El lucrativo negocio que se esconde tras los pagos de ¡®ransomware¡¯

Pagar o no pagar. Miles de compa?¨ªas se enfrentan a este dilema cuando se ven atrapadas por un ataque de ransomware. Informaci¨®n secuestrada, archivos encriptados, sistemas ca¨ªdos, negocios paralizados¡­ Y un mensaje en los ordenadores que alberga pocas dudas: hemos atacado a tu organizaci¨®n y aqu¨ª tienes una direcci¨®n de contacto donde negociar el rescate. Ciberextorsi¨®n de manual. La carrera contra el reloj ha comenzado.

Toca afrontar el dilema; pero, antes de adoptar la decisi¨®n final, nuevos actores salen a escena. Las aseguradoras juegan un papel indispensable cuando tienen claro que su cliente lucha contra un ransomware. Momento de activar las coberturas de ciberriesgos y que desembarquen forenses tecnol¨®gicos ¡ªcuyos honorarios suelen ir aparte¡ª, peritos, expertos en comunicaci¨®n y abogados. ¡°Las p¨®lizas suelen cubrir el pago del rescate. Siempre hay dos condiciones: denunciar la extorsi¨®n a las autoridades y llevar la negociaci¨®n con discreci¨®n y confidencialidad. Cuando decimos que cubren el rescate significa que es la empresa atacada la que abona el dinero y luego la aseguradora le devuelve ese importe¡±, explica Carmen Segovia, directora de l¨ªneas financieras y ciberseguros de Aon.

Quienes conocen estas situaciones las definen como horas de angustia, nerviosismo y m¨¢xima tensi¨®n, sobre todo la primera vez. Sea cual sea la decisi¨®n, el da?o est¨¢ causado. No es ni mucho menos inusual decantarse por el pago. Ejemplos recientes, como el de Garmin y la ciudad estadounidense de Lafayette, o m¨¢s antiguos, como Uber, lo demuestran. Algunas compa?¨ªas incluso reconocen que han sucumbido a las presiones. CWT exhibi¨® en un chat p¨²blico la negociaci¨®n con los piratas ¡ªdonde se observa el importe pagado finalmente¡ª y siete universidades brit¨¢nicas enviaron un correo electr¨®nico a sus alumnos aceptando el rescate despu¨¦s de quedarse sin los servicios de cloud provistos por Blackbaus.

Seg¨²n el Informe de Ciberpreparaci¨®n de Hiscox 2020, casi tres de cada 10 compa?¨ªas espa?olas que ha sufrido una ciberextorsi¨®n ha abonado el rescate para recuperar el acceso a sus sistemas. Los responsables de ciberseguridad o cualquier experto en ciberataques siempre recomienda evitarlo, al margen de que la realidad muestre otra cara. ¡°Alientas pr¨¢cticas criminales. Das gasolina a que estos grupos contin¨²en extorsionando, aunque comprendo que muchas empresas se ven muy afectadas y optan por esta soluci¨®n porque tardar¨ªan meses en retomar la actividad¡±, comenta Jos¨¦ Mar¨ªa Ch¨ªa, responsable de inteligencia de datos en 4IQ.

Los m¨¦todos habituales de negociaci¨®n son el correo electr¨®nico, servicios encriptados de mensajer¨ªa y p¨¢ginas web temporales gestionadas por los extorsionadores. Con el pretexto de prevenir enga?os, lo habitual es exigir una prueba de vida, al igual que en los secuestros de personas, que demuestre que cuentan con las contrase?as v¨¢lidas para descifrar los archivos. Winston Krone, director gerente mundial de Kivu Consulting, precisa que, solventado el pago, las claves suelen enviarlas a los pocos d¨ªas. Sin embargo, existen ransomware que obligan a liberar primero los ordenadores y luego los servidores, lo que alarga el proceso hasta meses. ¡°A veces, los delincuentes tendr¨¢n varias v¨ªctimas. Si una intenta negociar el precio, los atacantes retrasar¨¢n la respuesta o, peor a¨²n, aumentar¨¢n el dinero exigido¡±, a?ade.

Peor para las pymes

La situaci¨®n se agrava a¨²n m¨¢s en las pymes. Cualquier negocio vive expuesto al hackeo, pero su m¨²sculo financiero es menor y sus infraestructuras de ciberseguridad carecen de gran robustez. Por no mencionar su desconocimiento acerca de estos ataques, que alimenta el lucro generado por este tipo de actividad cibercriminal. Ante la decisi¨®n de solventar la extorsi¨®n mediante una transferencia en criptomonedas, que ni saben d¨®nde conseguirlas, recurren a nombres propios como Arete, especializada en la mediaci¨®n y pago de ransomware, y el de alg¨²n freelance que opera en la dark web ¡ªredes superpuestas a la Internet p¨²blica y que requieren un software espec¨ªfico y configuraciones o autorizaci¨®n para acceder¡ª.

¡°El 90% de los servicios ofrecidos en la dark web son estafas. Te toca fiarte de la palabra de un desconocido sin ninguna garant¨ªa. Si est¨¢s muy verde, no es raro contratar a empresas o freelances que hagan de intermediario¡±, sostiene Ch¨ªa. Las evidencias demuestran hasta qu¨¦ punto la actividad econ¨®mica que rodea a la ciberestorxi¨®n anda interconectada. Krone afirma que, seg¨²n su propia experiencia, algunos de los atacantes guardan estrecha relaci¨®n con estos aut¨®nomos dispuestos a ayudarte con el pago: ¡°B¨¢sicamente, los criminales te prestan los bitcoin con los que abonas el rescate¡±.

Para nada es casual que suelan pedir bitcoin o monero, sencillas de esconder ante las autoridades as¨ª como de blanquear, en especial la segunda. Las mafias y delincuentes del ransomware mueven el dinero por un entramado digital complejo, que salta de pa¨ªs en pa¨ªs, hasta que finaliza su recorrido en una lavadora, que lo convierte en moneda de curso legal. Este martes, la polic¨ªa ucrania arrest¨® a una red que hab¨ªa blanqueado m¨¢s de 35 millones de euros provenientes de los rescates. De media, este tipo de ciberataques cuesta 3,7 millones de euros a las empresas y solo un 10% recurre a las p¨®lizas para cubrir todos los gastos derivados, seg¨²n el ¨²ltimo estudio de IBM al respecto.

¡°Las criptomonedas son m¨¢s atractivas para los malos, aunque hay compa?¨ªas especializadas en desanonimizar el dinero y que ayudan a pillar al extorsionador. El cibercrimen tiene un impacto econ¨®mico mayor al del tr¨¢fico de droga¡±, zanja ?lvaro del Hoyo, miembro del Centro Europeo de Competencia en Ciberseguridad de IBM.

?Dudas legales?

Que se trata de un negocio criminal, nadie lo cuestiona. Se asemeja al llamado impuesto revolucionario. Historia bien diferente es la inexistencia de una legislaci¨®n propia que proh¨ªba estas pr¨¢cticas, salvo en Singapur, M¨¦xico, Italia y la lista de grupos criminales y terroristas de la Oficina de Control Activos Extranjeros de Estados Unidos ¡ªdonde aparecen mafias digitales como Evil Corp¡ª. ¡°Hablamos de un sistema de alegalidad. Los afectados crean sociedades interpuestas que se erigen como leg¨ªtimas para el pago del rescate, amparadas por la confidencialidad y la privacidad de las cl¨¢usulas que han firmado¡±, sostiene Natalia Martos, fundadora Legal Army.

En Espa?a, solo el art¨ªculo 576 del C¨®digo Penal, que castiga hasta con 10 a?os de c¨¢rcel ¡°cualquier acto de colaboraci¨®n con las actividades o las finalidades de una banda armada, organizaci¨®n o grupo terrorista¡±, valdr¨ªa como norma antirrescate. Se intent¨® aplicar en una ocasi¨®n, en 2012 por el caso de las hermanas Bru?o, y el Tribunal Supremo lo ech¨® finalmente por tierra. ¡°No hay un delito que sea el de colaboraci¨®n con el secuestrador. Como m¨¢ximo hablar¨ªamos de un encubrimiento de un delito, pero al estar en estado de necesidad la v¨ªctima, le facultar¨ªa o legitimar¨ªa a pagar sin denunciar¡±, aclara Xavier Ribas, abogado de Rivas y Asociados experto en ciberseguridad y protecci¨®n de datos.

La migraci¨®n digital impuesta por la crisis del coronavirus ha favorecido el auge de estos ataques. El teletrabajo abre m¨²ltiples fisuras en la seguridad de las organizaciones. En casa no estamos igual de protegidos. Tal y como expone Segovia, las p¨®lizas de ciberriesgos han crecido un 41% desde el inicio de la pandemia. Nombres de ransomware como Ryuk, LockerGoga, NotPetya, Ekans, Wannacry resultan conocidos, pero tal es el incremento que cuesta bautizar a todos. ¡°Durante el estado de alarma, personas que nunca hab¨ªan delinquido, en seguida entraban en la dark web, compraban ransomware y lo enviaban masivamente, la mayor¨ªa relacionados con informaci¨®n falsa sobre la covid-19¡±, destaca Segovia.

El extorsionador lo mismo accede a trav¨¦s de un correo electr¨®nico que mediante ingenier¨ªa social, fingiendo, por ejemplo, ser el nuevo responsable de mantenimiento inform¨¢tico. Lo m¨¢s habitual, al menos en palabras de Ch¨ªa, es la desactualizaci¨®n de sistemas operativos como Windows. La mejor protecci¨®n siempre ser¨¢ disponer de copias de seguridad recientes, aunque los malos tambi¨¦n son capaces de secuestrar estas infraestructuras. ¡°La ¨²ltima tendencia desde hace cierto tiempo es que, primero, se infiltran en tu red y, despu¨¦s, la controlan por completo. Incluso filtran informaci¨®n sensible con cuya publicaci¨®n pretenden intensifiar la urgencia del pago. Te muestran la informaci¨®n que tienen y van publicando documentos poco a poco mientras no se produce el pago¡±, razona Del Hoyo.

Sin visos de que los ataques remitan a corto plazo, el dinero generado por el pago de ransomware seguir¨¢ alimentando en diversos frentes una actividad lucrativa. ¡°Seg¨²n nuestros datos, entre octubre de 2019 y marzo de 2020, el 35% de los siniestros cibern¨¦ticos que hemos gestionado en el mercado europeo corresponde a incidentes de esta naturaleza¡±, expone Alan Abreu, responsable de ciberriesgos de Hiscox. Y es que la exposici¨®n para los malos es casi insignificante.

Los ciberataques salen muy baratos. "Estos ataques son muy lucrativos si tenemos en cuenta las condiciones y costes de vida en ciertos pa¨ªses. Los salarios que perciben trabajando legalmente son muy bajos si los comparamos con lo que ciertas empresas podr¨ªan pagar por recuperar su informaci¨®n, lo que alienta que haya oleadas incesantes de ataques", asegura Ch¨ªa,