NOD32 protege su mundo digital
   
    Sala de Prensa
    Introducción
    Últimas noticias
    Noticias antiguas
    Últimas distinciones
    Análisis comparativos
    Análisis estadísticos
    Documentos
    • RansomWare: Nuevas
   formas ilegales
   de obtener dinero
    Casos de estudio
    Glosarios
     
    Protección adicional
    Enciclopedia Virus
     
    Noticias RSS Suscriba esta dirección a su lector RSS
 
 
Documentos complementarios sobre ESET NOD32 Antivirus y virus
 
En esta sección se publican documentos, opiniones y literatura técnica que amplian la información sobre las capacidades de ESET NOD32 Antivirus así como sobre la problemática de los virus en general y su incidencia sobre la seguridad de los ordenadores y sus usuarios.
 
RansomWare: Nuevas formas ilegales de obtener dinero
Autor: Cristian Borghello*
04-Abril-2006
Documento en formato PDFDisponible en formato PDF.
 

El problema comenzó hace más de quince años, en 1989, con un paquete que era distribuido por correo postal a las empresas farmacéuticas.

El mismo contenía un disquete con un programa que, simulando brindar información sobre SIDA, evaluaba ciertas condiciones en el equipo afectado.

Cuando las mismas eran favorables a la infección, procedía a cifrar el contenido completo del disco duro y exigía un pago por parte de la víctima, para obtener la clave de cifrado.

El programa en cuestión se llamó AIDS.

Más tarde, en 1996, Adam Young y Son Moti Yung desarrollaron un concepto teórico, según el cual un virus podía utilizar la criptografía pública para cifrar la información del usuario.

El estudio de esta nueva modalidad teórica de virus fue bautizado como Criptovirología, y desde entonces había sido una disciplina utilizada únicamente en laboratorios.

Pero, como se sabe, cualquier concepto puede ser aprovechado para causar daño, y en este caso se usó una parte del mismo, agregando aquel componente del virus AIDS, de extorsión a los usuarios con el fin de obtener dinero ilegalmente, lo cual es el objetivo último de los actuales desarrolladores de programas maliciosos.

Así, surge el concepto de RansomWare, compuesto por la palabra que en inglés equivale a rescate (Ransom), o pago exigido para devolver la libertad a una persona secuestrada o restituir un objeto robado, y la que se traduce como programa informático (Ware, como apócope de Software).

Podemos entonces definir este concepto como el secuestro de archivos de un usuario, con el fin de obtener un rescate en dinero por su devolución.

Esta nueva modalidad de virus se ha originado por primera vez en mayo de 2005, con PGPCoder, y ha aparecido de nuevo con CryZip, recientemente descubierto.

La modalidad de operación es la siguiente: el código infecta el ordenador del usuario por los medios normalmente utilizados por cualquier aplicación maliciosa, y procede a cifrar los documentos, generalmente de ofimática, que encuentre en el sistema, eliminando la información original y dejando en cambio un archivo de texto, que contiene las instrucciones para recuperarlos.

En los casos mencionados el rescate exigido era un depósito en una cuenta bancaria, determinada por el creador del código malicioso.

Una vez que el dinero es depositado, el agresor entrega al usuario una clave para descifrar los archivos perdidos.

Hasta ahora, por ser los primeros y menos desarrollados especímenes, se han utilizado métodos sencillos de cifrado, fácilmente reversibles, lo cual permitió a los especialistas encontrar su clave y evitar que los usuarios pierdan su dinero.

Además, el modo de utilización de cuentas bancarias aún no se ha perfeccionado, lo que permite rastrearlas de forma relativamente sencilla.

Es fácil imaginar que, cuando estos métodos estén más desarrollados, ocurrirá lo inevitable: las técnicas de cifrado utilizadas se aproximarán al modelo de Young-Yung, utilizando la criptografía simétrica fuerte, o incluso la criptografía asimétrica, lo cual hará imposible el descifrado de los archivos.

Es el momento de preguntarse: ¿existe una solución contra este nuevo tipo de ataques?

Por el momento, la respuesta es afirmativa, tratándose de los ataques sencillos, sin criptografía avanzada, que se han verificado hasta ahora.

Pero, como ya se ha dicho, es inevitable que este sistema de secuestro se perfeccione y tienda a la Criptovirología y a la Cleptografía, definida esta última como el conjunto de técnicas para hurtar información de modo subrepticio.

Cuando esto suceda, la respuesta a la pregunta planteada será un rotundo no, y entonces sólo tendremos dos posibilidades: realizar copias de seguridad de nuestros archivos, de forma periódica, y contar con una defensa preactiva para nuestros sistemas, que los proteja en todo momento de amenazas conocidas y desconocidas.

NOTAS:

La criptografía simétrica utiliza una clave que permite cifrar y descifrar los archivos.

La criptografía pública o asimétrica hace uso de dos claves: una pública y otra privada.

La información cifrada con una clave es descifrada con la otra.

En nuestro caso, la información del usuario sería cifrada con una clave pública del creador del virus, y únicamente sería descifrada con otra clave privada, que sólo él poseería, y que entregaría a quien pagara el rescate.

Para encontrar más información:

http://en.wikipedia.org/wiki/Ransomware 
http://users.info.unicaen.fr/~enoel/pja/publications/mcck.pdf
http://www.cryptovirology.com/
http://www.enciclopediavirus.com/virus/vervirus.php?id=1980
http://www.lurhq.com/cryzip.html
http://en.wikipedia.org/wiki/AIDS_(trojan_horse)

 

Autor: Cristian Borghello
Cristian Borghello es Technical Manager de ESET Latinoamérica.

 
Actualizado: 31-Ene-2007 18:25
Ontinet.com, S.L.