La criptovirología se refiere al estudio del uso de la criptografía en malware , como ransomware y puertas traseras asimétricas . [ cita requerida ] Tradicionalmente, la criptografía y sus aplicaciones son de naturaleza defensiva y brindan privacidad, autenticación y seguridad a los usuarios. La criptovirología emplea una variante de la criptografía, demostrando que también se puede utilizar de manera ofensiva. Se puede utilizar para montar ataques basados en extorsión que causan pérdida de acceso a la información, pérdida de confidencialidad y fuga de información, tareas que la criptografía generalmente previene. [1]
El campo nació con la observación de que la criptografía de clave pública se puede utilizar para romper la simetría entre lo que un analista de antivirus ve con respecto al malware y lo que ve el atacante. El analista de antivirus ve una clave pública contenida en el malware, mientras que el atacante ve la clave pública contenida en el malware, así como la clave privada correspondiente (fuera del malware), ya que el atacante creó el par de claves para el ataque. La clave pública permite que el malware realice operaciones unidireccionales en el equipo de la víctima que solo el atacante puede deshacer.
El campo abarca ataques de malware encubiertos en los que el atacante roba de forma segura información privada como claves simétricas, claves privadas, estado PRNG y datos de la víctima. Ejemplos de tales ataques encubiertos son las puertas traseras asimétricas . Una puerta trasera asimétrica es una puerta trasera ( por ejemplo , en un criptosistema ) que solo puede usar el atacante, incluso después de encontrarla. Esto contrasta con la puerta trasera tradicional que es simétrica, es decir , cualquiera que la encuentre puede usarla. La cleptografía , un subcampo de la criptovirología, es el estudio de las puertas traseras asimétricas en algoritmos de generación de claves, algoritmos de firma digital , intercambios de claves, generadores de números pseudoaleatorios, algoritmos de cifrado y otros algoritmos criptográficos. El generador de bits aleatorios NIST Dual EC DRBG tiene una puerta trasera asimétrica. El algoritmo EC-DRBG utiliza el cleptograma de registro discreto de la cleptografía, lo que por definición convierte al EC-DRBG en un criptotroyano. Al igual que el ransomware, el criptotroyano EC-DRBG contiene y utiliza la clave pública del atacante para atacar el sistema anfitrión. El criptógrafo Ari Juels indicó que la NSA organizó efectivamente un ataque cleptográfico contra los usuarios del algoritmo de generación de números pseudoaleatorios Dual EC DRBG y que, aunque los profesionales de seguridad y los desarrolladores han estado probando e implementando ataques cleptográficos desde 1996, "sería difícil encontrar uno en uso real hasta ahora". [2] Debido a la protesta pública sobre este ataque criptovirológico, el NIST rescindió el algoritmo EC-DRBG del estándar NIST SP 800-90. [3]
Los ataques encubiertos de fuga de información llevados a cabo por criptovirus, criptotroyanos y criptogusanos que, por definición, contienen y utilizan la clave pública del atacante son un tema importante en criptovirología. En el "robo de contraseñas denegable", un criptovirus instala un criptotroyano que cifra asimétricamente los datos del host y los transmite de forma encubierta. Esto hace que estén disponibles para todos, que nadie (excepto el atacante) los note [ cita requerida ] y que solo el atacante pueda descifrarlos. Un atacante que sea sorprendido instalando el criptotroyano afirma ser una víctima del virus. [ cita requerida ] Un atacante que reciba la transmisión asimétrica encubierta es uno de los miles, si no millones de receptores, y no exhibe información de identificación alguna. El ataque de criptovirología logra la "negación de extremo a extremo". Es una transmisión asimétrica encubierta de los datos de la víctima. La criptovirología también abarca el uso de la recuperación de información privada (PIR) para permitir que los criptovirus busquen y roben datos del host sin revelar los datos buscados incluso cuando el criptotroyano está bajo vigilancia constante. [4] Por definición, un criptovirus de este tipo lleva dentro de su propia secuencia de codificación la consulta del atacante y la lógica PIR necesaria para aplicar la consulta a los sistemas host.
El primer ataque criptovirológico y la primera discusión del concepto fue por Adam L. Young y Moti Yung , en ese momento llamado "extorsión criptoviral" y fue presentado en la conferencia IEEE Security & Privacy de 1996. [1] [5] En este ataque, un criptovirus, criptogusano o criptotroyano contiene la clave pública del atacante y encripta de forma híbrida los archivos de la víctima. El malware solicita al usuario que envíe el texto cifrado asimétrico al atacante, quien lo descifrará y devolverá la clave de descifrado simétrica que contiene por una tarifa. La víctima necesita la clave simétrica para descifrar los archivos cifrados si no hay forma de recuperar los archivos originales (por ejemplo, de las copias de seguridad). El documento IEEE de 1996 predijo que los atacantes de extorsión criptoviral algún día exigirían dinero electrónico , mucho antes de que existiera Bitcoin . Muchos años después, los medios rebautizaron la extorsión criptoviral como ransomware . En 2016, los ataques criptovirológicos a los proveedores de atención médica alcanzaron niveles epidémicos, lo que llevó al Departamento de Salud y Servicios Humanos de los EE. UU. a emitir una hoja informativa sobre ransomware e HIPAA . [6] La hoja informativa establece que cuando la información médica electrónica protegida se cifra mediante ransomware, se ha producido una infracción y, por lo tanto, el ataque constituye una divulgación que no está permitida por HIPAA, ya que el fundamento es que un adversario ha tomado el control de la información. Es posible que los datos confidenciales nunca salgan de la organización víctima, pero la intrusión puede haber permitido que se enviaran datos sin ser detectados. California promulgó una ley que define la introducción de ransomware en un sistema informático con la intención de extorsionar como algo contra la ley. [7]
Si bien los virus en estado salvaje han utilizado criptografía en el pasado, el único propósito de dicho uso de criptografía era evitar que los programas antivirus lo detectaran . Por ejemplo, el virus del temblor [8] utilizó el polimorfismo como técnica defensiva en un intento de evitar que el software antivirus lo detectara. Si bien la criptografía ayuda en estos casos a mejorar la longevidad de un virus, las capacidades de la criptografía no se utilizan en la carga útil. El virus One-half fue uno de los primeros virus conocidos por haber cifrado los archivos afectados.
Un ejemplo de un virus que informa al propietario de la máquina infectada que pague un rescate es el virus apodado Tro_Ransom.A. [9] Este virus le pide al propietario de la máquina infectada que envíe $ 10,99 a una cuenta determinada a través de Western Union .
Virus.Win32.Gpcode.ag es un criptovirus clásico. [10] Este virus utiliza parcialmente una versión de RSA de 660 bits y encripta archivos con muchas extensiones diferentes. Le indica al propietario de la máquina que envíe un correo electrónico con una dirección de correo electrónico determinada si desea el descifrador. Si se contacta con el usuario por correo electrónico, se le solicitará que pague una cierta cantidad como rescate a cambio del descifrador.
Se ha demostrado que utilizando sólo 8 llamadas diferentes a la API criptográfica de Microsoft (CAPI), un criptovirus puede satisfacer todas sus necesidades de cifrado. [11]
Además de la extorsión criptoviral, existen otros usos potenciales de los criptovirus, [4] como el robo de contraseñas denegables, los criptocontadores, la recuperación de información privada y en la comunicación segura entre diferentes instancias de un criptovirus distribuido.