¿Alguna vez te has preguntado cómo negociar con un hacker?
¿Tu empresa ha sido víctima de un ataque de ransomware? (un código malicioso para secuestrar datos y encriptar archivos)
Pues olvídate de negociar con un hacker con el rostro bañado por la luz de una lámpara.
Al otro lado hay organizaciones criminales que usan modelos de negocio legales, con programas de afiliación y atención al cliente, duras de pelear.
Hablamos con expertos y víctimas para hacer una foto de la ciberdelincuencia actual.

¿Cómo negociar con un hacker?
-Hola, ¿qué tenemos que hacer para que borres nuestros datos de tus servidores y podamos descifrar nuestros archivos?
-¡Hola! Tienes infectados y bloqueados 30.000 dispositivos en varios países. Nuestro precio incluye dos servicios. Por un lado, un software para desencriptar archivos y, por otro, borrar tus datos de nuestros servidores.
Si contratas ambos servicios, tienes que pagar diez millones de dólares en bitcoins antes de que el contador que hemos instalado en tu home se ponga a cero.
Después de pagar te daremos los detalles de cómo entramos en tu perímetro de seguridad y unos consejos para que puedas mejorar tus medidas.
–Y ¿cómo sabemos que ese software funciona?
–Entendemos tu preocupación. Por eso estamos dispuestos a desencriptar dos archivos aleatoriamente gratis para demostrar que el programa funciona.
–En el mensaje inicial nos decias que si nos poníamos en contacto con ustedes en menos de dos días habría un precio especial. No puede ser que los diez millones de dólares sean el ‘precio especial’, ¿verdad?
–Ese precio no es el especial. Es la cantidad estándar para una empresa de su tamaño, y probablemente mucho más barato que los gastos que supondría una acción legal y la pérdida de reputación provocada por la filtración de datos. Y sí, puesto que respondieron en plazo y están dispuestos a realizar el pago ya, podemos hacer ese descuento.
–Apreciamos el descuento y las amables palabras, pero esperábamos una cifra para la que tuviéramos dinero en efectivo. Entiendo que para ustedes esto es un negocio, pero ahora mismo mi principal preocupación es mantener mi negocio a flote. Ocho millones de dólares nos obligan a duplicar nuestros ingresos para poder seguir funcionando. Estamos en disposición de pagar 3,7 millones hoy. Solo estoy tratando de prevenir despidos en nuestra empresa.
–Apreciamos tu oferta, pero nos tienes que entender a nosotros. Este es el mercado y les hemos ofrecido un precio adecuado. Desafortunadamente, la cantidad que nos propones no es suficiente para cerrar el trato. Les hicimos un descuento del 20% no porque estemos dispuestos a negociar a la baja, sino porque nos gusta el espíritu de su empresa. Podemos ofrecerles una rebaja extra del 5% y cubrir nosotros el costo de las instalaciones. Si nos pagas cuatro millones de dólares ya, podrás tener el desencriptador, y cuando pagues el resto del dinero, borraremos todos sus datos de nuestros servidores.
–Muchas gracias por hacer todo esto tan rápido.
–De nada. Es un placer trabajar con profesionales. Si tienes alguna duda, no tengas reparo en preguntar.

Esta es la conversación en tiempo real que mantuvieron el responsable de la negociación de un ataque de ransomware a una empresa del sector turístico con el responsable de ‘atención al cliente’ del grupo de hackers que cifró la información de la compañía y robó sus datos, amenazando con hacerlos públicos, entre las 00:24 horas del 27 de julio y las 01:23 horas del 28 de julio de 2020.
Lo importante de toda esa conversación está precisamente hacia la mitad, en el momento en el que se produce la doble extorsión: cifrado más exposición de datos. La empresa aceptó el pago.
Esta es la clave que explica cómo es posible que las empresas no tengan más opción que pagar cuando sufren un ataque de ransomware.
Y sí, el tono coloquial y la falsa amabilidad son reales y habituales en las negociaciones.
De negociar con un hacker o de ser hackeado… nadie está a salvo
“El ransomware [o software secuestrador] no es algo nuevo. Salió del radar público y volvió a resurgir un poco después de los ataques de WannaCry [en mayo de 2017], hacia 2019, con la doble y triple extorsión.
Dentro de la industria, sin embargo, siempre lo hemos visto bastante activo.
Antes, cuando te infectaban, te decían: ‘O pagas o te quedas sin tus datos’.
Esta gente se dio cuenta de que si, además, liberaban tus datos forzaban a las empresas a enfrentarse a pagar multas.
Eso por no hablar de que podían así exponer información que le podía interesar a la competencia, con lo que la amenaza de publicar esa información se convirtió en una segunda extorsión. Y luego entró en juego la tercera extorsión: si no pagas en 48 horas, te hacen ataques de denegación de servicio.
Mientras no pagues, el portal de login de tus clientes va a estar caído. Son formas de provocar el pago”, explica Víctor Acin, responsable del departamento de ciberinteligencia en Blueliv, una de las empresas internacionales más importantes en el análisis de ciberataques, con sede en Barcelona.
Acin es experto en análisis inverso de estos ataques. Antes, además, había sido un hacker ético.
El 6 de mayo de 2021, Colonial Pipeline, el gigante estadounidense que transporta gasolina, diésel y combustible para aviones a través de sus oleoductos (prácticamente la mitad del consumo de EEUU pasa por sus conductos), sufrió un ataque de ransomware por parte de DarkSide, una organización que ya se ha disuelto y que probablemente se estará reorganizando con otro nombre, y que afectó a toda su red de ordenadores.
El ataque bloqueó el suministro de combustible para el 45% de los estadounidenses. Se declaró el estado de emergencia y DarkSide cobró un rescate de 4,4 millones de dólares.
La consecuencia directa fue que el presidente de EEUU, Joe Biden, declaró el cibercrimen como un acto de terrorismo, no como un tipo de delito independiente.
Ese mismo mes, la aseguradora AXA sufrió un ataque parecido en Asia.
Fue obra de Avaddon, otro de los principales grupos de malware, también disuelto. Avaddon se hizo con tarjetas de identificación, copias de pasaportes, reclamaciones de clientes, información de pagos, contratos, todas las identificaciones de los clientes y los papeles escaneados de sus cuentas bancarias, investigaciones por fraude en hospitales e informes médicos (incluidos los de VIH, hepatitis, ETS…).
Hasta ese punto fue importante el ataque.
En paises como España, por ejemplo, en el plazo de cuatro meses (entre marzo y junio de 2021), el Ministerio de Trabajo ha sufrido dos ataques con el programa de chantaje Ryuk.
El primero de ellos, al SEPE, por poco dejó sin cobrar durante un mes a los desempleados en plena crisis pandémica.
Lo más curioso es que Ryuk es una evolución de otro software, Hermes, desarrollado cinco años antes.
Y es que estos ataques se están convirtiendo en una noticia cotidiana ahora, pero no son un fenómeno nuevo.
Lleva madurando a lo largo de los últimos diez años. Y sus orígenes se remontan una década atrás, al año 2000.

HISTORIA DEL LADO OSCURO
El malware nació en los años 90 básicamente para que los mejores programadores pudieran sacar pecho.
Hasta que se desarrolló la banca online y se vio la posibilidad de sacar dinero.
Desde entonces y en solo dos décadas, han alcanzado una estructura empresarial compuesta por distintos modelos de negocio (suscripción, software as a service, consultores independientes…) y compartimentos: los que detectan las vulnerabilidades de las empresas, los que crean el software, los que distribuyen, lavan el dinero, negocian con las empresas directamente, gestionan el momento del pago (en criptomonedas) o los que coordinan todo el tinglado y se llevan el dinero.
Y se ha llegado a un punto de madurez tal que incluso tienen programas de afiliados. Un grupo de hackers crea un malware y busca al resto de actores (los que encuentran vulnerabilidades, los que negocian, etc.) públicamente (es un decir) en la dark web. Dicen, sin esconderse:
“Esto es lo que es capaz de hacer mi software [que, por supuesto, es mejor que el de la competencia]. Si eres bueno y tienes alguna habilidad para realizar un ataque, vente con nosotros. Y para que veas nuestra buena fe, cada vez que actuemos pondremos un seguro, de tal forma que si pillan a una parte, el resto cobrará por los servicios prestados”.
“De forma que si tú eres bueno entrando en empresas, no tienes por qué estar molestándote en desarrollar el malware, mantener la infraestructura, hacer toda la parte de customer support para cuando la empresa contacte y negociar. De todo eso se ocupa el grupo principal. Al final imitan la realidad”, apunta Acin.
Esos programas de afiliados hacen luego pruebas a los candidatos para confirmar su valía.
Hay grupos que son abiertos, como LockBit, y otros que son más selectos y que no se publicitan de forma tan activa.
Y llegados a este punto, se nos plantean dos preguntas importantes: ¿cómo es posible que este mercado haya llegado a tal nivel de madurez?, ¿cómo es posible que se haya llegado a un punto en el que pagar sea la única opción?

Negociar con un hacker… un negocio en auge
En realidad algo sí se puede negociar. Las cantidades pueden subir o bajar en función de lo rápido que se pague, y de la prevención de la empresa atacada: si es capaz de recuperar parte de la información o descubrir rápido de dónde viene el ataque puede solicitar una rebaja.
Pero en todos los casos, una vez que se produce el secuestro, no hay más opción que pagar.
No existe una alternativa. Al menos para las grandes empresas, en las que se están centrando estos ataques. ¿La razón?
Pueden pagar más dinero y más rápido.
Con un incentivo extra: un secuestro a una empresa puede afectar también a muchos de sus proveedores.
Y si esos proveedores se llaman Amazon o Microsoft, el grado de presión que se puede llegar a ejercer es enorme.
“Hasta hace poco toda esta gente trataba de pasar desapercibida. La venta de programas malignos no es para nada nueva. La diferencia está en que antes se hacía en foros cerrados y había que trabajar para llegar hasta ahí. Pero desde hace dos años, con la aparición del ransomware, se han envalentonado.
Ya no quieren pasar desapercibidos. Y esto les permite que este negocio, que no es que se haya consolidado recientemente sino que llevaba años trabajándose, haya salido a la luz como si fuera algo nuevo. El hecho de que tengas un desarrollador en particular para hacer una pieza de malware y otro para la distribución ya era algo que habíamos detectado nosotros en 2015”, dice Víctor Acin.
Y continúa: “También es cierto que el hecho de que sea más conocido atrae a más gente. Además, en el proceso de afiliados, por ejemplo, para demostrar que valen su peso en oro, dejan un depósito a modo de seguro por si algo sale mal. Así, si arrestan a unos, los demás cobran al menos una parte. DarkSide había dejado 300.000 dólares en el caso del ataque del oleoducto de EEUU”.
Por su parte, Blueliv ha estado estudiando recientemente lo que se conoce en el sector del cibercrimen como Initial Access Brokers. Estos son agentes libres que detectan vulnerabilidades y las venden a grupos de malware.
“Los agentes de acceso inicial se benefician de la venta de acceso remoto a redes corporativas en foros clandestinos, como Exploit, XSS o Raidforums. El tipo de accesos ofrecidos son principalmente protocolos de escritorio remotos (RDP por sus siglas en inglés), VPN o herramientas de software de acceso remoto ofrecidas por empresas como Citrix, Pulse Secure, Zoho o VMware.
Sin embargo, los actores de amenazas también están vendiendo información y herramientas para realizar intrusiones en las empresas mediante inyecciones de SQL [un dominio diseñado para administrar y recuperar información de sistemas de gestión de bases de datos], exploits de ejecución remota de código [cuando un atacante explota un error en el sistema e introduce un programa maligno] y otras vulnerabilidades”, explican los expertos de Blueliv en un reciente análisis.
“Desde 2020, ha habido un gran aumento en la venta de accesos a la red, probablemente impulsado por dos factores: la situación de la fuerza laboral remota derivada de la pandemia y el aumento de los ataques de ransomware”, matizan.
“De cara a conseguir acceso hemos visto tres técnicas, principalmente: vulnerabilidades de infraestructura, credenciales robadas y ataques de ingeniería social [hablan con los empleados de la empresa para tomarles el pelo y poder acceder a su sistema informático].
Normalmente, las credenciales robadas suelen empezar con ingeniería social: te llega un correo con un adjunto y al abrirlo suelta un bicho que te roba las credenciales, que se envían a un servidor donde el malo ya hace lo que quiera con esa información. Esas son las fuentes de infección para casos de ransomware”, explica Acin.
Como cualquier sector, este también ha evolucionado.
“Cuando se empezó a experimentar con ransomware, lo que estaba de moda era un malware muy sofisticado, los troyanos bancarios, capaces de redirigir las transferencias.
Al principio, era un poco como el salvaje Oeste: atacaban a todo lo que podían, y si alguien picaba y pagaba, estupendo. Pero se dieron cuenta de que la mitad de las veces no pagaban e implicaba un tiempo que podían invertir en otra cosa.
El payoutde una empresa de 150 empleados ¿qué te puede dar? ¿20.000 o 30.000 dólares? De ahí se pasó a cazar ballenas, a buscar un objetivo bien pensado, lanzar ataques bien estructurados que puedan dar un beneficio gordo.
Ahí es cuando empiezan a surgir los Initial Access Brokers, que propician ataques dirigidos, ataques con cabeza”, explica Acin.
“España, en particular, es un caso interesante. Es un target muy jugoso por el idioma. Es un objetivo interesante para todos los hispanohablantes, principalmente al estar dentro de la Unión Europea.
Uno de los principales motivos para buscar empresas que estén dentro de la Unión Europea es que están sujetas a la ley RGPD (Reglamento General de Protección de Datos).
Los hackers se aprovechan de las multas que le pueden llegar a una empresa por exposición y filtrado de datos de RGPD, de hasta veinte millones de euros, para forzar el pago. Y obviamente, es más fácil engañar a las empresas si hablas el idioma”, apunta Acin. “La multa viene si no has tomado medidas suficientes para protegerte a ti, tus datos y a tus clientes.
Los que pican son los que tienen más que perder con las multas. Cuanto más dinero ganan los cibercriminales, más dinero tienen para contratar talento”, añade.
Las pymes también son objeto de ataques de ransomware, y el modus operandi es el mismo para todas las empresas.
Jordi Serra, experto en hacking y forense de ciberataques a medianas empresas, explica que en este segmento “entran a través de terceros de confianza, muchas veces proveedores.
Si recibes un correo electrónico con una factura de un proveedor es más fácil que bajes la guardia.
El ciberdelincuente entra en los ordenadores de ese proveedor y te envía una factura con un troyano dentro”.
Serra pone el ejemplo de algo tan ‘inofensivo’ como la empresa de suministro de botellas de agua de una pyme.
“Como conocen a esa persona, abren el correo. Imagínate que has recibido una factura y dos días después recibes un correo de esa misma persona que te dice que la factura era incorrecta y que te envía la nueva. La vas a abrir seguro. Y en ese correo viene el troyano.
O cuando llega un proveedor con un portátil a tu empresa y se conecta a tu red porque necesita enviar un correo o imprimir un documento. Y lleva un troyano que en cuanto entra en el sistema se pone a buscar un servidor de Windows, un servidor de Linux con una vulnerabilidad concreta. Salta a la red, y contagia a la empresa.
Por eso se llaman virus”, dice Serra. “Además, piensa que atacan empresas concretas. Se hace un primer ataque en el que solo entran y se dedican a ver qué hay dentro. Buscan luego a empleados en LinkedIn, en Twitter… y hacen un mapa con todas esas personas. De esa manera, se pueden hacer pasar por empleados, por jefes, por proveedores”, advierte este experto.
Muchos ataques de ransomware empiezan con un correo de un compañero conocido antes de una reunión que te dice que te descargues un documento antes de entrar en ella.

PAGAR O NO PAGAR
“En realidad solo hay dos modus operandi. Cuando te atacan dices: ‘Hay mil formas de que te ataquen’. Pero no: o lo provocas tú, porque le has dado a un enlace, has abierto un ejecutable y le has dado con el dedo, o han aprovechado una vulnerabilidad en tu sistema.
Era vulnerable y se podía entrar. Le abres la puerta o la puerta estaba mal y han entrado”, explica Sergio de los Santos, unos de los principales expertos internacionales en ciberseguridad.
De una forma o de otra, “los ciberdelincuentes no entran en la empresa y atacan. Pasan mucho tiempo mirando lo que hay, viendo qué información pueden utilizar. Cuando lo tienen claro, lo hacen, se van y piden el rescate. Para cuando te cifran, ya han pasado quince días antes dentro de tu red.
Durante ese tiempo aprovechan para crear puertas traseras, para poder volver a entrar. Por eso es importante, al sufrir un ataque, analizarlo. A lo mejor hay un ordenador que no se ha cifrado, pero tiene una puerta de atrás para un nuevo ataque”, sigue.
“En muchos troyanos se dejan comentarios de uno para otro: ‘Hay que cambiar esto, hay que actualizar esto’”, añade Serra.
Hay empresas que ahora mismo se dedican a crear programas maliciosos o ataques a medida.
E incluso actores independientes que cobran una cuota por el uso de su malware, como el popular Dr. Predator, que cuenta incluso con un contacto en Telegram.
Pero ¿por qué no contactar con Telegram y pedir el contacto para darle caza?
“Pídele tú un dato a Telegram”, ironiza uno de los forenses que hemos entrevistado para este artículo, que prefiere mantenerse en el anonimato. “No te lo van a dar. Y pídele tú a un proveedor ruso que te dé información de la IP a la que van los datos.
Ese problema geopolítico no está solucionado. No es que no haya penas, sino que es muy improbable que te atrapen. Lo hacen con los que están programando, que no son la cúpula y son fáciles de reemplazar. En Internet es muy difícil que funcionen no ya las leyes de extradición, sino las de información”, sigue este experto.
Además, al problema de la legislación de protección de datos en algunos países se suma la dificultad cuando los casos están en manos de las autoridades en países donde no hay leyes de extradición, donde hay corrupción o donde sencillamente no les interesa facilitar información, porque la mayoría de los ataques provienen de países de Europa del Este, Asia y Rusia.
«Una de las razones por las que ha podido consolidarse el modelo es debido a los países desde los que operan. Muchos de los grupos de ransomware tienen ya pactado, incluso en los programas de afiliados, no atacar a países de la antigua Unión Soviética. El software tiene incluso detectores de lenguaje. Y si estás en un país sin extradición y no estás haciendo daño en ese país y estás inyectando dinero, aunque sea una practica ilegal, es muy difícil que te paren”, plantea Acin.
¿Y las aseguradoras no pueden hacer nada?
“Si acudes al seguro, estás alimentando el modelo, y al modelo hay que estrangularlo. Que no haya forma de pagar y que para el atacante no sea rentable”, responde Sergio de los Santos.
Entonces ¿cómo combatirlo? ¿cómo negociar con un hacker?
“Eso está por descubrir. Está claro que no puede ser solo desde el punto de vista técnico. Tiene que haber también un cambio legislativo.
Que sea penado fuertemente, como ha hecho Joe Biden en EEUU, declarando como terrorismo el cibercrimen. O incluso que el Estado se involucre para que a una empresa no le resulte tan caro no pagar: que tenga acceso a ayudas”, plantea De los Santos.
“En EEUU, pagar el rescate puede, incluso, desgravar. Pero mientras el pago no esté contemplado por la ley, las empresas van a seguir pagando. Para cuando te cifran, ya te han robado los datos”, concluye Acin.
Pero ¿se puede no pagar?
“No negocié en ningún momento. Yo no pago rescates. No sé en otra situación, con un ser humano, pero lo tuve claro.
Eso sí, tuve que empezar desde cero. Tuvimos que volver a montar la estructura informática y todo nuestro catálogo de referencias desde cero”, nos cuenta Jorge (es un nombre falso), propietario de una pequeña cadena de tiendas que fue víctima de un ransomware hace tres años.
“El esquema es el de un secuestro clásico. Me ofrecían incluso una prueba de vida, como si fuera el periódico del día, para saber que el secuestrado estaba vivo.
Me ofrecían desencriptar diez archivos que yo eligiera, pero no podían sumar, en conjunto, más de dos megas, una cantidad de espacio muy pequeña. Nunca les respondí”, añade Jorge.
Así que poder, se puede, pero ¿cuántas empresas se lo pueden permitir sin que esto las lleve al cierre?

Sigue leyendo…
El perro robot de Boston Dynamics baila en sincronía con Mick Jagger
En 10 años tu coche te leerá la mente, se limpiará solo y hablará contigo