Tecnologia Secuestrada

Hasta hace relativamente poco tiempo, el concepto de secuestro implicaba que unas personas retuvieran contra su voluntad a otra persona, pudiendo solicitar un rescate económico para su liberación. En la actualidad y mediante la tecnología, es posible retener parte de la vida de una persona (fotos, vídeos, documentos, etc) pidiendo un rescate si esta persona desea recuperar el acceso a esta información.

Hoy en día es prácticamente impensable vivir sin ordenadores, teléfonos móviles y mil dispositivos que nos facilitan la vida, en ellos guardamos parte de nuestras vidas en forma de fotos de los seres queridos, viajes, facturas, documentos importantes, etc. Toda esta información nos es más fácil de guardar (y de manejar) en formato electrónico que en formato físico.

A finales del año 2013 se difundió a través de Internet un malware del tipo troyano con un funcionamiento innovador ya que una vez infectada la víctima, procede a cifrar todos los archivos personales y muestra una ventana donde informa que si se quiere recuperar la información la única manera será pagando una cantidad de dinero (normalmente en Bitcoins), este malware recibió el nombre de Cryptolocker.

Este malware fue creado en el año 2013 por Evgeniy Mikhailovich Bogachev (alias: “lucky12345”, “slavik”, “Pollingsoon”) utilizando como vector de infección, enlaces en documentos pdf que llegaban al correo de la víctima como si fuera un aviso de la entidad bancaria o correos, procediendo a cifrar mediante los archivos con extension .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c., no limitándose únicamente al ordenador infectado, sino que busca unidades en la red y discos de almacenamiento locales. Para el cifrado de estos datos el malware usa un sistema de criptografía de clave publica RSA, guardando la clave privada en el servidor del atacante y ofreciendo la posibilidad de descifrar los datos durante un periodo de tiempo si se realiza un pago (normalmente utilizando Bitcoins), si no se realiza el pago en el tiempo estipulado el malware manifiesta que se borrará la clave privada asociada en el ordenador albergada en el servidor, teniendo que pagar una suma mucho mayor si se desea recuperar la información pasado el tiempo inicial.

CryptoLocker-screen-shot-via-Sophos

Aunque eliminar el malware Cryptoloker del ordenador infectado es relativamente sencillo, los datos continuarán cifrados, y actualmente con la capacidad de calculo de los ordenadores,  se considera que es prácticamente imposible el descifrado de los archivos de la víctima.

Se estima que en abril del 2014 el malware Cryptolocker ya había infectado a mas de 250.000 equipos, habiendo conseguido más de 27 millones de dólares como rescate de la información cifrada.

Leslie R. Caldwell, Assistant Attorney General de la División Criminal del Departamento de Justicia de Estados Unidos, declaró en un comunicado de prensa: “Bajo el liderazgo del Departamento de Justicia y las organizaciones de aplicación de la ley, los socios extranjeros en más de 10 países y numerosos socios del sector privado se unirán para desbaratar estos sistemas. Mediante estas operaciones autorizadas por la corte, empezaremos a reparar el daño que los cibercriminales han causado durante los últimos años, estamos ayudando a las víctimas a recuperar el control de sus ordenadores, y protegeremos a futuras víctimas potenciales de ataques”.

Aunque los usuarios privados son el objetivo favorito de este malware, han trascendido varios ataques cuyas víctimas son estamentos públicos, como el sufrido en diciembre del año 2014 por el Departamento de Policía de Massachusetts, los cuales vieron cifrados gran parte de los datos contenidos en sus sistemas informáticos. Aunque solicitaron ayuda al F.B.I. y empresas de seguridad privada, para recuperar el uso de su red informática, muchos de los datos contenidos en la red continuaron cifrados. El Jefe de Policía Timothy Sheehan manifestó que “habían sido victimas de una nueva versión, no teniendo las autoridades la llave privada”, ademas la copia de seguridad más reciente de los datos de la comisaría se remontaban a 18 meses de antigüedad, finalmente no les quedó más remedio que pagar 500 dólares para la recuperación de sus sistemas. En febrero del año 2015 ocurrió lo mismo a la Policía Suburbana de Bostón, teniendo que pagar nuevamente 500 dolares para la recuperación de sus datos.

El caso más reciente que trascendió a los medios de comunicación fue el ocurrido el pasado 16 de febrero en el Hollywood Presbyterian Medical Center de Los Angeles (Estados Unidos), viendo los responsables que todos los datos e historiales de los enfermos que atendían quedaban cifrados por este malware. Aunque en un principio se decía en los medios de comunicación que los atacantes pedían 3 millones de dólares para la recuperación de sus sistemas, finalmente los recuperaron pagando 40 bitcoins (unos 17.000 dólares).

Muchos de los ataques realizados a empresas privadas no serán nunca sacados a la luz, dado que si un banco o empresa es víctima de este tipo de ataques, los clientes percibirían que sus datos no están seguros en dicha empresa, por lo que muchas prefieren pagar la cantidad requerida y no dar a conocer esta información.

evgeniy_mikhailovich_bogachev

En la actualidad Evgeniy Mikhailovich es uno de los cibercriminales más buscados del mundo por el F.B.I., no solo siendo buscado por la creación del malware Cryptolocker, sino también por la creación de la botnet “Gameover Zeus” la cual fue culpable de la perdida de más de 100 millones de dolares en los ataques realizados con esta red de ordenadores zombis, por todo ello el F.B.I. ofrece 3 millones de dólares por cualquier información que lleve a su captura.

La mejor forma de protegerse de este malware, es descargando los programas solo desde fuentes confiables y desconfiando de adjuntos que llegan al email sospechosos (por ejemplo un aviso de que tenemos un paquete pendiente de recoger en la oficina de correos, cuando no hemos facilitado nuestro email a la empresa de paquetería).

Aunque esta claro que este malware causa un gran prejuicio económico a los usuarios que ven como sus datos personales, aun estando en su ordenador, pierden completamente el acceso a los mismos. Pero es mucho más gravoso para las empresas y administraciones publicas, ya que no solo tienen que pagar para recuperar su información, sino que su credibilidad a ojos de los ciudadanos se ve menoscabada, para ello es muy importante que las empresas y organismos públicos realicen programas de concienciación sobre seguridad informática, ya que muchos de los trabajadores y funcionarios son completamente ajenos a los más elementales métodos de prevención, conectando dispositivos USB infectados o abriendo su correo personal y ejecutando adjuntos de los mismos.

Referencias:
Archivo F.B.I. sobre Evgeniy Mikhailovich Bogachev 
Comunicado de prensa de Leslie R. Caldwell
Petronella, CRAIG, Cryptolocker Virus: Thieves Are After Your Business, Editorial Craig Petronella, 2013
Montgomery, Jim, Internet Security 2016: Security & Privacy On Laptops, Smartphones & Tablets, Amazon Digital Services, 2014
Informe de la Universidad de Kent (Canterbury)
Welivesecurity - Cryptolocker 2.0 – new version, or copycat?
Autores imágenes: 
Imagen 1: stevepb 
Imagen 2: Sophos 
Imagen 3: F.B.I.