Análisis criptográfico del ransomware

Velocidad vs. Seguridad: Cifrado en Ransomware  |  BUAP — FCC

BENEMÉRITA UNIVERSIDAD AUTÓNOMA DE PUEBLA

Facultad de Ciencias de la Computación

Materia: Análisis de Algoritmos

Profesor: Alfonso Garces Baez

VELOCIDAD VS. SEGURIDAD:

La Justificación Matemática Detrás del Cifrado en el Ransomware

Hernández Mendez Odalys Daniela — Matrícula: 202331904

Escamilla Blanca Wendy Alejandra — Matrícula: 202329978

Primavera 2026  |  21 de Abril del 2026

ÍNDICE

Introducción ..........................................................................................................  3

Capítulo 1: Antecedentes ........................................................................................  4

   1.1 Historia del ransomware ................................................................................  4

   1.2 Evolución del cifrado en ataques maliciosos ..................................................  4

   1.3 Casos documentados relevantes ......................................................................  5

Capítulo 2: Fundamentos Teóricos ...........................................................................  6

   2.1 Conceptos básicos de criptografía ..................................................................  6

   2.2 El Estándar de Cifrado Avanzado (AES) .........................................................  7

   2.3 El Algoritmo RSA ..........................................................................................  8

   2.4 Complejidad computacional: notación Big O ...................................................  9

   2.5 El esquema híbrido AES + RSA ......................................................................  10

Capítulo 3: Planteamiento del Problema ..................................................................  11

   3.1 Descripción del problema ...............................................................................  11

   3.2 Pregunta de investigación ...............................................................................  11

Capítulo 4: Análisis y Desarrollo .............................................................................  12

   4.1 Funcionamiento detallado de AES en ransomware ...........................................  12

   4.2 Funcionamiento detallado de RSA en ransomware ...........................................  14

   4.3 La combinación híbrida: por qué ni uno ni el otro a solas ...............................  16

   4.4 Órdenes de complejidad y comparativa ............................................................  17

   4.5 Vectores de mitigación basados en el análisis algorítmico ..............................  18

Capítulo 5: Resultados ............................................................................................  20

   5.1 Resultados del análisis de complejidad ............................................................  20

   5.2 Tabla comparativa de algoritmos .....................................................................  21

Capítulo 6: Conclusiones ........................................................................................  22

   6.1 Conclusiones generales ...................................................................................  22

   6.2 Alcances de la investigación ............................................................................  22

   6.3 Limitaciones ..................................................................................................  23

Referencias .............................................................................................................  24

INTRODUCCIÓN

El ransomware es, sin lugar a dudas, uno de los tipos de ciberataques más devastadores de la era moderna. No se trata únicamente de un problema técnico: representa millones de dólares en pérdidas para organizaciones de todo el mundo, interrupciones en servicios críticos como hospitales, gobiernos y empresas, y una amenaza que crece cada año en sofisticación y alcance.

Cuando escuchamos sobre un ataque de ransomware en las noticias, generalmente el enfoque está en el rescate solicitado o en el daño causado. Pocas veces nos preguntamos: ¿por qué este tipo de malware funciona tan bien desde un punto de vista matemático? ¿Qué hace que descifrar los archivos sin la clave del atacante sea prácticamente imposible? La respuesta está en la inteligente combinación de dos algoritmos criptográficos con propiedades complementarias: AES y RSA.

Esta investigación nació precisamente de esa curiosidad. Como estudiantes de Análisis de Algoritmos, nos dimos cuenta de que estudiar el cifrado de ransomware no es solo un ejercicio académico, sino una ventana para entender conceptos fundamentales de complejidad computacional, criptografía aplicada y diseño algorítmico. Entender por qué el ransomware usa AES para cifrar archivos y RSA para proteger la clave es comprender, en esencia, el dilema universal entre velocidad y seguridad.

El presente trabajo es una investigación documental y analítica. No desarrollamos software malicioso ni realizamos experimentos con código funcional. Nos apoyamos en fuentes académicas reconocidas: el estándar FIPS 197 del NIST, el artículo original de Rivest, Shamir y Adleman de 1978, publicaciones en IEEE Xplore y ACM Digital Library, así como informes técnicos de empresas de ciberseguridad como Mandiant y CrowdStrike.

El documento se organiza de la siguiente manera: comenzamos con los antecedentes históricos del ransomware y su evolución criptográfica, seguimos con los fundamentos matemáticos necesarios para entender los algoritmos involucrados, luego analizamos en detalle el funcionamiento de AES y RSA en el contexto de un ataque real, comparamos sus órdenes de complejidad, exploramos estrategias de mitigación informadas por ese análisis, y finalmente presentamos nuestras conclusiones, alcances y limitaciones.

Esperamos que este trabajo sea útil no solo como entrega académica, sino como una referencia clara y humana para cualquier persona que quiera entender, de verdad, por qué el cifrado en el ransomware es tan difícil de vencer.

CAPÍTULO 1: ANTECEDENTES

1.1 Historia del Ransomware

Para entender el ransomware moderno, hay que remontarse a 1989, cuando aparece el primer caso documentado: el llamado «AIDS Trojan» o «PC Cyborg», desarrollado por el biólogo Joseph Popp. Este malware se distribuía a través de disquetes enviados por correo postal a investigadores de salud, y cifraba los nombres de los archivos del sistema operativo MS-DOS usando una técnica de cifrado simétrico muy rudimentaria. La clave de descifrado estaba, de hecho, embebida en el propio código del programa, lo que permitió que los investigadores de seguridad la encontraran rápidamente.

Este primer intento, aunque primitivo, estableció el concepto central del ransomware: tomar el control de los archivos de la víctima y exigir un pago para devolverlos. Lo que ha cambiado radicalmente desde entonces es la sofisticación criptográfica empleada.

Durante los años 90 y principios de los 2000, el ransomware era relativamente escaso. Los atacantes dependían de cifrados débiles o incluso de técnicas de bloqueo de pantalla sin cifrado real. Sin embargo, con la popularización de Internet y, especialmente, con la llegada de las criptomonedas como Bitcoin en 2009, el ransomware encontró el ecosistema perfecto para su explosión: pagos anónimos, cifrado robusto y alcance global.

En 2013 aparece CryptoLocker, considerado por muchos expertos como el punto de inflexión. Por primera vez, un ransomware implementó de manera sistemática el esquema híbrido AES+RSA que analizamos en este trabajo. CryptoLocker generó millones de dólares en rescates y demostró que la criptografía bien implementada puede ser, en manos de un atacante, un arma casi invencible.

1.2 Evolución del Cifrado en Ataques Maliciosos

La historia del cifrado en ransomware puede dividirse en tres etapas claramente identificables:

La primera etapa, de 1989 a 2005 aproximadamente, se caracteriza por el uso de cifrados débiles o propietarios. Los atacantes empleaban algoritmos simples de sustitución, XOR con claves fijas, o variantes caseras sin respaldo matemático sólido. Estas implementaciones eran vulnerables al análisis criptográfico básico y, en la mayoría de los casos, los investigadores de seguridad podían recuperar los archivos sin pagar el rescate.

La segunda etapa, de 2005 a 2013, vio la adopción gradual de algoritmos estándar. Algunos ransomwares comenzaron a usar RSA para cifrar completamente los archivos, pero esto resultaba extremadamente lento. Un archivo de varios gigabytes cifrado con RSA puro podía tardar horas, lo cual hacía el ataque poco práctico a escala. Este período fue de experimentación y fracasos para los atacantes.

La tercera etapa, de 2013 al presente, representa la madurez del modelo híbrido AES+RSA. Con CryptoLocker como pionero y familias como WannaCry, Ryuk, REvil y LockBit como representantes modernos, el esquema se perfeccionó: AES para el cifrado masivo y rápido de archivos, RSA para proteger la clave AES. Este modelo resuelve elegantemente el problema de velocidad vs. seguridad que describimos en detalle más adelante.

...