'Ransomware': La mafia que secuestra tu información

BarcelonaLa veterinaria, en el ordenador del trabajo, abre un correo electrónico mientras suenan los mugidos de 3.000 vacas y terneros. Trabaja en la granja Sant Jaume de Palau, en Vila-sana, rodeada de campos, y no lo sabe pero acaba de destapar la caja de Pandora. “Al día siguiente la sala rotativa de ordeñar empieza a dar errores, en el programa de gestión la información de muchos de los animales es inaccesible y hay un mensaje en inglés que dice que lo tenemos todo encriptado y tenemos que pagar 7.000 euros en bitcoins para recuperarlo”, recuerda la ganadera Maria Àngels Rosselló. Caos. “Tienes que vigilar cómo van las vacas cada seis horas, la leche que hacen, la potabilidad del agua... y saber siempre qué animal está embarazado o no, y si se le ha pinchado con antibiótico”. Sin ordenadores la producción corre peligro.

La cooperativa familiar con una treintena de trabajadores sufre un ataque de ransomware. Un abordaje digital de los piratas del siglo XXI, que en lugar de atacar barcos secuestran archivos informáticos y reclaman un rescate (ransom, en inglés) para liberarlos.

Jordi Garcia (nombre ficticio) ve un mediodía cómo el servidor de su consultoría en el Bages empieza a trabajar en su contra: cifrando los documentos de la empresa, incluida la copia de seguridad. “Recibimos un correo electrónico en inglés reclamando un rescate en bitcoins”, explica. Quieren 3.700 euros y la actividad del negocio queda parada. El colapso lleva a Garcia a tomar una decisión más habitual de lo que parece.

“De golpe hay cosas que no funcionan, pero después descubrimos que [los piratas informáticos] hace meses que están en los ordenadores”, recuerda Àngels Seix. Es socia de la cooperativa Drac Màgic, que gestiona, por ejemplo, la Mostra de Films de Dones de Barcelona. “Nos piden un rescate de 3.000 euros en bitcoins y nos dicen que en 24 horas pasará a ser de 4.000 y que el tercer día destruirán los datos”. Pánico. “Es mucha presión”. La cooperativa se dedica a la divulgación de la cultura audiovisual y su archivo es un tesoro: este año ha cumplido medio siglo.

Amenaza global

Los casos de la granja, la consultoría y Drac Màgic son tres de muchos. Estos días el ciberataque que hace dos fines de semana noqueó a la Universitat Autònoma de Barcelona (UAB) ha llegado a las portadas, porque es mucho más grave: los piratas reclaman tres millones de euros -bien, ahora son 3,26, el bitcoin está en plena escalada- a cambio de liberar unos 650.000 archivos y carpetas. Pero el ransomware puede afectar a empresas e instituciones de toda medida, y también a cualquier persona. Es, para los expertos, la amenaza actual más peligrosa de la ciberdelincuencia.

El secretario general de la Interpol, Jürgen Stock, en una videoconferencia con 300 mandos de policía de 167 países hecha hace tres meses, definió como "crítica" la necesidad "de una estrategia global" contra el ransomware. Cree que "se ha convertido en una amenaza demasiado grande para que ninguna entidad o sector lo resuelva solo". La Europol admite que, en ciberdelincuencia, el ransomware es "la amenaza más dominante", según el último informe anual sobre el crimen organizado en internet. El organismo del Centro Nacional de Inteligencia (CNI) dedicado a la ciberseguridad, el CCN-CERT, de hecho, define el ransomware como "el tipo de código malicioso más destructivo de la última década". La multinacional de antivirus Kaspersky detectó 549.301 víctimas de intentos de infección de ransomware durante el año pasado, una media de 1.500 al día.

Negocio lucrativo

"Tras tres días con los cinco trabajadores parados el trabajo se atrasa y no podemos atender a los clientes, por lo tanto decido pagar el rescate", explica Garcia. "Compramos los bitcoins, los enviamos y al día siguiente recibimos un nuevo correo con un código que introducimos según sus indicaciones. El servidor empieza a desencriptar y al cabo de tres o cuatro horas recuperamos la información", añade. El calvario no se acaba aquí: cambian el servidor y todo el sistema de copias de seguridad y cortafuegos. Al final, la empresa, que factura unos 220.000 euros al año, se gasta 12.000 con este incidente, y el rescate solo se aproxima a un tercio del gasto.

Según Kaspersky, el 32% de las víctimas de ransomware en España acaban cediendo. A escala mundial los que se rinden llegan al 56%. El 13% no recuperan los archivos.

En el acto de la Interpol se explicó que, según la plataforma Chainalysis –especializada en análisis de blockchains, el corazón de datos de las criptodivisas–, el negocio del ransomware había generado 300 millones de euros de beneficios en 2020, un 311% más que el año anterior. Pero el submundo de este tipo de piratería es oscuro y difícil de analizar, y los datos varían de una entidad a la otra. Un informe del Tesoro de los EE.UU. indica que el año pasado las diez variantes de ransomware más habituales reunieron transferencias de criptodivisas por valor de 357 millones de euros. Añade que los primeros seis meses de este año la cifra ya se ha superado de largo y llega a los 507 millones de euros.

El consultor en seguridad informática José Nicolás Castellano ha ayudado a numerosas empresas en ataques de ransomware y, a pesar que siempre recomienda que no se pague, cuando deciden hacerlo las acompaña en el proceso. "En mi experiencia los grupos de ransomware cumplen: su negocio es su palabra", explica. Tiene lógica: si se esparciera que no cumplen las víctimas dejarían de acceder a la extorsión y el negocio correría peligro. Aún así, cuando acompaña estos procesos procura, por ejemplo, comprobar que el descifrador que envían sea realmente esto, y no ninguna trampa o algo más. El analista de Kaspersky especializado en malware Marc Rivero explica que la mejor opción, ante una extorsión como esta, es no pagar, pero que si se cede hay que hacerlo acompañado de un especialista. "Puede ser que dentro del descifrador haya otro cifrador", avisa, y añade que algunos grupos, cuando se dan cuenta de que intercede un especialista, abortan la negociación.

Ni la granja Sant Jaume de Palau ni Drac Màgic pagaron. "La copia de seguridad en la nube también la encriptaron, pero teníamos otra en un disco duro externo que quedó intacta", recuerda Maria Àngels Rosselló. Faltaban los datos de los últimos cuatro días, pero los tenían en libretas. "Nos pusimos las pilas y fuimos introduciendo toda la información, perdimos un día de leche, pero en un día nos recuperamos". Àngels Seix explica que en Drac Màgic hacía un año habían hecho un cambio de servidor, y que por lo tanto tenían copia de todo... Hasta entonces. "Perdimos toda la información de 2018, pero tuvimos claro desde el principio que no queríamos pagar, porque es alimentar al monstruo".

El director de la Agencia de Ciberseguridad de Catalunya, Oriol Torruella, y el jefe de la unidad central de delitos informáticos de los Mossos d'Esquadra, el subinspector Albert Álvarez, piden que no se ceda a la extorsión. "Fomenta la continuidad de esta actividad e incrementa el riesgo de nuevos ataques", avisa Torruella. "Si pagas, finanzas el cibercrimen", añade Álvarez, "y pagar no garantiza que te aporten la clave para hacer la desencriptación".

Encontrar a los responsables

"Lo explicamos a los Mossos, pero no sabíamos ni a quién denunciar", dice Rosselló. Seix sí que lo hizo. "Fue muy frustrante, más de dos horas esperando en la comisaría y no sabían ni de que hablábamos, nos trataron como si aquello no fuera denunciable". Garcia, también: "Avisaron de que no podrían hacer nada y que recibían bastantes denuncias por el mismo tema". Ninguno de los tres casos se resolvió.

La mayoría de empresas afectadas no denuncian para evitar problemas de reputación, dice el subinspector Albert Álvarez, y reconoce la dificultad de actuar, a pesar de que están formando a todas las unidades de investigación de los Mossos. "Acostumbramos a encontrar las direcciones IP de los autores del ataque, pero suelen estar en países de fuera de la Europa occidental, que no cooperan", lamenta. Recuerda que este negocio no solo es de piratas, también de corsarios: "Hay grupos de cibercrimen esponsorizados por algunos gobiernos". Rivero añade un detalle revelador: algunos de estos grupos "usan malware que no afecta sistemas que tengan el teclado en cirílico". Castellano, sin embargo, matiza que esto solo da pistas sobre el origen de los desarrolladores del software.

Según Europol, los ataques contra las corporaciones más grandes tienen diferentes etapas y grupos implicados. La primera etapa la hace un grupo que infecta una red u ordenador con diferentes métodos (vectores de ataque) y tipos de malware. Este acceso se vende después a otros piratas que hacen el mapa de la red objetivo, consiguen cada vez más privilegios dentro del sistema, acceden a todas las máquinas que pueden y extraen la información. Finalmente, se despliega el ransomware propiamente dicho, que cifra los archivos. Cada uno de estos grupos que colabora en una misma familia de ransomware puede estar en un país diferente. "Los desarrolladores que crean el malware y los afiliados que lo ejecutan se suelen repartir los beneficios en una proporción del 60-40%", concreta Rivero.

"Los atacantes se están volviendo cada vez más innovadores buscando beneficios", reconoce el informe de la Europol. Y cada vez optan más por ataques más bien preparados a entidades más grandes, porque son más lucrativos. "Ahora incluso son capaces de generar sus propios 0 day", explica Castellano. Quiere decir que saben encontrar vulnerabilidades de programas informáticos que ni siquiera ha descubierto la empresa que los ha hecho. Y llegan a la doble y la triple extorsión, avisa Álvarez. Algunos grupos extraen la información antes de cifrarla y amenazan con hacerla pública. Otros, si una empresa lo intenta esconder, también la amenazan de avisar directamente a los periodistas.

El ransomware que ha atacado a la UAB se llama PYSA, por las siglas del eslogan Protect Your Sistem Amigo, que se puede ver en la página del grupo en la dark web. PYSA practica la doble extorsión. En poco más de un año ha publicado datos robados a 240 empresas y entidades en su web, a pesar de que Torruella explica que en este caso "no hay indicios" de que los atacantes hayan extraído datos de la universidad. Las víctimas del grupo son sobre todo centros educativos, pero también hay algunas como unos laboratorios de Texas especializados en hacer test de drogas o la Gran Logia Masónica de Florida.