UNIVERSIDAD NACIONAL DE INGENIERÍA

FACULTAD DE INGENIERÍA ELÉCTRICA Y ELECTRÓNICA

Diseño de un sistema de detección de ataque ransomware para la

protección de ordenadores gubernamentales

Proyecto de Fin de Carrera

Alumno

Diego Josue Matheus Miranda

Asesor

Ing. Ulises Abdon Piscoya Silva

24 de setiembre del 2023

 ÌNDICE

CAPITULO I. INTRODUCCIÓN

1.1. Generalidades

1.2. Descripción del Problema

1.3. Objetivos de estudio

1.3.1. Objetivo general

1.3.2. Objetivos específicos

1.4. Justificaciones de la investigación

1.4.1 Justificación práctica

1.4.2. Justificación teórica

1.4.3. Justificación económica

1.4.3. Justificación política

1.4.4. Justificación metodológica

1.5. Antecedentes Investigativos

Anexo 1
 RESUMEN

El trabajo de tesis titulado "Diseño de un Sistema de Detección de Ataque Ransomware para la

Protección de Ordenadores Gubernamentales" se centra en abordar una creciente preocupación
en el ámbito de la ciberseguridad, que es la amenaza de los ataques de ransomware dirigidos a
instituciones gubernamentales. El objetivo principal de esta investigación es desarrollar un
sistema de detección de ransomware eficiente y efectivo que proteja los sistemas informáticos
utilizados por entidades gubernamentales.

El estudio comienza con una revisión exhaustiva de la literatura sobre ransomware y las tácticas
utilizadas en estos ataques, así como las posibles consecuencias para las instituciones
gubernamentales. Luego, se describe el proceso de diseño y desarrollo del sistema de detección
de ransomware, que incluye la selección de técnicas y herramientas adecuadas para la detección
temprana de amenazas de ransomware.

Se lleva a cabo una evaluación exhaustiva del sistema propuesto utilizando conjuntos de datos y
escenarios de prueba representativos de ataques de ransomware. Los resultados de estas pruebas
se analizan detalladamente para evaluar la eficacia y la precisión del sistema de detección.

Finalmente, se presentan las conclusiones del estudio, se discuten las limitaciones y se ofrecen
recomendaciones para futuras investigaciones en el campo de la ciberseguridad gubernamental.
El trabajo de tesis contribuye al fortalecimiento de la ciberseguridad en el sector público al
proporcionar una herramienta efectiva para la detección y mitigación de amenazas de
ransomware dirigidas a ordenadores gubernamentales, lo que es esencial para proteger la
integridad de los datos y la continuidad de las operaciones gubernamentales
 1

CAPÍTULO I

INTRODUCCIÓN

1.1. Generalidades

En el contexto actual de amenazas cibernéticas, la seguridad de los sistemas informáticos

gubernamentales es de vital importancia. Los ataques por ransomware representan una de las
principales amenazas que enfrentan las instituciones gubernamentales en todo el mundo. Estos
ataques, que involucran el cifrado de datos críticos seguido de una demanda de rescate, pueden
paralizar las operaciones gubernamentales y poner en riesgo la seguridad nacional. Para hacer
frente a esta creciente amenaza, es esencial implementar un sistema de detección de ataques por
ransomware robusto y efectivo.

A nivel mundial, uno de los ataques más conocidos de ransomware en estados unidos fue a la
empresa Colonial Pipeline, el cual tenía como rubro las redes de oleoductos en la costa este de
estados unidos, esta empresa fue atacada por el ransomware llamado Darse produciendo una
interrupción en la distribución de combustible y pánico entre los entes de la seguridad energética
del país, en respuesta al ataque el gobierno federal tomo medidas de mejora en la ciberseguridad
y el seguimiento a los responsables, cabe resaltar que la empresa confirmo que pago un rescate
de varios millones de dólares, lo que generó la pregunta de que si es factible o no pagar los
rescates a los atacantes. Otro ataque conocido fue a la empresa JBS USA que tenía como rubro el
procesamiento de carnes, la empresa fue atacada por el ransomware Revil (Sodinokibi) que cifro
los sistemas e interrumpió sus operaciones, exigiendo un rescate para proporcionar una clave de
descifrado y restaurar el acceso a los datos.

En China, uno de los ataques más conocidos de ransomware es el ataque al Ministerio de

Educación de China en 2020, dada las políticas de acceso a información de este país no hay
muchos detalles, aunque se sabe que como todo ransomware, se hizo un cifrado de datos y se
exigió un rescate para su liberación. También se dio el ataque a múltiples empresas y hospitales
por varios años, pero fue mitigada con una gran velocidad por las autoridades gubernamentales
de china.
 2

En Rusia, debido a las políticas de seguridad y privacidad no se suele dar mucha información
acerca de ataques de diverso tipo, pero se ha dado a conocer que si hubo ataques de ransomware
en este país, uno de estos ataques tiene que ver con los hospitales, donde el virus cifro los
sistemas informáticos y exigió un rescate, poniendo en duda la seguridad cibernética tanto para
los sistemas y servicios de salud, como para otro tipo de rubro en el país.

A nivel europeo, uno de los ataques más conocidos fue el ataque a Maersk en 2017, el cual es
una compañía de transporte y logística de Dinamarca, la compañía fue atacada por el
ransomware “NotPetya” afectando gravemente las operaciones en todo el país y causando un
gran impacto en las cadenas de suministros a nivel mundial.

Otro de los ataques más conocidos fue a la empresa Norsk Hydro en 2019, el cual es una
empresa productora de aluminio a nivel mundial con sede en Noruega, sufrió un ataque del
ransomware “LockerGoga” el cual cifro su sistema informático, pidiendo un rescate a cambio de
proporcionar una clave de descifrado para desbloquear los datos.

También tenemos el ataque al Grupo Hospitalario Fresenius en 2020 con sede en Alemania, gran
parte de los hospitales y clínicas que tiene en todo el mundo fueron afectadas por el virus,
haciendo que se paralizara las operaciones y causando una preocupación en el sector de salud en
todo el mundo.

A nivel regional, tenemos a México como uno de los países atacados por el virus de ransomware,
en los cuales tenemos a la empresa petrolera PEMEX que fue atacada en el 2019 y la empresa de
materiales de construcción CEMEX atacada en el 2020, debido al ataque las empresas detuvieron
sus operaciones en diferentes partes del mundo.

En Brasil tenemos a la empresa aeroespacial Embraer que fue atacada por ransomware en el
2020, el ataque provoco una preocupación en la seguridad informática del país y una
interrupción en sus operaciones.

En Chile tenemos el ataque a uno de los bancos más grande de la región, el cual es BancoEstado,
el cual fue atacado por ransomware en el 2020, afectando sus servicios en línea y sistemas
internos.
 3

A nivel nacional, se tuvo el ataque a la Contraloría General de la República, siendo el ataque

dirigido por la banda cibercriminal BlackByte, en el cual detallan en su página web que lograron
comprometer a la Contraloría General de la República, dando como muestra de veracidad una
pequeña parte de los archivos robados a esta institución, siendo este de un tamaño de 10.73GB.
Se sabe que la banda cibercriminal pidió un rescate con un plazo de 18 días a la Contraloría para
no liberar toda la información que el grupo tiene a su disposición.

1.2. Descripción del Problema

El diseño de un sistema de detección de ataques de ransomware para la protección de

ordenadores gubernamentales tiene un propósito fundamental: salvaguardar la seguridad y la
integridad de los datos críticos y la operatividad del gobierno. Este sistema tiene como fin
identificar y alertar sobre posibles ataques de ransomware de manera temprana, permitiendo una
respuesta rápida para mitigar el impacto. Su utilidad radica en prevenir la paralización de las
actividades gubernamentales, la pérdida de datos sensibles y el riesgo financiero asociado con el
pago de rescates a los atacantes.

El beneficio más destacado es la preservación de la estabilidad y la confiabilidad de los servicios

gubernamentales, lo que a su vez fortalece la seguridad nacional, garantiza la continuidad del
gobierno y protege la confidencialidad de la información gubernamental, asegurando así el
bienestar y la seguridad de los ciudadanos.

Además de los beneficios mencionados, el diseño de un sistema de detección de ataques de

ransomware para la protección de ordenadores gubernamentales también contribuye a la
reputación y la credibilidad del gobierno. Al demostrar un compromiso con la ciberseguridad, las
instituciones gubernamentales ganan la confianza de los ciudadanos y demuestran
responsabilidad en la gestión de datos sensibles. Además, el conocimiento y la experiencia
adquiridos en la creación de este sistema pueden aplicarse en otros sectores, fortaleciendo la
capacidad del país para abordar las amenazas cibernéticas en general, lo que puede tener un
impacto positivo en la economía y la seguridad en línea a nivel nacional e internacional. En
resumen, el diseño de este sistema va más allá de la protección de los ordenadores
 4

gubernamentales; tiene el potencial de mejorar la ciberseguridad a nivel nacional y promover la

confianza en el gobierno.

El problema que se busca solucionar con el diseño de un sistema de detección de ataques de

ransomware para la protección de ordenadores gubernamentales es la creciente amenaza que
representan los ataques de ransomware para la seguridad de las instituciones gubernamentales.
Estos ataques, que cifran los datos críticos y exigen rescates para su desbloqueo, pueden
paralizar las operaciones gubernamentales, poner en riesgo la confidencialidad de la información
y causar daños financieros significativos. La falta de una detección temprana y eficaz de
ransomware en los sistemas gubernamentales deja a las agencias gubernamentales vulnerables a
la extorsión y puede socavar la capacidad del gobierno para cumplir sus funciones esenciales, lo
que pone en peligro la seguridad y el bienestar de los ciudadanos.

Las preguntas de investigación son:

¿Cuáles son las mejores prácticas y las tecnologías más efectivas disponibles para el diseño de
un sistema de detección de ransomware personalizado que se adapte a las necesidades y las
peculiaridades de las instituciones gubernamentales?

¿Cómo se puede evaluar la eficacia y la precisión de un sistema de detección de ransomware

diseñado para la protección de ordenadores gubernamentales en términos de la identificación
temprana de amenazas y la reducción del riesgo de paralización de las operaciones
gubernamentales?

¿Cuáles son las tácticas y las tendencias más recientes en los ataques de ransomware dirigidos a
instituciones gubernamentales, y cómo han evolucionado con el tiempo?

La pregunta general es:

¿Se podrá mejorar la protección de ordenadores gubernamentales con el diseño de un sistema de

detección de ransomware?

Donde las variables son:

V1: Sistema de detección de ransomware.

V2: Ordenadores gubernamentales.

 5

Y las dimensiones son:

D1: Tecnología

D2: Seguridad Cibernética

D3: Eficiencia

D4: Operatividad

Las preguntas especificas son:

Para la dimensión D1:

¿Qué tecnología se puede utilizar para diseñar el sistema de detección de ransomware (V1) para
proteger los ordenadores gubernamentales (V2)?

¿Cómo se pueden adaptar las tecnologías existentes o desarrollar nuevas soluciones para mejorar
la eficiencia y la efectividad del sistema de detección de ransomware?

Para la dimensión D2:

¿Cuáles son las principales vulnerabilidades de seguridad cibernética que enfrentan los
ordenadores gubernamentales (V2) en el contexto de los ataques de ransomware?

¿Cuáles son las mejores prácticas y las políticas de seguridad cibernética que pueden
implementarse para fortalecer la protección de los ordenadores gubernamentales contra
ransomware?

Para la dimensión D3:

¿Cómo se puede medir la eficiencia del sistema de detección de ransomware (V1) para proteger
los ordenadores gubernamentales (V2)?

¿Qué factores pueden influir en la mejora de la eficiencia del sistema y cómo pueden
optimizarse?

Para la dimensión D4:

 6

¿Cuál es el impacto de los ataques de ransomware en la operatividad de las actividades

gubernamentales y cómo un sistema de detección efectivo (V1) puede mitigar este impacto en
los ordenadores gubernamentales (V2)?

¿Cómo se puede garantizar la continuidad de las operaciones gubernamentales en caso de un

ataque de ransomware y cuáles son las mejores prácticas para lograrlo?

1.3. Objetivos de estudio

1.3.1. Objetivo general

Brindar protección a los ordenadores gubernamentales por medio del sistema de detección de
ransomware.

1.3.2. Objetivos específicos

Para la dimensión D1:

Utilizar una tecnología adecuada para diseñar un sistema de detección de ransomware para la
protección de ordenadores gubernamentales.

Para la dimensión D2:

Evitar las vulnerabilidades cibernéticas para evitar el ransomware en un ordenador

gubernamentales diseñando un sistema de detección de ransomware.

Para la dimensión D3:

Conseguir una eficiencia considerable en la detección de ransomware en los ordenadores

gubernamentales a través del diseño de un sistema de detección de ransomware.

Para la dimensión D4:

Asegurar la operatividad de los ordenadores gubernamentales frentes a los ataques de

ransomware a través del diseño de un sistema de detección de ransomware.

1.4. Justificaciones de la investigación

1.4.1 Justificación práctica

 7

El aumento de ataques de ransomware tanto a nivel gubernamental como a nivel empresarial o

sistemático en los distintos sectores de producción y servicios.

1.4.2. Justificación teórica

Contribuir a la acción de respuesta frente a un ataque de ransomware en un ordenador de algún

ente gubernamental.

1.4.3. Justificación económica

Evitar que los entes gubernamentales accedan a pagar un dinero exorbitante para un posible
rescate de los archivos encriptados pertenecientes a algún ente gubernamental.

1.4.3. Justificación política

Mostrar a la ciudadanía la responsabilidad y compromiso del estado en el manejo adecuado de

datos personales que están alojados en los ordenadores gubernamentales.

1.4.4. Justificación metodológica

La selección de métodos de desarrollo de software y las técnicas de ingeniería de software.

1.5. Antecedentes Investigativos

Un antecedente a nivel regional es la tesis de título “análisis heurístico de malware aplicado a la

detección de documentos pdf maliciosos en el gobierno autónomo descentralizado” (Morocho,
2013) de la Universidad Técnica de Ambato, Ecuador que explica como detectar el virus de
ransomware en los archivos PDF que se envían a diario a los distintos entes gubernamentales que
en este caso, es la municipalidad de Ambato en ecuador.

La similitud con este trabajo es que el entorno en donde se analizaran los archivos será en base a
que provienen de un ente gubernamental, en este trabajo, se considerara un ente cualquiera, pero
que sea parte del estado, mientras que el antecedente antes mencionado, tiene como ente a la
municipalidad de Ambato en ecuador.

La diferencia de mi trabajo con este consistirá en el tipo de software que se diseñará y el tipo de
archivos a los que se le hará un análisis para ver si contienen el virus ransomware o no.
 8

Otro antecedente a nivel europeo es un articulo de la revista UIS Ingenierías de título “Proceso
para la identificación, clasificación y control del comportamiento de familias Ransomware”
(Osorio, Mateus y Vargas, 2020) el cual explica planes de acción contra ataques de diversos
tipos de ransomware, así como identificarlos y clasificarlos para mejorar cada acción que se
tome para erradicar la amenaza.

La similitud de mi trabajo con este artículo es la detección del ataque de ransomware en algún
dispositivo de análisis.

La diferencia de mi trabajo con este articulo es el entorno en donde se usara la detección de

ransomware, en el articulo es a cualquier dispositivo, mientras que en mi trabajo será en un ente
gubernamental cualquiera.
 9

Anexo 1: SISTEMA DE DETECCION DE ATAQUE POR RANSOMWARE PARA LA

PROTECCION DE ORDENADORES GUBERNAMENTALES

PROBLEMA OBJETIVO MARCO HIPOTESI VARIABLE METODOLOGIA

GENERAL GENERAL TEORICO S
GENERAL
¿CUÁL ES LA BRINDAR ANTECEDENT ¿LA VARIABLE 1: LA SELECCIÓN
RELACIÓN PROTECCI ES IMPLEME SISTEMA DE
DE MÉTODOS DE
DEL O N A LOS A NIVEL NTACIÓN DETECCIÓN DE
SISTEMA DE ORDENAD INTERNACIO EFECTIVA RANSOMWARE DESARROLLO DE
DETECCIÓN ORES NAL: DE UN
SOFTWARE Y LAS
DE GUBERNA ATAQUES SISTEMA VARIABLE 2
RANSOMWA MENTALE MASIVOS A DE ORDENADORE TÉCNICAS DE
RE CON LOS S CON EL MÚLTIPLES DETECCIÓ S
INGENIERÍA DE
ORDENADO DISEÑO EMPRESAS N DE GUBERNAMEN
RES QUE DE UN COMO ATAQUES TALES SOFTWARE.
UTILIZAN SISTEMA NISSAN, DE
LOS DE TRAVELEX, RANSOM
EMPLEADOS DETECCIO INDUSTRIA WARE EN
DE UN ENTE N DE DE ENERGÍA ORDENAD
GUBERNAM RANSOM EN ORES
ENTAL? WARE. PORTUGAL, GUBERNA
PROBLEMAS ETC. MENTALE
ESPECÍFICOS S
¿CÓMO A NIVEL RESULTA
PODRÍA UN NACIONAL: RÁ EN
SISTEMA DE ATAQUE A LA UNA
RANSOMWA DIRECCION REDUCCI
RE AYUDAR NACIONAL DE ÓN
EN LA INTELIGENCI SIGNIFICA
PROTECCIÓ A Y LA TIVA DE
N DE CONTRALORI LA
ORDENADO A GENERAL VULNERA
RES DE LA BILIDAD
GUBERNAM REPUBLICA FRENTE A
ENTALES? CON EL LOS
RANSOMWAR ATAQUES
E “CONTI” DE
RANSOM
WARE?
10