Fuente: El País
Amparada por la alegalidad, la ciberextorsión genera una actividad económica en la que conviven desde aseguradoras y empresas especializadas en abonar secuestros hasta mafias y víctimas
Pagar o no pagar. Miles de compañías se enfrentan a este dilema cuando se ven atrapadas por un ataque de ransomware. Información secuestrada, archivos encriptados, sistemas caídos, negocios paralizados… Y un mensaje en los ordenadores que alberga pocas dudas: hemos atacado a tu organización y aquí tienes una dirección de contacto donde negociar el rescate. Ciberextorsión de manual. La carrera contra el reloj ha comenzado.
Toca afrontar el dilema; pero, antes de adoptar la decisión final, nuevos actores salen a escena. Las aseguradoras juegan un papel indispensable cuando tienen claro que su cliente lucha contra un ransomware. Momento de activar las coberturas de ciberriesgos y que desembarquen forenses tecnológicos —cuyos honorarios suelen ir aparte—, peritos, expertos en comunicación y abogados. “Las pólizas suelen cubrir el pago del rescate. Siempre hay dos condiciones: denunciar la extorsión a las autoridades y llevar la negociación con discreción y confidencialidad. Cuando decimos que cubren el rescate significa que es la empresa atacada la que abona el dinero y luego la aseguradora le devuelve ese importe”, explica Carmen Segovia, directora de líneas financieras y ciberseguros de Aon.
Quienes conocen estas situaciones las definen como horas de angustia, nerviosismo y máxima tensión, sobre todo la primera vez. Sea cual sea la decisión, el daño está causado. No es ni mucho menos inusual decantarse por el pago. Ejemplos recientes, como el de Garmin y la ciudad estadounidense de Lafayette, o más antiguos, como Uber, lo demuestran. Algunas compañías incluso reconocen que han sucumbido a las presiones. CWT exhibió en un chat público la negociación con los piratas —donde se observa el importe pagado finalmente— y siete universidades británicas enviaron un correo electrónico a sus alumnos aceptando el rescate después de quedarse sin los servicios de cloud provistos por Blackbaus.
Según el Informe de Ciberpreparación de Hiscox 2020, casi tres de cada 10 compañías españolas que ha sufrido una ciberextorsión ha abonado el rescate para recuperar el acceso a sus sistemas. Los responsables de ciberseguridad o cualquier experto en ciberataques siempre recomienda evitarlo, al margen de que la realidad muestre otra cara. “Alientas prácticas criminales. Das gasolina a que estos grupos continúen extorsionando, aunque comprendo que muchas empresas se ven muy afectadas y optan por esta solución porque tardarían meses en retomar la actividad”, comenta José María Chía, responsable de inteligencia de datos en 4IQ.
Los métodos habituales de negociación son el correo electrónico, servicios encriptados de mensajería y páginas web temporales gestionadas por los extorsionadores. Con el pretexto de prevenir engaños, lo habitual es exigir una prueba de vida, al igual que en los secuestros de personas, que demuestre que cuentan con las contraseñas válidas para descifrar los archivos. Winston Krone, director gerente mundial de Kivu Consulting, precisa que, solventado el pago, las claves suelen enviarlas a los pocos días. Sin embargo, existen ransomware que obligan a liberar primero los ordenadores y luego los servidores, lo que alarga el proceso hasta meses. “A veces, los delincuentes tendrán varias víctimas. Si una intenta negociar el precio, los atacantes retrasarán la respuesta o, peor aún, aumentarán el dinero exigido”, añade.
Peor para las pymes
La situación se agrava aún más en las pymes. Cualquier negocio vive expuesto al hackeo, pero su músculo financiero es menor y sus infraestructuras de ciberseguridad carecen de gran robustez. Por no mencionar su desconocimiento acerca de estos ataques, que alimenta el lucro generado por este tipo de actividad cibercriminal. Ante la decisión de solventar la extorsión mediante una transferencia en criptomonedas, que ni saben dónde conseguirlas, recurren a nombres propios como Arete, especializada en la mediación y pago de ransomware, y el de algún freelance que opera en la dark web —redes superpuestas a la Internet pública y que requieren un software específico y configuraciones o autorización para acceder—.
“El 90% de lo que hay en la dark web es una estafa. Te toca fiarte de su palabra si quieres resolver la papeleta. Si estás muy verde y no tienes presupuesto, no es raro contratar a un freelance”, sostiene Chía. Las evidencias demuestran hasta qué punto la actividad económica que rodea a la ciberestorxión anda interconectada. Krone afirma que, según su propia experiencia, algunos de los atacantes guardan estrecha relación con estos autónomos dispuestos a ayudarte con el pago: “Básicamente, los criminales te prestan los bitcoin con los que abonas el rescate”.
Para nada es casual que suelan pedir bitcoin o monero, sencillas de esconder ante las autoridades así como de blanquear, en especial la segunda. Las mafias y delincuentes del ransomware mueven el dinero por un entramado digital complejo, que salta de país en país, hasta que finaliza su recorrido en una lavadora, que lo convierte en moneda de curso legal. Este martes, la policía ucrania arrestó a una red que había blanqueado más de 35 millones de euros provenientes de los rescates. De media, este tipo de ciberataques cuesta 3,7 millones de euros a las empresas y solo un 10% recurre a las pólizas para cubrir todos los gastos derivados, según el último estudio de IBM al respecto.
“Las criptomonedas son más atractivas para los malos, aunque hay compañías especializadas en desanonimizar el dinero y que ayudan a pillar al extorsionador. El cibercrimen tiene un impacto económico mayor al del tráfico de droga”, zanja Álvaro del Hoyo, miembro del Centro Europeo de Competencia en Ciberseguridad de IBM.
¿Dudas legales?
Que se trata de un negocio criminal, nadie lo cuestiona. Se asemeja al llamado impuesto revolucionario. Historia bien diferente es la inexistencia de una legislación propia que prohíba estas prácticas, salvo en Singapur, México, Italia y la lista de grupos criminales y terroristas de la Oficina de Control Activos Extranjeros de Estados Unidos —donde aparecen mafias digitales como Evil Corp—. “Hablamos de un sistema de alegalidad. Los afectados crean sociedades interpuestas que se erigen como legítimas para el pago del rescate, amparadas por la confidencialidad y la privacidad de las cláusulas que han firmado”, sostiene Natalia Martos, fundadora Legal Army.
En España, solo el artículo 576 del Código Penal, que castiga hasta con 10 años de cárcel “cualquier acto de colaboración con las actividades o las finalidades de una banda armada, organización o grupo terrorista”, valdría como norma antirrescate. Se intentó aplicar en una ocasión, en 2012 por el caso de las hermanas Bruño, y el Tribunal Supremo lo echó finalmente por tierra. “No hay un delito que sea el de colaboración con el secuestrador. Como máximo hablaríamos de un encubrimiento de un delito, pero al estar en estado de necesidad la víctima, le facultaría o legitimaría a pagar sin denunciar”, aclara Xavier Ribas, abogado de Rivas y Asociados experto en ciberseguridad y protección de datos.
La migración digital impuesta por la crisis del coronavirus ha favorecido el auge de estos ataques. El teletrabajo abre múltiples fisuras en la seguridad de las organizaciones. En casa no estamos igual de protegidos. Tal y como expone Segovia, las pólizas de ciberriesgos han crecido un 41% desde el inicio de la pandemia. Nombres de ransomware como Ryuk, LockerGoga, NotPetya, Ekans, Wannacry resultan conocidos, pero tal es el incremento que cuesta bautizar a todos. “Durante el estado de alarma, personas que nunca habían delinquido, en seguida entraban en la dark web, compraban ransomware y lo enviaban masivamente, la mayoría relacionados con información falsa sobre la covid-19”, destaca Segovia.
El extorsionador lo mismo accede a través de un correo electrónico que mediante ingeniería social, fingiendo, por ejemplo, ser el nuevo responsable de mantenimiento informático. Lo más habitual, al menos en palabras de Chía, es la desactualización de sistemas operativos como Windows. La mejor protección siempre será disponer de copias de seguridad recientes, aunque los malos también son capaces de secuestrar estas infraestructuras. “La última tendencia desde hace cierto tiempo es que, primero, se infiltran en tu red y, después, la controlan por completo. Incluso filtran información sensible con cuya publicación pretenden intensifiar la urgencia del pago. Te muestran la información que tienen y van publicando documentos poco a poco mientras no se produce el pago”, razona Del Hoyo.
Sin visos de que los ataques remitan a corto plazo, el dinero generado por el pago de ransomware seguirá alimentando en diversos frentes una actividad lucrativa. “Según nuestros datos, entre octubre de 2019 y marzo de 2020, el 35% de los siniestros cibernéticos que hemos gestionado en el mercado europeo corresponde a incidentes de esta naturaleza”, expone Alan Abreu, responsable de ciberriesgos de Hiscox. Y es que la exposición para los malos es casi insignificante. Los ciberataques salen muy baratos. “Si sacan 10.000 euros, a lo mejor es lo que ganan en un año trabajando legalmente en sus países. El riesgo de meterse en esto es menor que para cualquier otra persona”, concluye Chía.