Cifrado intermitente: Una nueva amenaza de ciberseguridad

Investigadores detectaron una nueva amenaza de ciberseguridad que haría a los ataques tipo ransomware más difíciles de detectar: el cifrado intermitente.

Se le conoce como ransomware a los programas maliciosos que, luego de infiltrarse en el sistema operativo o base de datos de la víctima, hace un cifrado de los archivos e información disponible. Esto deja a la organización o individuo sin posibilidad de acceder a esos datos sin antes pagar un rescate. Se trata de una ofensiva particularmente dañina para empresas e instituciones, pues podría significar perder operatividad e información valiosa, asumiendo pérdidas cuantiosas.

Esta forma de ciberataque ha crecido en popularidad sustancialmente a lo largo de los últimos años. Solo en la primera mitad del 2021, el número de incidentes reportados con ransomware aumentó 93% con respecto al número detectado en ese mismo periodo del 2020, en cifras de la compañía Check Points. Lo anterior ha llevado a los proveedores informáticos a redoblar esfuerzos en la detección de estos programas maliciosos lo antes posible.

Pero de acuerdo con un estudio de la firma de ciberseguridad Sophos, se ha detectado una nueva forma de ransomware que haría más difícil identificar este tipo de ataque. Los investigadores de la compañía llamaron a esta técnica “cifrado intermitente”.

La estrategia fue detectada por primera vez en el ransomware LockFile y consiste en cifrar parcialmente los archivos de la víctima. Lo anterior permite reducir sustancialmente el tiempo que toma iniciar el ataque, reduciendo las posibilidades de detección y respuesta de sistemas de ciberseguridad. Ya en el pasado se han detectado otros malware con un enfoque similar.

Sin embargo, lo que distingue al cifrado intermitente es que, en lugar de cifrar solo los primeros kilobytes o megabytes de cada archivo afectado (una estrategia que deja la información completamente ilegible), cifra los datos en bloques de cada 16 kilobytes. Esto significa que los archivos permanecen parcialmente legibles. En un documento, como ejemplifican los investigadores en su investigación, esto se puede visualizar como un texto con caracteres al azar cada cierto espacio.

Esta estrategia no solo permite terminar más rápidamente el proceso de cifrado de los archivos. También hace más difícil para los programas y plataformas de ciberseguridad detectar actividad maliciosa.

Muchos software especializados usan una comparación estadística que hace más fácil detectar datos afectados por ransomware. Con el cifrado intermitente, sin embargo, esta comparación es mucho más difícil de detectar por las similitudes entre un documento afectado y uno “regular”.

Cómo defenderse de esta amenaza de ciberseguridad

Este tipo de malware se ha convertido en un peligro consistente para empresas, individuos e instituciones en el transcurso de los últimos años. En una encuesta distinta, el equipo de Sophos halló que el 37% de las organizaciones en todo el mundo habían sido afectadas por ataques de ransomware durante 2020.

Y aunque son más comunes, el costo de estos ataques ha crecido sustancialmente en tan solo un par de años. En datos de la firma de antivirus Emsisoft, el rescate promedio que los cibercriminales exigían para la recuperación de archivos era de 5,000 dólares en 2018. Para 2020, la cuota ya se colocaba en aproximadamente 200,000 dólares.

Si bien la recomendación es jamás pagar los rescates que exigen estos agentes maliciosos, es lógico que las empresas decidan que es económicamente más viable asumir estas cuotas. Solo en los Estados Unidos, especialistas de ciberseguridad han calculado que los costos promedio para remediar los efectos de un ataque tipo ransomware eran de unos 1.85 millones de dólares (MD).

En este sentido, la mayor recomendación para protegerse en contra del cifrado intermitente, otras técnicas de ransomware o realmente cualquier tipo de ciberataque, es la prevención.

Para el caso específico de los ataques de ransomware, es recomendable que las organizaciones hagan un respaldo constante de sus archivos en servidores que no estén conectados a su red principal. De esta forma, si su información se ve comprometida repentinamente por un incidente de ciberseguridad, se puede tener la certeza de que habrá una recuperación parcial de los archivos rápidamente.

También es ampliamente recomendable establecer medidas de prevención. Éstas van desde invertir en la educación de los colaboradores (con el fin de evitar errores en el manejo de información, dispositivos o redes que puedan abrir una puerta a un incidente de ciberseguridad) hasta establecer permisos y protocolos de operación estrictos en toda la organización (como deshabilitar las herramientas y accesos que los empleados no requieren para sus tareas diarias).

Asimismo, es crucial para las empresas tener departamentos o especialistas dedicados a ciberseguridad. Así se podrán establecer protocolos para el monitoreo constante de amenazas y, cuando un incidente llegue a surgir, también será más rápido responder para limitar el daño que podría ocasionar un malware si no hubiera nadie en la organización sin la preparación adecuada.