Al doctor Joseph Popp se le conoce como el padre del ransomware. De profesión, biólogo evolutivo, primatólogo y antropólogo por Harvard, colaboraba en la lucha contra el SIDA y era consultor de la OMS en Kenia. Pero su papel en esta historia es el de haber programado y difundido en 1989 un troyano de nombre PC Cyborg o AIDS, como se conoce el SIDA en inglés. Venía en un disquete, se activaba tras encender el ordenador 90 veces, exigía un pago de 189 dólares de la época y se trata del primer ransomware de la historia.
Está entre las cinco amenazas más importantes de ciberseguridad. El ransomware se ha convertido en un aliado de quienes quieren conseguir dinero fácil en internet de manera ilícita. Sólo en la primera mitad de 2021 se habían producido más de 1.000 ataques con éxito de este tipo, la misma cantidad que en todo 2020. Ataques que implicaban a todo tipo de empresas y organizaciones en más de 60 países. En España, durante 2021 sufrieron el ransomware nombres tan conocidos como el Servicio Público de Empleo Estatal, Glovo, Phone House o MediaMarkt.
Entre 1989 y nuestros días han pasado más de 30 años. Joseph Popp puso la semilla de uno de los ataques de ciberseguridad más extendidos en la actualidad. Internet, las criptomonedas y el crimen organizado han hecho posible que cualquiera pueda entrar en un foro, comprar ransomware y difundirlo por correo electrónico o a través de páginas fraudulentas. Las víctimas más propicias son empresas de todo tipo, organismos públicos como ayuntamientos o bibliotecas y servicios públicos como hospitales o universidades. El propósito es obtener dinero mediante la extorsión. Si abres el enlace o archivo infectado, el ransomware se instala y se propaga por toda la red interna. El resultado, decenas de equipos bloqueados o millones de archivos cifrados e inaccesibles salvo que pagues la extorsión, normalmente en forma de Bitcoin.
La creación del primer ransomware
Como decíamos, todo empezó en 1989. Ese año, Joseph Popp envía 20.000 disquetes a investigadores y expertos en SIDA de más de 90 países. Todos ellos se habían reunido en Estocolmo en una conferencia internacional sobre SIDA organizada por la Organización Mundial de la Salud. El propio Joseph Popp investigaba sobre SIDA. Era biólogo evolutivo y antropólogo por la Universidad de Harvard, colaboraba con la asociación Flying Doctors que trabajaba en África e incluso era consultor de la OMS en Kenia, uno de los países más afectados por el SIDA.
Precisamente, los disquetes que distribuyó el doctor Joseph Popp venían etiquetados como “Información sobre el SIDA - Disquetes de introducción”. En teoría, esos disquetes contenían un cuestionario que permitía averiguar el nivel de riesgo de una persona de contraer SIDA en función de las respuestas que diera. Pero la realidad era bien distinta. Esos disquetes contenían un troyano conocido como PC Cyborg o AIDS, SIDA en inglés y que sirve de acrónimo de AIDS Info Disk. Este troyano afectaba a ordenadores con sistema operativo DOS. Sustituía el archivo AUTOEXEC.BAT y contaba las veces que el ordenador se encendía de nuevo. Tras 90 inicios, el troyano ocultaba las carpetas y cifraba los archivos de la unidad principal. Para recuperar el acceso a los archivos y carpetas secuestrados, la víctima debía pagar 189 dólares USA a un código postal de Panamá. Había nacido el primer ransomware.
Como curiosidad, cuando se activaba el troyano, aparecía un mensaje en pantalla. El mensaje venía a decir que debías pagar por el software que habías instalado, propiedad de PC Cyborg Corporation. De ahí el nombre de este troyano. El precio a pagar era de 189 dólares más 378 dólares adicionales para recuperar el acceso a tus archivos cifrados. El método de pago podía ser un cheque, un giro bancario o un giro postal a nombre de la empresa antes mencionada. Para más inri, pedía incluir nombre, empresa, dirección, ciudad, país y/o código postal. Finalmente, como dirección indicaba nuestro equivalente a un apartado de correos, una caja de oficina postal, Post Office Box en inglés, situada en Panamá.
Un troyano que infecta un ordenador y cifra los archivos. La exigencia de un pago a cambio de recuperar el acceso a tus archivos. Son los ingredientes que hacen posible el ransomware. Pero en una época en la que internet estaba en pañales y el método de pago era el giro postal, este tipo de ataque de ciberseguridad no se extendió demasiado. Curiosamente, tampoco lo popularizó el pago a través de Western Union, método empleado por hackers rusos y ucranianos durante los 90 y 00 que extorsionaban a empresas y particulares.
Un análisis posterior del troyano AIDS o PC Cyborg indicaba que éste no cifraba los archivos. Lo que hacía era cifrar las extensiones y nombres de los archivos para que no fueran accesibles. El primer ransomware empleaba criptografía simétrica. Y como ocurre en la actualidad con cada nuevo tipo de ransomware, al cabo de un tiempo surgieron los remedios que permitían descifrar el contenido afectado. AIDSOUT fue uno de ellos. Eliminaba el troyano del ordenador. CLEARAID, por su parte, recuperaba texto plano cifrado. Es decir, descifraba el contenido afectado para no tener que pagar el rescate.
¿Qué fue de Joseph Popp?
Ser el padre del ransomware es un dudoso honor. Y no tiene premio. Su actitud sospechosa semanas después de difundir el troyano, hizo que el FBI lo investigara y, finalmente, arrestara cuando estaba en casa de sus padres en Ohio, Estados Unidos. De ahí lo extraditaron a Reino Unido, donde se habían presentado cargos contra él. Según la prensa de entonces, por culpa del troyano se perdieron años de trabajo en investigación sobre SIDA. En cualquier caso, Popp fue acusado de once cargos de chantaje y extorsión. Y en su defensa, éste argumentó que el dinero obtenido iba destinado a esa misma investigación sobre SIDA.
Desconocemos los motivos por los cuales Joseph Popp creó el primer ransomware de la historia, PC Cyborg. ¿Realmente quería obtener dinero para encontrar una cura contra el SIDA? ¿Era un experimento para algo más grande? ¿O una manera de vengarse porque había sido rechazado para un puesto de trabajo en la OMS? Ante el juez, su estrategia fue alegar problemas mentales. Y su comportamiento durante el juicio apoyó este argumento. Finalmente, en noviembre de 1991, el juez determinó que no se le podía juzgar.
De vuelta a Estados Unidos, el doctor Joseph Popp siguió con su carrera como biólogo evolutivo y primatólogo. Incluso escribió algún que otro libro autopublicado sobre primates y humanos. Popp falleció en 2007 a la edad de 55 años. Dejó inacabado un libro de memorias sobre sus viajes a África como investigador. Como legado, en Oneonta, Nueva York, podemos encontrar The Joseph L. Popp, Jr. Butterfly Conservatory, un santuario para mariposas de 279 metros cuadrados.
El jugoso negocio del ransomware
Tal y como ocurrió con los ataques DDoS, con un origen reivindicativo pero que se ha convertido en una herramienta de extorsión online, el ransomware corrió la misma suerte. Si en 1989 nace el primer ataque de este tipo, el primer ransomware, con fines lucrativos o como método de venganza personal, en 1996, los expertos en criptografía Adam Young y Moti Yung analizan el troyano PC Cyborg e introducen conceptos como criptografía de clave pública o criptografía asimétrica. En contraposición a la criptografía simétrica del troyano creado por Joseph Popp. También teorizan sobre la criptovirología, es decir, el uso de la criptografía como arma combinada virus y demás malware.
Pero no es hasta 2005 que empiezan a surgir variantes de ransomware tal y como las conocemos hoy en día. Y en 2010 se llega a la cifra de 10.000 ejemplares de ransomware. Ese mismo año surge el Bitcoin. La herramienta perfecta para realizar los pagos a las extorsiones por ransomware. En 2013 surgen extorsiones que exigen pagos de hasta 200 dólares USA. En el mercado online ya hay más de 100.000 ejemplares de ransomware. Y qué decir de 2014. Ese año aparece CryptoLocker, una de las familias de ransomware más provechosas. En sólo 100 días, quienes lo utilizan obtienen 30 millones de dólares. Luego vendrán otras ramas igual o más peligrosas, como WannaCry o NotPetya.
Hoy, el ransomware se vende en foros de internet como un servicio, con atención al cliente y todo. No necesitas conocimientos de informática. Compras el ransomware que quieres, eliges las víctimas y los responsables del mismo se encargan de todo, ya que cuentan con su propia infraestructura. Ransomware as a service lo llaman los expertos. Dinero fácil que se aprovecha de empresas y organismos públicos con ordenadores obsoletos o sin políticas de seguridad. La buena noticia es que hay maneras de protegerse ante el ransomware pero requieren adquirir ciertos hábitos.