El futuro del ‘ransomware’: la puerta de tu casa cerrada por un virus

Aunque parezca sorprendente, el concepto de ransomware no es nuevo. De hecho, las primeras ideas al respecto se remontan a finales de los 80, aunque la primera propuesta completa fue hecha por Young y Yung  de la Universidad de Columbia, en 1996 (¡!). Lo que ha evitado que el ransomware fuera el problema que es hoy en día desde esa fecha es únicamente que, afortunadamente, los ciberdelincuentes no debían tener acceso a buenos manuales sobre criptografía (o ser capaces de entenderlos).

Sin embargo, como era previsible, en algún momento estos programadores se pondrían a estudiar y, desde aproximadamente 2012, la situación cambió drásticamente, convirtiéndose en la que es probablemente la mayor amenaza a los sistemas de información. El concepto es, en realidad, muy simple: un malware infecta tu ordenador y cifra tus ficheros hasta que pagas una recompensa para recuperarlos.

Este ataque es hoy en día, de hecho, un negocio muy lucrativo. Se estima que en 2018 el coste global de los ataques ransomware en el mundo fue de alrededor de 8.000 millones de dólares, pudiendo superar los 11.500 millones este 2019. Probablemente el ejemplo más conocido fue el de WannaCry en 2017, que afectó a multitud de grandes empresas e instituciones en nuestro país.

¿Qué podemos hacer al respecto? Como veremos a continuación, no hay atajos, ni forma de recuperar las claves de cifrado sin pagar la recompensa correspondiente. Por tanto, la mejor medida de protección sigue siendo aplicar la habitual terna de la ciberseguridad:

• 1. Aplicar diligentemente los parches de seguridad del sistema operativo.
• 2. Disponer de un buen antivirus y, sobre todo...
• 3. Tener copias de seguridad actualizadas de nuestros datos.

Venga, en serio. ¿De verdad no hay forma de recuperar los ficheros sin pagar? No, no la hay. Solo para las primeras versiones de ransomware, que contenían numerosos fallos de programación, puede probarse suerte en No More Ransom, un repositorio de antiguas claves de descifrado mantenido por Europol, la policía alemana, Kaspersky y McAfee. Sin embargo, prácticamente todas las variantes actualmente existentes de ransomware están correctamente implementadas. Tanto es así que ProPublica ha reportado que algunas compañías que supuestamente pueden recuperar la información secuestrada, lo que realmente hacen es pagar la recompensa a los cibercriminales, sin informar al usuario (y repercutir ésta al usuario afectado, por supuesto, más una generosa comisión).

¿Pagar o no pagar?

Obviamente, todas las instituciones y empresas de ciberseguridad recomiendan no pagar la recompensa por muchos motivos, la mayoría muy razonables. Sin embargo, en ocasiones puede ser peor el remedio que la enfermedad. Recientemente, la ciudad de Atlanta sufrió el ataque y sus administradores decidieron que no pagarían la recompensa bajo ningún concepto. ¿Resultado? Finalmente gastaron más de 2,5 millones de dólares en recuperar sus sistemas, cuando la recompensa inicial era algo inferior a los 50.000 dólares en bitcoins.

Ransomware e IoT

Sin embargo, a pesar del panorama descrito, el verdadero problema con el ransomware está por llegar, cuando éste realice el salto al Internet de las Cosas, o IoT. En efecto, todo dispositivo se está convirtiendo en un ordenador, como nuestro microondas, nevera, coche o televisión. Y desde el momento en que se conectan a Internet, se hacen también vulnerables al ransomware y otras amenazas.

Es, por tanto, sólo una cuestión de tiempo que nuestro coche se niegue a arrancar y muestre un aviso en su pantalla informándonos de que no lo hará hasta que no paguemos una cantidad en bitcoins como recompensa. O nuestro teléfono, nevera, cerradura electrónica o desfibrilador (que pueden ser comprometidos desde decenas de metros de distancia). Finalice usted la lista.

El verdadero problema en este caso es que las soluciones mitigadoras planteadas anteriormente ni siquiera funcionan en este caso. Hasta el momento, no hay forma de realizar una copia de seguridad del software de nuestro frigorífico y, en cualquier caso, el proceso de recuperación del mismo no está al alcance de la mayoría de usuarios. Además, estos dispositivos están diseñados (supuestamente) para durar muchos años, como un coche, frente a los tiempos de reposición mucho más reducidos de ordenadores y teléfonos móviles.

Finalmente, para terminar de empeorar las cosas, la seguridad suele ser la última de las prioridades para los fabricantes de estos dispositivos IoT, de forma que muchos no tienen equipos de ingenieros específicos, ni sus dispositivos son actualizables. Baste recordar el ejemplo de la botnet Mirai, que infectó cientos de miles de cámaras digitales y webcams, y lanzó un ataque de denegación de servicio (DoS), que resultó en multitud de servicios como Twitter fuera de combate durante horas. La mayoría de los dispositivos atacados no pueden ser arreglados de ninguna forma, por lo que siguen siendo vulnerables.

La solución, como todo en el ámbito de la ciberseguridad, no es sencilla ni inmediata, pero, en mi opinión, pasará a largo plazo en normativas mucho más exigentes por parte de las autoridades, que obliguen a los fabricantes a asumir las consecuencias de fabricar dispositivos defectuosos, que puedan poner en riesgo la vida de las personas.

Óscar Delgado es director académico de Immune Institute