As¨ª es el ciberataque que mantiene totalmente paralizada a Garmin

El jueves pasado comenzaron las sospechas. La aplicaci¨®n Garmin Connect, de posicionamiento por GPS cuyo uso m¨¢s popular es controlar el ejercicio f¨ªsico y compartirlo con otros servicios y dispositivos, dej¨® de funcionar en todo el mundo. Horas m¨¢s tarde, ni cuentas de correo ni ordenadores personales ni servidores de la compa?¨ªa mostraban actividad alguna. Tampoco los servicios de aviaci¨®n, llamados flyGarmin, o Garmin Explore. La par¨¢lisis alcanz¨® tal nivel que hasta las f¨¢bricas de Taiw¨¢n cerraron las l¨ªneas de producci¨®n m¨¢s de 48 horas. ¡°Acceder a la red de operaciones es muy complicado. Es lo que m¨¢s alejado est¨¢ de los sistemas internos. Est¨¢n totalmente hundidos¡±, asegura ?scar Lage, experto en ciberseguridad de Tecnalia.

Lo que aparentaba la t¨ªpica ca¨ªda del sistema, com¨²n hasta cierto punto en toda empresa tecnol¨®gica, ha derivado en un ataque de ransomware, bautizado como WastedLocker. Se trata de un programa que restringe el acceso a determinadas partes o archivos del sistema y pide un rescate a cambio de levantar esta restricci¨®n. Aunque no existe un comunicado oficial, diferentes fuentes aseguran que la cantidad pedida por los atacantes superar¨ªa los 8,5 millones de euros. ¡°Si exigen ese dinero es porque existen muchas posibilidades de que terminen pagando. Es un modelo nuevo de ransomware, pero da la impresi¨®n de que buscan m¨¢s el dinero que publicar o vender la informaci¨®n que tengan¡±, sostiene Alfredo Reino, experto en ciberseguridad.

Para que nadie tuviera dudas de que estaba perfectamente planeado, los hackers se han encargado de dejarlo claro. Los archivos encriptados se llaman Garminwasted y el mensaje que aparece nada m¨¢s abrirlos es el siguiente: ¡°Garmin, tu red est¨¢ encriptada ahora mismo. Para conocer el valor de tus datos escribe a esta direcci¨®n de email¡±. Hecho a medida, lo que dificulta que los sistemas de ciberseguridad, como los de firmas, de comportamiento y antivirus, detecten su presencia. La propagaci¨®n por toda la organizaci¨®n ha sido muy efectiva. Que despu¨¦s de 96 horas no haya la m¨¢s m¨ªnima muestra de reactivaci¨®n no es nada halag¨¹e?o.

Garmin, que el a?o pasado factur¨® 3.230 millones de euros y vendi¨® unos 15 millones de dispositivos, de acuerdo con sus datos oficiales, simplemente se ha limitado a tuitear que trabaja en resolver la situaci¨®n lo antes posible, as¨ª como un enlace a una web donde resolver ciertas preguntas. En esta p¨¢gina garantiza que los datos, como de pagos o personales, no han sido vulnerados. Tambi¨¦n asegura que toda la informaci¨®n recopilada por los dispositivos durante estos d¨ªas permanece grabada y podr¨¢ sincronizarse cuando resuelva el ataque.

Cuanto m¨¢s se alargue el par¨®n, m¨¢s dudas surgir¨¢n internamente acerca de si pagar o no el rescate. M¨¢s a¨²n con una pandemia mundial que ha ralentizado por completo su negocio. Seg¨²n un estudio de IBM, un 25% de altos ejecutivos estar¨ªa dispuesto a abonar entre 20.000 y 50.000 d¨®lares para tener acceso a los archivos encriptados. En este caso se trata de millones. ¡°Oficialmente se dice que no hay que pagar, porque no tienes garant¨ªas de que los criminales cumplan con su palabra. Tampoco queremos validar un modelo de negocio criminal¡±, a?ade Reino. Incluso cabe la posibilidad de que ni existan claves de descifrado. No ser¨ªa la primera vez que un ransomware secuestra la informaci¨®n y resulta imposible liberarla.

La combinaci¨®n perfecta

Estos ataques son m¨¢s sencillos de lo que esconde el glamour del anglicismo. Basta con cambiar dos o tres l¨ªneas de c¨®digo para da?ar a cualquier organizaci¨®n a trav¨¦s de sus puntos m¨¢s vulnerables. En Garmin ha sido Taiw¨¢n, donde cuenta con su filial m¨¢s importante. Para restarle m¨¢s glamour, Lage est¨¢ convencido de que la ingenier¨ªa social ha sido la puerta de acceso m¨¢s probable. La combinaci¨®n de covid, vacaciones de verano y cierto descontrol en el personal ha sido el c¨®ctel perfecto. ¡°Es la forma m¨¢s sencilla de atacarte, un buen momento para los cibercriminales. Dices que ahora llevas el mantenimiento de los sistemas, te ganas la confianza de alguien de dentro y te facilita las credenciales¡±.

Tantos interrogantes permanecen encima de la mesa que hasta la autor¨ªa est¨¢ en el aire. Ninguna firma ha aparecido en los archivos o en los mensajes. Algunas fuentes se?alan a Evil Corp, un potente grupo cibercriminal ruso cuya actividad comenz¨® en 2007. La raz¨®n es la similitud entre WastedLocker con otros dos malware y ransomware desarrollados exclusivamente por esta organizaci¨®n: Dridex y BitPaymer. Sus objetivos eran principalmente entidades bancarias. En diciembre del a?o pasado, el Departamento del Tesoro estadounidense cuantific¨® en m¨¢s de 85 millones de euros el da?o financiero causado por estos hackers.

Detr¨¢s de Evil Corp est¨¢n nombres tan relevantes como Maksim Yakubets e Igor Turashev, condenados por la justicia de Estados Unidos y en busca y captura. Como explica Reino, son personas m¨¢s que conocidas en el mundillo de los ciberdelitos. Su vida ha estado vinculada tanto a este grupo criminal como al servicio de inteligencia militar del ej¨¦rcito ruso ¡ªconocido como Gru¡ª y al Servicio Federal de Seguridad de Rusia (FSB). ¡°Es gente que trabaja indirectamente para el Estado, luego van al cibercrimen y as¨ª hasta el final. Como una puerta giratoria¡±.

Garmin compite contra el reloj por salir de la par¨¢lisis. El caos persiste, a expensas de conocer el alcance completo del virus. En ciberseguridad los expertos coinciden en que los da?os se valoran en cada segundo que el ransomware habita en la empresa; y aqu¨ª el desastre se mide ya por d¨ªas para una organizaci¨®n que tambi¨¦n vive de la navegaci¨®n a¨¦rea y mar¨ªtima, no solo de los t¨ªpicos relojes que analizan nuestras carreras. ¡°Espero que los sistemas de backup est¨¦n lo m¨¢s alejados posible de los ficheros infectados porque, en caso contrario, el destrozo ser¨ªa m¨¢s que importante. Si llega hasta all¨ª, complicado que recupere la actividad¡±, concluye Lage.