La criptovirología se refiere al estudio del uso de la criptografía en malware , como ransomware y puertas traseras asimétricas . [ cita necesaria ] Tradicionalmente, la criptografía y sus aplicaciones son de naturaleza defensiva y brindan privacidad, autenticación y seguridad a los usuarios. La criptovirología emplea una variación de la criptografía, demostrando que también puede usarse de manera ofensiva. Se puede utilizar para montar ataques basados en extorsión que causan pérdida de acceso a la información, pérdida de confidencialidad y fuga de información, tareas que la criptografía normalmente impide. [1]
El campo nació con la observación de que la criptografía de clave pública se puede utilizar para romper la simetría entre lo que ve un analista antivirus con respecto al malware y lo que ve el atacante. El analista antivirus ve una clave pública contenida en el malware, mientras que el atacante ve la clave pública contenida en el malware, así como la clave privada correspondiente (fuera del malware), desde que el atacante creó el par de claves para el ataque. La clave pública permite que el malware realice operaciones unidireccionales de trampilla en la computadora de la víctima que solo el atacante puede deshacer.
El campo abarca ataques de malware encubiertos en los que el atacante roba de forma segura información privada, como claves simétricas, claves privadas, estado PRNG y los datos de la víctima. Ejemplos de este tipo de ataques encubiertos son las puertas traseras asimétricas . Una puerta trasera asimétrica es una puerta trasera ( por ejemplo , en un criptosistema ) que sólo puede ser utilizada por el atacante, incluso después de haberla encontrado. Esto contrasta con la tradicional puerta trasera que es simétrica, es decir , cualquiera que la encuentre puede utilizarla. La cleptografía , un subcampo de la criptovirología, es el estudio de puertas traseras asimétricas en algoritmos de generación de claves, algoritmos de firma digital , intercambios de claves, generadores de números pseudoaleatorios, algoritmos de cifrado y otros algoritmos criptográficos. El generador de bits aleatorios NIST Dual EC DRBG tiene una puerta trasera asimétrica. El algoritmo EC-DRBG utiliza el cleptograma de registro discreto de la cleptografía, lo que por definición convierte al EC-DRBG en un criptotroyano. Al igual que el ransomware, el criptotroyano EC-DRBG contiene y utiliza la clave pública del atacante para atacar el sistema host. El criptógrafo Ari Juels indicó que la NSA orquestó efectivamente un ataque cleptográfico contra los usuarios del algoritmo de generación de números pseudoaleatorios Dual EC DRBG y que, aunque los profesionales y desarrolladores de seguridad han estado probando e implementando ataques cleptográficos desde 1996, "sería difícil encontrar uno en uso real hasta ahora." [2] Debido a la protesta pública por este ataque criptovirológico, NIST rescindió el algoritmo EC-DRBG del estándar NIST SP 800-90. [3]
Los ataques encubiertos de fuga de información llevados a cabo por criptovirus, criptotroyanos y criptogusanos que, por definición, contienen y utilizan la clave pública del atacante son un tema importante en criptovirología. En el "robo de contraseña negable", un criptovirus instala un criptotroyano que cifra asimétricamente los datos del host y los transmite de forma encubierta. Esto lo hace disponible para todos, nadie lo nota (excepto el atacante), [ cita necesaria ] y solo el atacante lo puede descifrar. Un atacante sorprendido instalando el criptotroyano afirma ser víctima del virus. [ cita necesaria ] Un atacante observado recibiendo la transmisión asimétrica encubierta es uno de los miles, si no millones, de receptores, y no muestra información de identificación alguna. El ataque de criptovirología logra una "negación de extremo a extremo". Se trata de una transmisión asimétrica encubierta de los datos de la víctima. La criptovirología también abarca el uso de la recuperación de información privada (PIR) para permitir que los criptovirus busquen y roben datos del host sin revelar los datos buscados, incluso cuando el criptotroyano está bajo vigilancia constante. [4] Por definición, dicho criptovirus lleva dentro de su propia secuencia de codificación la consulta del atacante y la lógica PIR necesaria para aplicar la consulta a los sistemas host.
El primer ataque criptovirológico y la discusión del concepto fue realizado por Adam L. Young y Moti Yung , en ese momento llamado "extorsión criptoviral" y fue presentado en la conferencia IEEE Security & Privacy de 1996. [1] [5] En este ataque, un criptovirus, criptogusano o criptotroyano contiene la clave pública del atacante y un híbrido cifra los archivos de la víctima. El malware solicita al usuario que envíe el texto cifrado asimétrico al atacante, quien lo descifrará y devolverá la clave de descifrado simétrica que contiene pagando una tarifa. La víctima necesita la clave simétrica para descifrar los archivos cifrados si no hay forma de recuperar los archivos originales (por ejemplo, a partir de copias de seguridad). El artículo del IEEE de 1996 predijo que los atacantes de extorsión criptoviral algún día exigirían dinero electrónico , mucho antes de que Bitcoin existiera. Muchos años después, los medios volvieron a etiquetar la extorsión criptoviral como ransomware . En 2016, los ataques de criptovirología a proveedores de atención médica alcanzaron niveles epidémicos, lo que llevó al Departamento de Salud y Servicios Humanos de EE. UU . a publicar una hoja informativa sobre ransomware e HIPAA . [6] La hoja informativa establece que cuando la información de salud electrónica protegida es cifrada por ransomware, se ha producido una violación y, por lo tanto, el ataque constituye una divulgación que no está permitida según la HIPAA, la razón es que un adversario ha tomado el control de la información. Es posible que los datos confidenciales nunca salgan de la organización víctima, pero la irrupción puede haber permitido que los datos se envíen sin ser detectados. California promulgó una ley que define la introducción de ransomware en un sistema informático con la intención de extorsionar como ilegal. [7]
Si bien los virus en estado salvaje han utilizado la criptografía en el pasado, el único propósito de dicho uso de la criptografía era evitar la detección por parte del software antivirus . Por ejemplo, el virus Tremor [8] utilizó el polimorfismo como técnica defensiva en un intento de evitar la detección por parte del software antivirus. Aunque en tales casos la criptografía ayuda a mejorar la longevidad de un virus, las capacidades de la criptografía no se utilizan en la carga útil. El virus One-half fue uno de los primeros virus que se sabe que cifraron los archivos afectados.
Un ejemplo de virus que informa al propietario de la máquina infectada que pague un rescate es el virus llamado Tro_Ransom.A. [9] Este virus solicita al propietario de la máquina infectada que envíe $10,99 a una cuenta determinada a través de Western Union .
Virus.Win32.Gpcode.ag es un criptovirus clásico. [10] Este virus utiliza parcialmente una versión de RSA de 660 bits y cifra archivos con muchas extensiones diferentes. Le indica al propietario de la máquina que envíe un correo electrónico con una ID de correo determinada si desea el descifrador. Si se contacta por correo electrónico, se le pedirá al usuario que pague una determinada cantidad como rescate a cambio del descifrador.
Se ha demostrado que utilizando sólo 8 llamadas diferentes a la API criptográfica (CAPI) de Microsoft , un criptovirus puede satisfacer todas sus necesidades de cifrado. [11]
Además de la extorsión criptoviral, existen otros usos potenciales de los criptovirus, [4] como el robo de contraseñas negables, criptocontadores, recuperación de información privada y comunicación segura entre diferentes instancias de un criptovirus distribuido.