El presente trabajo aborda el problema de cifrado de datos de manera no autorizada a causa del ransomware criptográfico, un tipo de malware con alta efectividad en su cometido. El enfoque del estudio realizado se basa en la premisa de que la infección es inminente, y propone un esquema de almacenamiento con tecnología de nube, combinando el control de versiones y el respaldo sincrónico, para poder recuperar los datos e información afectados en caso de un ataque eventual por ransomware criptográfico.
El estudio está dividido en dos fases, en las cuales se pudo comprobar que el método propuesto es una alternativa atractiva y efectiva para contrarrestar el ransomware criptográfico. De la misma manera, de este trabajo se desprendió el desarrollo de un software monitor, llamado software centinela, el cual supervisa las carpetas definidas y provee una capa de seguridad extra a la arquitectura de red original.
Se trata, en síntesis, de un estudio de desarrollo, combinando elementos existentes para innovar y adaptarlos en el ámbito de interés. Tal es el caso de tecnologías libres en combinación con un software propio denominado centinela. También involucró trabajo de campo, dado que se estudió y midió los hechos y fenómenos relacionados, así como también es un estudio experimental, donde se manipuló la variable independiente para observar el nivel de dependencia que produce hacia la variable dependiente, lo cual fue el interés del estudio.
ii
Tesis Doctoral
NEUTRALIZACIÓN DEL RANSOMWARE CRIPTOGRÁFICO MEDIANTE UN
SISTEMA DE ALMACENAMIENTO SINCRÓNICO VERSIONADO
presentada en la
DIRECCIÓN DE POSGRADO E INVESTIGACIÓN
CAMPUS MÉRIDA
de la
UNIVERSIDAD DEL SUR
en opción al grado de
DOCTOR EN SISTEMAS COMPUTACIONALES
Autor:
Holzen Atocha Martínez García
Maestro en Tecnologías de la Información por la Universidad
Interamericana para el Desarrollo.
Director: Gandhi Samuel Hernández Chan
Doctor en Ciencia y Tecnología Informática por la Universidad Carlos
III de Madrid.
iii
Tribunal nombrado por el Rector de la Universidad del Sur.
Presidente:
Dr. José Bernabé Ortíz Ceballos
Universidad del Sur, Campus Mérida (US)
Secretario:
Vocal:
Dr. Gandhi Samuel Hernández Chan
Universidad Tecnológica Metropolitana (UTM)
Dr. Jesús Sandoval Gío
Instituto Tecnológico de Mérida (ITM)
Realizado el acto de defensa y lectura de la tesis
el día ______ de _________________ de 2017
en Mérida Yucatán, México.
Se obtuvo el siguiente veredicto:
EL PRESIDENTE
El SECRETARIO
EL VOCAL
CONSTITUCIÓN DEL
SÍNODO
iv
OFICIO DE APROBACIÓN DE LA COMISIÓN DE TITULACIÓN
Dr. Efraín Gutiérrez y Gutiérrez Mérida, Yucatán a 10 de enero de 2017.
Rector
Universidad del Sur
Presente
Los abajo firmantes, miembros del Comité Revisor nombrado por la Dirección de Posgrado y en
respuesta a su solicitud de aprobación del proyecto de tesis, que tiene por título:
"Neutralización del ransomware criptográfico mediante un sistema de almacenamiento sincrónico
versionado"
Presentado por: MTI. Holzen Atocha Martínez García.
Para obtener el grado de: Doctor en Sistemas Computacionales
Consideramos que cumple con los requisitos de contenido y presentación establecidos por este
Comité y la Dirección de Posgrado, por lo tanto, el dictamen que se emite es de APROBADO, por
lo que puede continuar con los trámites para solicitar su examen de grado.
ATENTAMENTE
COMITÉ REVISOR
Revisor
Revisor
_____________________________ ______________________________
Dr. José Bernabé Ortiz Ceballos
Dr. Jesús Sandoval Gío
Director de Tesis
______________________________
Dr. Gandhi Samuel Hernández Chan
v
CARTA DE LIBERACIÓN DEL DIRECTOR DE LA TESIS
Asunto: Carta de liberación
Dr. Efraín Gutiérrez y Gutiérrez Mérida, Yucatán a 30 de diciembre de 2016.
Rector
Universidad del Sur
Presente
Por este conducto me permito comunicar que, en mi calidad de Director para la tesis de
grado del estudiante de programa de Doctorado en Sistemas Computacionales, Holzen
Atocha Martínez García, he leído y revisado la tesis titulada "Neutralización del
ransomware criptográfico mediante un sistema de almacenamiento sincrónico versionado"
y considero que esta cubre con los requisitos señalados en los lineamientos académicos del
programa de doctorado.
Por lo tanto, el estudiante puede continuar con los trámites para solicitar fecha de examen
de grado.
Sin más por el momento reciba un cordial saludo.
Atentamente
_______________________________
Dr. Gandhi Samuel Hernández Chan
Director de tesis
vi
Hoja de advertencia
Por este medio, declaro que esta tesis titulada:
"Neutralización del ransomware criptográfico mediante un sistema de almacenamiento
sincrónico versionado"
Es de mi autoría, a excepción de las citas y referencias que he empleado para fundamentar
este trabajo de investigación y en el que se otorga crédito a sus autores. Asimismo, afirmo
que no ha sido presentada previamente con esté o algún otro nombre, para la obtención de
título profesional o grado académico equivalente.
Holzen Atocha Martínez García
vii
Agradecimientos
Al creador de todo. Por Él somos y existimos. Todo lo logrado hasta ahora y lo que
vendrá en el futuro se lo debo a Él.
A mi director de tesis, Dr. Gandhi Samuel Hernández Chan, por el apoyo brindado
en las sesiones dentro y fuera del aula, así como por el tiempo, dedicación y confianza
hacia mi persona.
Al Dr. José Bernabé Ortíz Ceballos y al Dr. Jesús Sandoval Gío, por el valioso
tiempo invertido en la revisión de este trabajo. Su apoyo y sugerencias enriquecieron no
solo este trabajo, sino la perspectiva de un servidor.
A todos mis compañeros y amigos del Instituto Tecnológico Superior Progreso, por
su apoyo constante, sus ocurrencias que me hacían reír en momentos de estrés, y su buena
voluntad para conmigo.
A los involucrados en el desarrollo del proyecto, a todos y cada uno. No quiero
omitir nombre alguno, pero ustedes saben quiénes son. Les agradezco infinitamente su
apoyo.
Por último, pero no menos importante, quiero agradecer al Tecnológico Nacional de
México, por financiar el proyecto de investigación que se describe en este trabajo de tesis.
Gracias por creer en la propuesta.
viii
Dedicatoria
A mi esposa, Isis Saraí, quien me brindó enorme paciencia y apoyo durante mi andar
académico. Este logro no es mío, es nuestro. Te amo, preciosa.
A mi hijo, Holzen Abisaí. Hijo, tú me enseñas que no hay límites y que la
persistencia es clave en el logro de objetivos. Espero poder ser un buen ejemplo para ti. Te
amo, pequeño.
A mis padres, Landy y José, quienes me moldearon como el hombre que ahora soy.
ix
Resumen
El presente trabajo de tesis aborda el problema de cifrado de datos de manera no
autorizada a causa del ransomware criptográfico, un tipo de malware con alta efectividad en
su cometido. El enfoque del estudio realizado se basa en la premisa de que la infección es
inminente, y propone un esquema de almacenamiento con tecnología de nube, combinando
el control de versiones y el respaldo sincrónico, para poder recuperar los datos e
información afectados en caso de un ataque eventual por ransomware criptográfico.
El estudio está dividido en dos fases, en las cuales se pudo comprobar que el método
propuesto es una alternativa atractiva y efectiva para contrarrestar el ransomware
criptográfico. De la misma manera, de este trabajo se desprendió el desarrollo de un
software monitor, llamado software centinela, el cual supervisa las carpetas definidas y
provee una capa de seguridad extra a la arquitectura de red original.
Se trata, en síntesis, de un estudio de desarrollo, combinando elementos existentes
para innovar y adaptarlos en el ámbito de interés. Tal es el caso de tecnologías libres en
combinación con un software propio denominado centinela. También involucró trabajo de
campo, dado que se estudió y midió los hechos y fenómenos relacionados, así como
también es un estudio experimental, donde se manipuló la variable independiente para
observar el nivel de dependencia que produce hacia la variable dependiente, lo cual fue el
interés del estudio.
x
Abstract
The present work of thesis addresses the problem of data encryption in an
unauthorized way because of the cryptographic ransomware, a type of malware with high
effectiveness in its task. The focus of the study is based on the premise that the infection is
imminent, and proposes a storage scheme with cloud technology, combining version
control and synchronous backup, in order to recover the affected data and information in
case of a Eventual attack by crypto-ransomware.
The study is divided in two phases, in which it was verified that the proposed
method is an attractive and effective alternative to counter cryptographic ransomware. In
the same way, this work resulted in the development of a software monitor, called sentinel
software, which monitors the defined folders and provides an extra layer of security to the
original network architecture.
In short, this is a development study, combining existing elements to innovate and
adapt them in the area of interest. Such is the case of free technologies in combination with
a proprietary software called sentinel. It also involved fieldwork, since the facts and related
phenomena were studied and measured, as well as an experimental study, where the
independent variable was manipulated to observe the level of dependence that produces
towards the dependent variable, which was the interest of the study.
xi
Tabla de contenido
Portada
i
Portadilla
ii
Constitución del sínodo
iii
Oficio de aprobación de la comisión de titulación
iv
Carta de liberación del director de la tesis
v
Hoja de advertencia
vi
Agradecimientos
vii
Dedicatoria
viii
Tabla de contenido
xi
Lista de tablas
xv
Lista de figuras
xv
CAPÍTULO I INTRODUCCIÓN
1
Antecedentes
1
Situación problemática
5
Planteamiento del problema
6
Pregunta de investigación
7
Objetivo de investigación
7
Definición de variables
8
Establecimiento de la hipótesis
8
xii
Propósito del estudio
8
Justificación del estudio
9
Delimitaciones del estudio
10
Definición de términos
11
CAPÍTULO II REVISIÓN DE LA LITERATURA
13
Datos e información
13
Diferencia entre datos e información
13
Importancia de proteger los datos
15
Seguridad en sistemas informáticos.
16
Seguridad informática
17
Seguridad de la información
17
Pilares de la seguridad de la información
18
Software malicioso
22
Definición de software malicioso
22
Clasificación del malware
23
Software malicioso tipo ransomware
25
Origen del ransomware
26
Éxito y consolidación del ransomware
27
Ransomware Criptográfico
30
Ransomware criptográfico como servicio en la nube
31
xiii
Almacenamiento de datos
34
Propósito del almacenamiento
34
Respaldo de datos
35
Control de versiones
36
Utilización del control de versiones
36
Cómputo en nube
37
Cómputo en nube para las organizaciones
37
Empresas que proveen el servicio en modelo externo
39
Software para implementación de modelo interno
42
Sistema de almacenamiento en nube Seafile
43
Características
43
Componentes de Seafile
44
Trabajos relacionados
45
CAPITULO III METODOLOGÍA
47
Tipo de Estudio
47
Diseño de la Investigación
48
Población
50
Muestreo
50
Definiciones operacionales
50
Instrumentos
51
xiv
Trabajo de campo realizado
53
Procedimiento de análisis de datos
53
Limitaciones
53
CAPÍTULO IV RESULTADOS
55
Datos Obtenidos
55
Fase Preexperimental
55
Fase Experimental
60
Análisis de datos
67
CAPÍTULO V CONCLUSIONES
72
Verificación de objetivos e hipótesis
72
Publicaciones
75
Trabajos futuros
76
Referencias
77
APÉNDICES
86
Apéndice A Código Fuente Hidden Tear
86
Apéndice B Instrumentos Utilizados
91
Formulario de Observación.
91
Escala de Likert
92
Encuesta complementaria
95
Apéndice C Resultados escala de Likert aplicada y cuestionario complementario.
96
xv
Apéndice D Software Centinela
104
Apéndice E Confrontación de autores
110
Anexos
112
Anexo I Publicaciones derivadas
112
Lista de tablas
Tabla 1. Resultados de los observadores registrados en el formulario.
59
Tabla 2. Resultados de la observación en la fase de experimentación verdadera.
64
Tabla 3. Estructura de la tabla Archivo
104
Tabla 4. Estructura de la tabla Detalle_Archivo
105
Tabla 5. Estructura de la tabla BlackList
105
Tabla 6. Estructura de la tabla WhiteList
106
Tabla 7. Estructura de la tabla Carpeta
106
Tabla 8. Estructura de la tabla config.
107
Lista de figuras
Figura 1. Pilares de la seguridad de la información.
19
Figura 2. Entidad no autorizada violando el pilar de la confidencialidad.
20
Figura 3. Entidad no autorizada violando el pilar de la integridad.
20
Figura 4. Entidad no autorizada violando el pilar de la disponibilidad.
21
Figura 5. Clasificación de malware de acuerdo a Kaspersky Labs.
24
Figura 6. Clasificación del malware según forma de propagación. Fuente: Ruiz, 2015.
25
Figura 7. Nuevo ransomware identificado entre 2014 y el primer trimestre de 2016.
28
xvi
Figura 8. Total de muestras de ransomware hasta el primer trimestre de 2016.
28
Figura 9. Esquema del Ransomware as a Service Fuente: Kremez, 2016.
32
Figura 10. Framework propuesto por Luo y Liao.
45
Figura 11. Sistema de detección de malware propuesto por Bhardwaj et al.(2016).
46
Figura 12. Formulario de registro para la observación en fase previa.
51
Figura 13. Formulario de registro para la observación en fase experimental.
52
Figura 14. Opción para ver versiones anteriores en archivo vinculado a Dropbox.
56
Figura 15. Versiones de archivo a restaurar.
56
Figura 16. Proceso que se efectúa en una máquina infectada.
57
Figura 17. Proceso que se efectúa en Dropbox durante infección local y sincronización. 57
Figura 18. Historial de versiones de archivo original.
59
Figura 19. Arquitectura propuesta con nube local privada y software centinela.
61
Figura 20. Funcionamiento básico del software centinela.
62
Figura 21. Comparativo entre grupos experimental y de control.
65
Figura 22. Frecuencia de variable sistema de almacenamiento en el experimento.
65
Figura 23. Frecuencia de variable recuperación en el experimento.
66
Figura 24. Tabla cruzada y porcentajes obtenidos en la experimentación.
66
Figura 25. Actitud de los participantes grupo experimental frente al cifrado.
67
Figura 26. Actitud de los participantes frente al intento de recuperación primario.
68
Figura 27. Actitud de los participantes respecto a la efectividad del software centinela. 69
Figura 28. Actitud de los participantes respecto a la efectividad y eficiencia del sistema de
almacenamiento.
70
Figura 29. Resultados de aplicar la prueba chi cuadrado al experimento.
71
Figura 30. Formulario de observación utilizado en las pruebas.
91
xvii
Figura 31. Test de Likert utilizado (fragmento 1/3)
92
Figura 32. Test de Likert utilizado (fragmento 2/3)
93
Figura 33. Test de Likert utilizado (fragmento 3/3)
94
Figura 34. Breve encuesta aplicada a todos los participantes.
95
Figura 35. Actitud de los participantes grupo experimental frente al cifrado.
96
Figura 36. Actitud de los participantes frente al intento de recuperación primario.
96
Figura 37. Actitud de los participantes respecto a la efectividad del software centinela. 97
Figura 38. Actitud de los participantes respecto a la efectividad y eficiencia del sistema de
almacenamiento.
97
Figura 39. Actitud de los participantes respecto a la eficiencia de la propuesta.
97
Figura 40. Actitud de los participantes respecto a otros métodos de protección contra el
ransomware.
98
Figura 41. Actitud de los participantes respecto a su nivel de prevención contra
ransomware.
98
Figura 42. Actitud de los participantes respecto al pago de rescate de sus datos.
98
Figura 43. Actitud de los participantes respecto a la facilidad de implementación del
sistema propuesto.
99
Figura 44. Actitud de los participantes respecto al interés hacia la propuesta.
99
Figura 45. Actitud de los participantes respecto al conocimiento adquirido.
100
Figura 46. Actitud de los participantes respecto a la consideración de la propuesta.
100
Figura 47. Participantes experimentales que conocen de ataques de ransomware a terceros.
100
Figura 48. Participantes de control que conocen de ataques de ransomware a terceros. 101
xviii
Figura 49. Gráfica de participantes experimentales y su consideración de la parte medular
del sistema propuesto.
101
Figura 50. Gráfica de participantes de control y su consideración de la parte medular del
sistema propuesto.
102
Figura 51. Gráfica de participantes experimentales y su preferencia acerca del
licenciamiento del software centinela.
102
Figura 52. Gráfica de participantes de control y su preferencia acerca del licenciamiento del
software centinela.
103
Figura 53. Alerta generada por software centinela.
104
Figura 54. Módulo de monitoreo en software centinela.
107
Figura 55. Módulo de bibliotecas en software centinela.
108
Figura 56. Módulo de configuración en software centinela.
108
Figura 57. Comunicación entre el servidor de actualizaciones y el software centinela. 109
CAPÍTULO I
INTRODUCCIÓN
En este capítulo se describen y detallan los antecedentes que dan sentido al estudio,
se explica la importancia y vigencia del ransomware criptográfico. Además se explica la
situación problemática así como el planteamiento del problema; sumado a esto, este
capítulo contiene la pregunta y el objetivo de investigación, lo cual en conjunto le da
sentido a la misma, y a la vez incluye la definición de variables. También se aborda el
propósito, seguido de la justificación del estudio la cual señala las delimitaciones del
estudio y por último se encuentra la definición de términos para apoyar al lector en una
mejor comprensión de los tecnicismos utilizados.
Antecedentes
En la actualidad es posible afirmar que la tecnología es parte importante y vital de
los procesos diarios en la sociedad. Las personas vuelcan su vida en la tecnología de una
manera cada vez mayor. Esto ha dado paso al almacenamiento de información personal,
registros médicos e incluso balances financieros en sistemas informáticos. Con la finalidad
de aprovechar las bondades que la tecnología ofrece, las empresas también la han adoptado
en sus procesos de negocio y comunicación. Sin duda los procesos de vida y negocio han
2
evolucionado y con este fenómeno, también han aparecido personas que ven la tecnología
como una excelente plataforma para cometer acciones ilícitas, con el fin de obtener un
beneficio aún a costa de los demás (Portantier, 2012).
Los métodos y técnicas utilizados por estos criminales para lograr su cometido son
varios, muchos ya conocidos y otros no tanto. Desde lograr vulnerar un sistema externo
para obtener lo deseado, hasta utilizar la ingeniería social y la participación de la víctima
sin que esta lo sepa, para culminar el engaño. La ingeniería social en el campo de la
seguridad informática es definida por Jara y Pacheco (2012) como "la práctica para obtener
datos confidenciales a través de la manipulación psicológica de usuarios legítimos" (p. 294)
Precisamente la ingeniería social es el origen de muchos tipos de ataques. En
combinación con otras técnicas, tiene una alta probabilidad de éxito. El ransomware es un
tipo de malware sofisticado, una trampa informática usada por ciberdelincuentes que "está
especializada en secuestrar dispositivos informáticos, que imposibilita un uso correcto y
hace creer a los usuarios que han llevado a cabo alguna práctica ilegítima por la que deben
pagar una multa" (Tilves, 2014, párr. 2). En general se encarga de secuestrar los activos
informáticos de la víctima en cuestión y amenaza al propietario de dichos activos con no
liberarlos hasta recibir un pago por hacerlo. Estos secuestros pueden ir desde la sesión de
usuario, el secuestro de archivos del sistema operativo para limitar la funcionalidad, o
archivos de datos almacenados. En la mayoría de los casos, el pago no garantiza la
recuperación de la integridad de los activos.
Las primeras variantes de este malware fueron conocidas como los virus de la
policía, ya que se hacían pasar por alguna autoridad local o internacional, para luego
mostrar un mensaje en pantalla que indica que el usuario había hecho algo ilegal y el
equipo se bloqueaba y condicionaba a pagar la multa para evitar la cárcel. De entre los
3
miles de casos documentados, se tiene registrado el primer caso de muerte causada por un
malware en su categorización ransomware. En Reino Unido, un joven de 17 años fue
víctima de un falso mensaje a nombre de la policía en cual en su texto exigía el pago de una
multa económica para evitar ir a la cárcel. De acuerdo con el veredicto forense, este joven,
el cual padecía autismo, lo tomó en serio y tuvo temor de la reacción de su madre, por lo
cual decidió suicidarse (Punto Medio, 2015). Este es tan solo un punto de inflexión de
muchos que hace necesaria la búsqueda de soluciones efectivas contra el ransomware.
Al principio, estas primeras versiones de malware eran relativamente fáciles de
desinfectar y la recuperación de archivos era también sencilla. La mayoría solamente
consistía en un mensaje intimidante, o cifraba el sistema operativo, el cual se puede
recuperar desde el origen, sin hacer demasiado daño ni tener consecuencias graves. Sin
embargo, el ransomware evolucionó y se acrecentó la dificultad de solucionarlos debido a
que los archivos, los cuales no son recuperables desde su origen (Firtman, 2005), eran
secuestrados y cifrados con algoritmos complejos para así garantizar el pago por
desbloqueo o en caso contrario la pérdida de los archivos. A este tipo de ransomware se le
llamó crypto-ransomware o ransomware criptográfico. Sin embargo, por ser el ransomware
más común y proliferante, también se le conoce simplemente como ransomware.
La magnitud del problema no distingue status social o digital. Desde equipos
informáticos de uso personal, hasta los altos niveles organizacionales de las más grandes
empresas. Si se secuestran los datos y no se desea pagar, se necesitan restaurar copias
actualizadas o intentar desbloquear los archivos cifrados mediante técnicas como fuerza
bruta o ingeniería inversa. Las últimas dos opciones se pueden considerar no óptimas
debido a la complejidad de los algoritmos utilizados que pudieran llevar cientos o miles de
años para encontrar la clave adecuada con tecnología computacional actual, y por los
4
métodos de ofuscamiento en la programación del malware. Las copias de seguridad
actualizadas son la mejor opción hasta el momento.
La firma internacional de seguridad informática ESET afirma que "uno de los
problemas más frecuentes es que muchas empresas y usuarios no mantienen copias de
seguridad actualizadas" (González, 2015, parr. 3). De acuerdo a la entrevista realizada a
Abdiel Ramírez, gerente de Imation para América Latina "en México y a nivel global, 80%
de las empresas, incluida banca comercial, hospitales y gobierno, no realizan prácticas
adecuadas para respaldar su información y bases de datos electrónicas" (El Financiero,
2014, párr. 1).
Ramírez señala en esa entrevista que algunas empresas guardan sus archivos
electrónicos en su computadora, sin observar que en la nube existen servicios que guardan
y respaldan esa información de forma más confiable. Otras empresas suben datos a la nube
con sus proveedores, pero existen riesgos de perder esa información si no la respaldan de
forma adecuada.
Un ejemplo de esta mala implementación es sincronizar equipos informáticos con
algún sistema de almacenamiento sincrónico no versionado. Si llegara a infectarse el
equipo cliente con algún tipo de ransomware criptográfico, se cifrarían los archivos
originales y enseguida el equipo de respaldo también respetaría dichos cambios, lo cual
deja como resultado datos corruptos y sin poder restaurar alguno legible con los últimos
cambios realizados.
Algunas empresas proveedoras del servicio de almacenamiento en nube proveen un
mecanismo de respaldo beneficioso para los usuarios finales, ya que incorporan el control
de versiones, también conocido como versionado. El versionado permite mantener
múltiples copias de los archivos originales, de las cuales cada una de ellas es realizada por
5
cambio en el archivo. En vez de modificarse el archivo original se crea uno nuevo, y el
anterior se mantiene como respaldo de una versión previa del archivo. Es posible regresar
varias versiones atrás y recuperarse de algún desastre provocado por el ransomware
criptográfico u otro malware similar (Seafile, 2016). Precisamente este estudio pretende
demostrar el uso efectivo de un sistema de almacenamiento sincrónico versionado como
medida eficiente contra una infección por ransomware criptográfico que ayude a las
empresas y el sector doméstico a recuperar la integridad de los datos secuestrados por este
tipo de malware.
Situación problemática
No existen estudios experimentales que describan y caractericen la efectividad del
uso de un sistema de almacenamiento sincrónico versionado como medida proactiva ante
una infección de ransomware. Kharraz, Robertson, Balzarotti, Bilge y Kirda (2015) afirman
que aunque existen algunos estudios, estos informes se centran principalmente en los
avances en ataques ransomware y sus niveles de sofisticación, en lugar de proporcionar
algunas ideas sobre técnicas de defensa efectiva que deban adoptarse contra esta amenaza.
Si bien la educación de los usuarios de la red es la mejor forma de controlar una infección y
de suma importancia saber qué hacer en el momento justo de la misma para frenar su
avance y efectos negativos (Bello & Alfonso, 2003), siempre es necesario contar con
alguna solución efectiva que ayude a mitigar el impacto ante cualquier situación
desfavorable (Firtman, 2005). El software antivirus ya no es una solución fiable, pues a
medida que los delincuentes recurren a cifrado cada vez más elaborado, pueden ser capaces
de superar a los investigadores y burlar las soluciones de antivirus (Luo & Liao, 2007). Es
importante mencionar que actualmente existen soluciones en el mercado, tales como Cisco
6
Ransomware Defense (Cisco, 2016), sin embargo estas necesitan de infraestructura que no
posee el usuario particular, así como pequeñas y medianas empresas en el mundo.
Planteamiento del problema
Como sugieren Kharraz et al. (2015), es muy importante desarrollar una técnica de
protección ante el ransomware, dado su exponencial crecimiento en ataques de este tipo.
Actualmente, debido al desconocimiento de las personas en cuanto al comportamiento de
este malware, las infecciones ocasionadas por ransomware son efectivas en tasas elevadas.
Esto puede traer consecuencias negativas si no se toman medidas pertinentes. Tal
como lo indica Gómez en su artículo basado en la entrevista a Juan Pablo Castro, director
de Innovación Tecnológica de Trend Micro:
Trend Micro destacó que el impacto económico de los ransomware para las
empresas es incalculable en tanto puede verse involucrada información industrial
confidencial, de nómina, fotografías, prototipos e incluso archivos personales de los
empleados, además de que puede ocasionar que las operaciones de la empresa o la
cadena de suministro se detengan, por encontrarse la información secuestrada.
(Gómez, 2016, párr. 1)
Pero las empresas no son las únicas organizaciones afectadas. Los hospitales y
centros sanitarios se han convertido en un blanco popular entre los ciberdelincuentes, ya
que su operación y los cuidados críticos se centran en datos actualizados del paciente. Tal
es así que diversos centros ya han sido atacados y la tendencia va en aumento.
Otro perfil de víctima se centra en particulares, ya que la información puede tener
algún valor sentimental o de arraigo, lo que permite al ciberdelincuente lucrar con el
sentimiento de pérdida que tendría eventualmente la víctima.
7
Con estos datos como antecedentes, se describe la pregunta de investigación
perteneciente a este trabajo así como los objetivos que se pretenden alcanzar en el
desarrollo del mismo.
Pregunta de investigación
¿Es posible la recuperación de datos cifrados por ransomware criptográfico
mediante la utilización de un sistema de almacenamiento sincrónico versionado?
Objetivo de investigación
El objetivo principal de este trabajo de investigación consiste en revertir la
corrupción de datos ocasionada por infección de ransomware criptográfico por medio de un
sistema de almacenamiento y respaldo sincrónico basado en tecnologías de nube y control
de versiones, para proveer una alternativa de mitigación y recuperación de datos
actualizados.
Los objetivos específicos se enumeran de la siguiente forma:
Identificar el efecto del ransomware criptográfico en datos respaldados
sincrónicamente
Diseñar un sistema de almacenamiento en red local que implemente las
prestaciones del cómputo en nube privado, el respaldo sincrónico y el control de
versiones.
Experimentar con el sistema desarrollado mediante una simulación con la
muestra de ransomware criptográfico open source y registrar los resultados
obtenidos en cuanto a la recuperación de datos.
8
Definición de variables
Este trabajo de investigación plantea la posibilidad de recuperación de datos
afectados por ransomware mediante un sistema de almacenamiento y respaldo sincrónico
con control de versiones. En este sentido se definen las siguientes variables:
Variable independiente: sistema de almacenamiento.
Variable dependiente: recuperación de datos.
La variable independiente es el sistema de almacenamiento propuesto, que como se
ha mencionado, involucra una arquitectura específica de sincronización en tiempo real y
versionado, por lo cual se ha denominado sistema de almacenamiento sincrónico
versionado. Para observar la variable dependiente se tiene el indicador de efectividad en la
recuperación deseada, e indica el éxito de recuperación en los casos de usar el sistema
propuesto y sin usar el sistema propuesto.
Establecimiento de la hipótesis
A partir de la pregunta de investigación, se plantea la hipótesis del presente trabajo
de tesis:
Hipótesis de investigación (H
1
): La implementación de un sistema de
almacenamiento sincrónico versionado en nube local permite la recuperación efectiva de
datos ante un ataque del tipo ransomware.
Propósito del estudio
Este trabajo de tesis propone un esquema de protección proactiva ante una eventual
infección por ransomware criptográfico aplicable de manera general en los sectores
empresarial y doméstico que permita recuperar los archivos deseados sin acceder al pago
solicitado como rescate. La diferencia con otros estudios se encuentra en que la mayoría de
9
propuestas se centran en la defensa del sistema informático ante las muestras de
ransomware criptográfico conocidas, y su efectividad se basa en no dejar que actúen en el
equipo anfitrión. El trabajo propuesto se centra en la eventual infección y cifrado de los
datos, y tener un esquema de recuperación efectivo, para así contribuir con una capa extra
de seguridad en el sistema informático de las organizaciones o particulares.
Justificación del estudio
El proyecto que da soporte al presente trabajo de tesis se titula "Cloud Storage para
neutralizar los efectos del ransomware en datos sensibles", el cual fue promovido por el
Programa para el Desarrollo Profesional Docente (PRODEP), y registrado en el Instituto
Tecnológico Superior Progreso con clave de registro 007/2015. Cabe resaltar que,
adicionalmente, este proyecto obtuvo financiamiento económico proveniente de la
Convocatoria de Apoyo a Proyectos de Investigación Científica, Aplicada, Desarrollo
Tecnológico e Innovación 2015, convocatoria del Tecnológico Nacional de México, para
presentar los resultados finales en diciembre de 2016.
El estudio realizado tiene como contexto un mundo globalizado, donde la
importancia de mantener los datos es cada vez mayor con el avance tecnológico. Sánchez
(2014) toma como referencia la norma ISO 27001:2013 cuando afirma que "La
información es un activo que, como otros activos comerciales importantes, tiene valor para
la organización y, en consecuencia, necesita ser protegido adecuadamente" (p. 5).
Los cibercriminales han adoptado técnicas variadas para lucrar con este principio, y
una de las más actuales y peligrosas es la infección de dispositivos con ransomware
criptográfico. El crecimiento de este malware ha sido exponencial, de tal manera que en
2013 fue de 500% en proporción comparada con los ataques lanzados en 2012 (Symantec,
Preguntas frecuentes
¿Cuál es el objetivo principal de esta tesis doctoral?
El estudio propone neutralizar el ransomware criptográfico mediante un sistema de almacenamiento sincrónico versionado basado en tecnología de nube.
¿Qué es el "software centinela"?
Es un software monitor desarrollado por el autor que supervisa carpetas definidas y proporciona una capa de seguridad adicional para detectar ataques.
¿Cómo ayuda el control de versiones contra el ransomware?
Al mantener versiones históricas de los archivos, el sistema permite recuperar la información original incluso si la versión más reciente ha sido cifrada por malware.
¿Qué tipo de metodología se utilizó en la investigación?
Se trata de un estudio de desarrollo experimental y trabajo de campo que combina tecnologías libres con software propio para innovar en seguridad informática.
¿Quién es el autor de este trabajo?
La tesis fue presentada por Holzen Atocha Martínez García en la Universidad del Sur, Campus Mérida.
Excerpt out of 129 pages
- scroll top
- Quote paper
- Holzen Atocha Martínez García (Author), 2017, Neutralización del ransomware criptográfico mediante un sistema de almacenamiento sincrónico versionado, Munich, GRIN Verlag, https://www.grin.com/document/387405
Look inside the ebook
