El secuestro como actividad delictiva ha estado presente desde tiempos lejanos, como aquel famoso secuestro de Helena que generó una guerra y un asedio que sólo pudo terminar usando el famoso Caballo de Troya, que años después se ha convertido en la herramienta favorita de los secuestradores modernos, que no buscan quedarse con s bella esposa, sino con el dinero de todos

 

Recientemente el mundo tembló ante el ataque de un malware conocido como “Wanna Cry” que secuestraba PCs combinando varias formas de propagación que lo hicieron llegar a gran cantidad de equipos en el mundo, en especial tomando por completo, o casi, las redes de muchas corporaciones. Este ataque que combinaba el uso de ingeniería social con técnicas de difusión local que se aprovechaban de un fallo del sistema Windows, fue sorpresivamente frenado por un investigador de malware que registró un dominio de Internet al cuál apuntaba el virus y que al no existir, activaba una función en donde se encontraba la falla que permitía distribuirse a otros PCs en la misma red. El ataque terminó pronto, pero el mundo completo quedó aterrado al considerar que de haber sido mejor preparado, el ataque pudo haber sido devastador. Como nota de color, el investigador que logró detener el virus –Marcus Hutchins, autor del blog MalwareTech— ha sido detenido recientemente a estar sindicado con un troyano bancario conocido como Kronos y que surgió hace ya algunos años.

Pero pese a que el termino ransomware –software de secuestro—está muy de moda actualmente y que los secuestros digitales de equipos y archivos están ocurriendo cada vez más frecuentemente , estos ataques tienen su origen varias décadas antes.

 

Inicios modestos

El primer ataque de ransomware registrado, al menos que alcanzó un volumen y notoriedad suficiente, fue producto de la mente de un científico que además luchaba contra el SIDA. El troyanos AIDS –SIDA en inglés—fue distribuido en 1989 por el biólogo Joseph Popp en aproximadamente 20.000 diskettes, junto a un software que contenía un software que prometía ayudar a procesar perfiles de enfermos y ofrecer información sobre la enfermedad. Este troyano –código malicioso escondido en un software aparentemente legal—esperaba a que el PC infectado fuera reiniciado unas 90 veces para proceder a bloquearlo y exigir un pago de US$189, que debía ser enviado a un apartado postal en Panamá. Popp no fue juzgado ya que se le declaró mentalmente incompetente –¡créanlo o no!—y andaba por allí con una especie de casco cubriéndose la cabeza para protegerse de la radiación.

 

La evolución en la era de la Internet

Aunque algunas variantes de ransomware aparecieron en los años posteriores sin presentar grandes avances, con la excepción de GPCoder, alredeor del 2005. La novedad es que este malware no sólo encriptada todos los archivos –algunos malware anteriores sólo cambiaban el sector maestro del disco o el directorio— sino que además usaba por primera vez una encriptación robusta, RSA de 1024 bits, para prevenir la recuperación de archivos haciendo uso de la fuerza bruta.

Pero una nueva ola llegaría años después, en el 2011. En el tercer trimestre de ese año se registraron más de 60.000 variantes de ransomware y para el mismo trimestre del año siguiente ya se había duplicado la cifra.

Otro año más tarde CryptoLocker, un ransomware que entraba a las empresas por el email, capturó los titulares de seguridad en el mundo. Lo siguieron varios mas, entre ellos Locker –que usaba servicios como Perfect Money para cobrar el rescate—pasando por CryptoLocker 2.0 –que usaba Tor y Bitcoins para anonimato y cifrado de 2048 bits—CryptorBit, SynoLocker, Cryptowall –el primero en explotar vulnerabilidades de Java–, CryptoBlocker –que distinguía los archivos de Windows y no los cifraba–, Cryptowall 2.0 –que aprovechaba numerosos exploits y forzaba a los procesadores a funcionar en 64bits—e incluso TeslaCrypt, que atacaba a jugadores de Minecraft, World of Warcraft o el sistema de juegos en línea Steam.

Una mención aparte merece Chimera, un ransomware que destacó por su singular castigo a los que no pagaban: publicar sus archivos privados en la Internet.

 

Bitcoin, el vellocino de oro de los secuestradores

Un elemento clave en el desarrollo del ransomware ha sido el uso de Bitcoin para cobrar el rescate. Las transacciones de Bitcoins, pese a ser públicas, se basan en un sistema de cifrado con claves públicas –que sirven para leer y consultar—y claves privadas –que permiten al dueño movilizar sus activos. En el caso reciente del ransomware Wanna Cry, tres billeteras digitales recibieron los pagos de rescate de las computadoras infectadas. Aunque las cantidades recogidas no fueron tan altas como podía esperarse, seis cifras bajas, en dólares, los delincuentes lograron movilizar el dinero de estas billeteras ante los ojos atónitos de toda la comunidad, sin que hasta el momento hayan sido rastreados.

 

Lo actual: ataques empresariales

Grupos de criminales como el grupo TeleBots atacan cada vez más a las empresas, ya que estas son mas propensas a pagar rescates. En uno de sus últimos ataques continúa con sus ataques dirigidos, en esta ocasión con su ransomware Petya capturan computadoras y demandan US$300 de rescate. Lo novedoso es que la infección la hacen aprovechando vulnerabilidades de un software empresarial –un ERP—fabricado en Ucrania.

Esto se suma al famoso ataque de WannaCry que diezmo computadoras en empresas importantes como Telefónica o el banco BBVA, por nombrar solo dos de las más notables.

La guerra está declarada y no es sólo a las corporaciones, sino que también incluye a los proveedores de servicios de estas. Los métodos son cada vez más creativos y los efectos más variados –basta con recordar el hotel Austríaco al que le secuestraron las cerraduras inteligentes, dejando a fuera a decenas de huéspedes. Habrá que esperar a ver si la industria de seguridad y las grandes corporaciones logran vencer. O si por el contrario, la industria del secuestro digital sigue extendiéndose y quizás me toque estar hablandodeti, querido lector, o de la empresa donde trabajas al reseñar el próximo gran ataque de ransomware.