¿Y si el ransomware fuese legal?

lunes, 16 de mayo de 2016

Esta entrada pretende ser, más que un planteamiento sobre una posible evolución de este tipo de amenazas, un ejercicio de reflexión sobre la industria del adware y el malware, por qué se distinguen los términos, qué los diferencia y en qué nos afecta. ¿Qué pasaría si el ransomware fuese legal? Parece una pregunta absurda, ¿verdad?

Más que preguntarnos sobre si un malware puede ser "legal" o no (algo que ya hemos decidido desde el momento en el que se usa la palabra "malware" para definirlo), habría que dar un paso atrás y mirar las raíces técnicas y legales, planteándose realmente qué es el malware, y qué significa ser "legal".

Qué es malware 

Esta pregunta no es tan sencilla como parece. Desde el punto de vista técnico, el malware podría englobar cualquier programa que realiza algún daño en el sistema (control externo, obtención de información sensible, denegación de servicio….), o supone una amenaza potencial. Si nos ceñimos a esta definición técnica, ya existen múltiples programas que se utilizan a diario y permiten al menos alguna de estas situaciones: muchos programas necesarios y legítimos toman el control del sistema a un nivel total (arrancan al inicio, aceptan comandos de un servidor, registran movimientos, deciden qué se lanza o no en el sistema…). En malas manos o con fallos graves, "son una amenaza potencial"; muchos otros programas envían lo que se teclea a sus servidores "para mejorar la experiencia del usuario"; las extensiones del navegador, podrían robarnos toda la información (incluidas contraseñas) que tecleamos en la web y simular perfectamente un troyano bancario... ¿Por qué estos programas no son considerados malware? Porque no suelen materializar ese daño potencial, porque confiamos en la marca que lo respalda… pero técnicamente, no existiría una diferencia sustancial. Es como distinguir un cuchillo de cocina de un arma capaz de asesinar o descuartizar.

Las capacidades técnicas, por tanto, a veces no son suficientes para definirlo. Así que se suele apelar a sus "circunstancias". Uno de los agravantes del malware es que se instala o actúa sin consentimiento o conocimiento explícito del usuario, por ejemplo a través de engaños, ingeniería social o algún exploit. Sin embargo, en el "goodware", la elección parece más consciente, y el hecho de desde un punto legal exista una empresa detrás que nos pida consentimiento para instalar el software, o nos informa de su actividad (a través de una letra minúscula que nadie lee) nos tranquiliza. Aceptamos unas reglas de juego (que no hemos leído en detalle) y operamos un tanto a ciegas a expensas de la buena fe del programador y empresa que lo respalda. 

Qué es adware

La línea es delgada. Existe adware tan molesto como el malware. La percepción para el usuario es ralentización, pérdida de operatividad… Los creadores en este caso montan una empresa y piden al usuario que acepte unos términos de uso. Ya es "adware" legal. Esta es la razón por la que muchos ordenadores en el mundo parecen estar saturados de anuncios inoportunos o páginas de inicio secuestradas, y los antivirus no los detectan o no los pueden eliminar. Porque depende de su política interna, viciada en ocasiones por el número de veces que han podido ser demandados por bloquear el producto de una compañía, aunque este producto se financie a base de una insoportable publicidad (que alguien defina "insoportable"...). Esta es la razón también, por la que Google Play mantiene tantos programas en su market que son detectados por muchos antivirus, porque su concepto de "adware" es bastante elástico, y puede entrar en conflicto con el de los antivirus.

Así, en ocasiones una imponente maquinaria legal respalda la distribución de algún software que, bajo un nombre llamativo, promete alguna mejora del sistema. Entre bambalinas, se están cediendo datos y consintiendo un bombardeo de anuncios constante, se realiza un cambio de buscador por defecto, se instala para arrancar al inicio, se roban datos personales, etc. El exploit o el engaño con el que el "malware" se suele instalar, se sustituye en el adware agresivo por una letra lo suficientemente pequeña o unos términos de uso lo bastante confusos o ausentes.

Y algunos antivirus, a veces, tienen las manos atadas. ¿Dónde está la línea entre el adware legal o ilegal? Una de las guerras que libran las casas antivirus se se centra en lo que terminan por llamar "PUA", Potentially Unwanted Applications, porque son justamente eso: programas potencialmente no deseados, pero no pueden argumentar firmemente que sean malware. Otras veces, recurren a detectar el adware pero que su acción por defecto no sea limpiarlo del sistema o ponerlo en cuarentena, sino "Ignorar" la amenaza por considerarse de bajo riesgo. Así toman un camino intermedio. A veces, esta estrategia es su fórmula para que los abogados de creadores de adware no les envíen una carta amenazante… otras veces ni eso. Pensemos en cómo Android ha eliminado de su vocabulario la palabra "malware" y ha optado por utilizar siempre el término PHA para englobar todo tipo de amenazas en el móvil. Todo es cuestión del cristal con el que quiera mirarse.

Ransomware legal

Imaginemos pues, que el ransomware decide convertirse en un servicio en el que, para usarse, se deben aprobar unos términos de uso aparentemente legales. Hagamos un ejercicio de imaginación. Un ransomware cifra los archivos privados a cambio de una cantidad. Pensándolo fríamente, cifrar la información es positivo, previene el acceso a los ficheros en caso de pérdida del portátil o el dispositivo móvil (hacia donde es probable que se desplace el ransomware a medio plazo). Garantiza la privacidad si el sistema en compartido… Los usuarios que se preocupan por su seguridad cifran sus archivos importantes. Al igual que financiarse con publicidad, ¿qué tiene de malo? Pensemos que ese software que usamos para cifrar nuestros ficheros, simplemente no es gratuito. Que se sostiene gracias a la publicidad, o a una suscripción. Puede resultar una molestia, puede no ser ético… pero sería legal. 

Ahora, pensemos en que el ransomware se distribuye junto a otro tipo de software, o por sí mismo. Convence al usuario de las bondades de sus servicios, le obliga a aceptar unos términos y le pide tarjeta de crédito, bitcoins, etc… Sus ficheros quedan "protegidos", y podrá acceder a ellos siempre que pague mes a mes, diariamente por número de accesos, o solo cuando visite o haga clic sobre algunos anuncios. Una especie de cifrador "rogue" quizás basado en anuncios o por suscripción… un modelo similar en el que se juega con la credibilidad del usuario, se le da una capa de profesionalidad al malware, y se actúa sin complejos.

Pero el software "rogue" ya se consideraría malware, por tanto, vayamos más allá. Llegamos al mundo donde se mueve el adware y las PUAs, imaginemos que los programadores de ransomware crean una empresa con el aparataje legal necesario para defender su producto, y poner en un compromiso a los antivirus. Porque la realidad es que la forma en que lo juzgue un antivirus será lo que marque la diferencia. Con solo conseguir que unos pocos lo califiquen como PUA, y otros ni se atrevan a eso por no poder hacer frente a posibles demandas… tendríamos ransomware legal… igual que ya disponemos de adware legal o grayware.

CryptoWall dando la bienvenida a la víctima como si formase parte de una comunidad

 Conclusiones

Si este planteamiento parece descabellado, probablemente es que lo es y nunca veamos nada parecido. Sin embargo, el ejercicio pretende llevar a una reflexión, sobre qué es malware, adware, PUA, goodware y la fina línea, desde luego no basada en criterios técnicos, que los separa. Incluso parece, que algunos ransomware han jugado con la idea de ofrecer un lustre de legalidad, profesionalidad o técnicas de mercadotecnia a sus ataques: pensemos en ransomware que usaba chats para interactuar con sus víctimas por si le surgían dudas durante el proceso de pago, los que dan la bienvenida al usuario a sus servicios, los que disponen de códigos QR para facilitar el pago, los que prometen donar el pago a caridad, etc.

En resumen, al igual que no existe un consenso claro (al menos técnicamente hablando) sobre dónde acaba la agresividad del adware y esto lleva a un nuevo término llamado "grayware"... ¿podríamos llegar a un punto en el que existiese ransomware que se moviera en esa línea gris como modelo de negocio, caracterizada por su "bajo grado de peligrosidad"? (aunque sin duda molesto). Como siempre, solo si resulta más rentable que las actividades lucrativas actuales, se pondrá en marcha un modelo de este tipo.

Sergio de los Santos
ssantos@11paths.com

1 comentario:

  1. excelente reflexion acerca de las definicones!

    Esto podria ser grave en un futuro no muy lejano

    ResponderEliminar