archivos. Se trataba de un ransomware que exi- gía un importe en bitcoins equivalente a unos 3.700 dólares americanos. De- bido a la importancia de la información empresarial y la falta de respaldos de la información y aplicaciones instaladas, el administrador de la empresa consideró relevante atender la demanda de pago. Y durante la primera comunicación iden- tifiqué que ya se había realizado un pri- mer pago. A cambio, los delincuentes cibernéticos habían enviado un grupo de archivos descifrados para confirmar que podían hacerlo. En esta segunda etapa, se solicitó a la empresa realizar un pago por una canti- dad tres veces mayor a la primera. De- bido al incremento de la cantidad y a la falta de credibilidad hacia los delincuen- tes, el administrador decidió terminar cualquier tipo de negociación y recurrió a nuestra ayuda. Desafortunadamente, el tipo de có- digo ransomware que fue identificado contaba con un mecanismo de cifrado difícil de romper y no se logró identificar una herramienta disponible en ese mo- mento. Así, la empresa tuvo que iniciar desde cero para realizar la recuperación de la información utilizando la documen- tación impresa, lo que implicó un des- gaste. Este evento tuvo un impacto en las operaciones, el uso de recursos adi- cionales, pérdida de tiempo y recursos tanto humanos como económicos. La empresa, sin embargo, no tenía una de- pendencia tecnológica y logró continuar eventualmente con sus operaciones uti- lizando alternativas tecnológicas. El impacto de un ransomware puede llegar a ser catastrófico para una or- ganización con miles de empleados, cientos de aplicaciones y sistemas de información. Pero, sobre todo, si el ne- gocio tiene una fuerte dependencia de la tecnología, si la reputación ante la competencia representa una ventaja competitiva y, de manera especial, ge- nera un flujo importante de ingresos de manera cotidiana. Las consecuencias de inhabilitar la cadena de valor de cual- quier organización pueden representar En el contexto actual, no todo el panorama es desolador. El ‘ransomware’ puede ser detectado y, por ende, eliminado Segundo cuatrimestre 2021 / 29