Investigadores desarrollan una forma de detener el ransomware
Ransomware (del inglés ransom, ‘rescate’, y ware, por software), lo que utilizan los hackers para cifrar los archivos de las computadoras y pedir dinero a cambio de la liberación de los contenidos, es un problema global con muy pocas soluciones, pero un equipo de investigadores de la University of Florida dice que ha desarrollado una manera de pararlo en seco.
La respuesta, dicen, no radica en mantenerlo fuera de un ordenador, sino más bien enfrentarlo una vez que esté allí y, en contra de la intuición, dejar que se bloqueen algunos archivos antes eliminarlos.
"Nuestro sistema es más que un sistema de alerta temprana. No impide que el ransomware se inicie... evita que el ransomware complete su tarea... y se pierden sólo un par de fotos o un par de documentos en lugar de todo lo que está en el disco duro, y libera de la carga de tener que pagar el rescate", dijo Nolen Scaife, un estudiante de doctorado de la UF y miembro fundador del Instituto para la Investigación en Ciberseguridad de Florida.
Scaife es parte del equipo que ha llegado con la solución de ransomware, al que llaman CryptoDrop.
Los ataques de ransomware se han convertido en uno de los problemas más urgentes en el mundo digital. El FBI emitió una advertencia en mayo diciendo que el número de ataques se ha duplicado en el último año y se espera que crezca aún más rápido este año.
Dijo que había recibido más de 2.400 quejas el año pasado y las pérdidas estimadas por este tipo de ataques se elevaron ese año a $ 24 millones para particulares y empresas.
Los atacantes están típicamente escondidos en la sombra de otros países que están al acecho en la web oscura y difícil, si no imposible, de encontrar. Las víctimas incluyen no sólo a individuos, sino también a gobiernos, la industria, los proveedores de atención de salud, instituciones educativas y entidades financieras.
Los ataques se presentan con mayor frecuencia en forma de un correo electrónico que parece ser de una persona familiarizada. El receptor hace clic en un enlace en el correo electrónico y, sin saberlo, da rienda suelta a un malware que encripta sus datos. La siguiente cosa que aparece es un mensaje pidiendo el rescate, por lo general en cualquier cantidad desde unos pocos cientos a muchos miles de dólares.
"Es una forma increíblemente fácil de obtener beneficios económicos de un mal uso del software", dijo Patrick Traynor, profesor asociado en el departamento informática de la UF y también miembro del Instituto de Investigación en Ciberseguridad de Florida. Él y Scaife trabajaron juntos en el desarrollo de CryptoDrop.
Algunas empresas simplemente se han resignado a lo inevitable y han presupuestado dinero para cubrir los rescates, que por lo general se deben pagar en Bitcoin, una moneda digital que desafía el rastreo.
El software antivirus es exitoso en detenerlos cuando reconoce el malware ransomware, pero ahí está el problema.
"Estos ataques se adaptan y unifican cada vez que se instalan en el sistema de alguien", dijo Scaife. "Los antivirus son realmente buenos en parar las cosas que ha visto antes... Ahí es donde nuestra solución es mejor que los antivirus tradicionales. Si algo que se inicia benigno se comporta maliciosamente, a continuación, lo que podemos hacer es tomar medidas contra la base de lo que vemos que está pasando con sus datos. Así podemos detener, por ejemplo, todas las imágenes que se están cifradas con un formulario".
Scaife, Traynor y sus colegas Kevin Butler de la UF y Henry Carter en la Universidad de Villanova trazan la solución en un artículo aceptado para su publicación en la Conferencia Internacional IEEE sobre sistemas de computación distribuida y programado para ser presentado el 29 de junio en Nara, Japón.
Los resultados, dijeron, fueron impresionantes.
"Enfrentamos a nuestro detector contra varios cientos de muestras de ransomware que eran en directo", dijo Scaife, "y en aquellos casos se detectaron el 100 por ciento de las muestras de malware y lo hicimos después de sólo una media de 10 archivos cifrados".
Y CryptoDrop funciona a la perfección con el software antivirus.
"Se perdieron alrededor de una décima parte del 1 por ciento de los archivos", dijo Traynor, "pero la ventaja es que es flexible. No tenemos que esperar a la actualización del antivirus. Si usted tiene una nueva versión de un ransomware, nuestro sistema puede detectarla".
El equipo actualmente tiene un prototipo funcional que trabaja con los sistemas basados en Windows y está buscando un socio para comercializarlo y ponerlo a disposición del público.