DarkSide, los piratas inform¨¢ticos con canal de atenci¨®n al cliente que pretenden ser Robin Hood

DarkSide apareci¨® en las profundidades de la red a mediados de agosto del a?o pasado. ¡°No queremos matar tu empresa¡±, afirmaban en su manifiesto original. El grupo de cibercriminales especializados en secuestros inform¨¢ticos responsable, seg¨²n el comunicado emitido el lunes por el FBI, del ataque a Colonial ¨Duna de las principales redes de oleoductos de Estados Unidos¨D se presentaba en su p¨¢gina de la internet oscura ?¨Dparte de la web solo accesible desde navegadores espec¨ªficos?¨D como una suerte de Robin Hood. Solo atacar¨ªa aquellas empresas capaces de asumir el pago del rescate de sus datos y evitar¨ªa dirigir sus programas de secuestro inform¨¢tico a hospitales, colegios, empresas sin ¨¢nimo de lucro o agencias gubernamentales.

A esta promesa se sumaban acciones pretendidamente altruistas, como la donaci¨®n de parte de sus beneficios a proyectos solidarios. Seg¨²n proclam¨® la banda en un comunicado difundido en octubre de 2020, su intenci¨®n era entregar parte de los rescates a organizaciones ben¨¦ficas. ¡°No importa lo malos que pienses que somos, nos satisface saber que ayudamos a cambiar la vida de alguien¡±, afirmaban en el anuncio de sendas donaciones de 10.000 d¨®lares a Children International y The Water Project. Jos¨¦ Rosell, socio director de la empresa de ciberseguridad especializada en infraestructuras cr¨ªticas S2Grupo, se muestra especialmente esc¨¦ptico con estas proclamas: ¡°Mentira podrida. Esto es puro negocio. No olvidemos que son delincuentes como la copa de un pino¡±.

?Qui¨¦nes son? ¡°Todo apunta a que provienen de Europa del Este con algunas ramificaciones en Rusia, pero no hay evidencias que permitan asegurarlo¡±, se?ala Herv¨¦ Lambert, responsable de operaciones globales de consumidores de la firma de ciberseguridad Panda Security. Su nombre, DarkSide, podr¨ªa ser una referencia al lado oscuro de la saga de La guerra de las galaxias. En su carta de presentaci¨®n se describen como expertos con cosechas de millones de d¨®lares en rescates: ¡°Creamos DarkSide porque no encontr¨¢bamos el producto perfecto para nosotros¡±. Antes de cumplir su primer mes de vida ya pod¨ªan presumir de haber recaudado grandes sumas en ataques lanzados bajo el nuevo estandarte, a trav¨¦s de pagos que oscilan entre los 200.000 y los 2 millones de d¨®lares.

Sistema de moderaci¨®n y chequeo

Tras el ataque a Colonial, Darkside ha hecho p¨²blico un comunicado en el que insisten en su naturaleza apol¨ªtica. Adem¨¢s, conscientes del perjuicio causado a miles de ciudadanos ¨Del ataque afect¨® al abastecimiento de crudo del sur y este de EE UU¨D se comprometen a introducir un sistema de moderaci¨®n y chequeo de cada compa?¨ªa que sus socios quieran atacar para evitar posibles consecuencias en el futuro. ¡°Nuestro objetivo es hacer dinero, no crear problemas para la sociedad¡±, aseguran. Para Lambert, el corto plazo en que se han consolidado en la cima del lado oscuro de internet no es tan sorprendente: ¡°Es gente muy h¨¢bil para esto. Tienen grandes ventajas a la hora de lanzar sus acciones de marketing. Pueden hacer mucho ruido en muy poco tiempo¡±.

En sus inicios a DarkSide se le asoci¨® con REvil, otro conocido operador de secuestros inform¨¢ticos, dadas las similitudes en el c¨®digo empleado por los atacantes de ambos colectivos y, especialmente, en la estructura y contenidos de la nota de rescate con que acompa?an sus ofensivas. Adem¨¢s, coinciden con REvil en su activa intenci¨®n de evitar infectar a v¨ªctimas de pa¨ªses de las antiguas rep¨²blicas sovi¨¦ticas.

Entre sus primeras damnificados estuvo la inmobiliaria estadounidense Brookfield Residential, cuya infecci¨®n hicieron p¨²blica en su sitio web. El anuncio, encabezado con el nombre del portal, detallaba los contenidos de los 200 gigas de informaci¨®n robada en el ataque: ¡°Hemos descargado un mont¨®n de datos interesantes de vuestra web¡±. En el mismo comunicado se ofrec¨ªan a enviar pruebas y ¨Den lo que luego se convirti¨® en una pr¨¢ctica habitual¨D advert¨ªan que los datos se subir¨ªan autom¨¢ticamente a la red en caso de que la compa?¨ªa no pagase el rescate. La posterior publicaci¨®n de los datos sugiere que la inmobiliaria no accedi¨® al chantaje.

En noviembre de 2020, la banda comenz¨® a anunciar una nueva l¨ªnea de servicios para terceros en los principales foros de cibercrimen. En el marco de su programa de afiliados, ofrecen las ¨²ltimas versiones de su software de secuestro inform¨¢tico a socios con los que luego comparten los beneficios obtenidos en el rescate. De acuerdo con la firma de ciberseguridad Ke-la, la parte del pastel reservada a los afiliados oscila entre un 15 y un 25% de la suma, es decir, en un hipot¨¦tico rescate de dos millones de d¨®lares Darkside se embolsar¨ªa un m¨ªnimo de 1,5 millones y sus socios, un m¨¢ximo de 500.000. La pr¨¢ctica tambi¨¦n forma parte de la cartera de servicios de REvil, que se compromete a pagar un 30% de cada rescate y sube la apuesta al 40% si el cliente consigue superar los tres rescates cobrados con ¨¦xito. ¡°Hay una presencia cada vez mayor de grupos muy profesionalizados. No hay que olvidar que la ciberdelincuencia mueve much¨ªsimo dinero¡±, puntualiza Lambert.

Este modelo de negocio permite a los cibercriminales centrarse en el desarrollo de sus programas maliciosos, mientras que los afiliados obtienen sus virus listos para lanzar la infecci¨®n. La desventaja ?para estas bandas es que su reputaci¨®n se ve da?ada si los clientes se saltan su c¨®digo ¨¦tico, como parece haber ocurrido en el caso de los oleoductos, y que sus v¨ªas de actividad est¨¢n m¨¢s expuestas a la potencial infiltraci¨®n de investigadores y fuerzas de seguridad.

Una organizaci¨®n compleja

El ascenso al olimpo del cibercrimen no ha sido un camino de rosas para DarkSide. A principios de 2021, la firma de ciberseguridad Bitdefender lanz¨® una herramienta gratuita para ayudar a las v¨ªctimas del colectivo a recuperar el acceso a los archivos cifrados en el secuestro, evitando as¨ª la necesidad de pagar rescate alguno. La banda se recuper¨® de este rev¨¦s en marzo, con el lanzamiento de DarkSide 2.0. Una versi¨®n mejorada a de su sus servicios que adem¨¢s incluyen un cifrado m¨¢s r¨¢pido de los archivos infectados y permite a los afiliados comunicarse con sus v¨ªctimas a trav¨¦s de una llamada de voz.

El llamativo enfoque corporativo con el que se conduce DarkSide, que ofrece canales de atenci¨®n al cliente, env¨ªa notas de prensa y hace donaciones a proyectos solidarios, no es exclusivo de la banda. ¡°Son organizaciones complejas con muchas capacidades. Invierten en investigaci¨®n y desarrollo, equipos de marketing... En la dark web hay cat¨¢logos enteros con el precio de cada base de datos¡±, comenta Rosell. De acuerdo con un an¨¢lisis de Karspersky las pr¨¢cticas de este colectivo son una muestra m¨¢s de c¨®mo se est¨¢ consolidando la industria del secuestro inform¨¢tico.

Ante el crecimiento de este sector, Lambert prescribe un mayor respeto por la seguridad en el entorno de las grandes infraestructuras. ¡°?Realmente ha sido tan f¨¢cil entrar en una infraestructura tan sensible?¡±, se pregunta. Adem¨¢s, el ¨¦xito de ataques como este le lleva a augurar un largo tiempo de vida a DarkSide. Y la amplia superficie de ataque que supone el funcionamiento cada vez m¨¢s digital de diferentes entidades tampoco invita a la esperanza. ¡°?T¨² sabes la de puntos d¨¦biles que hay para atacar en una infraestructura como un oleoducto? Son miles de proveedores, usuarios... La falta de conciencia de la sociedad es de tal calibre que nos pueden dar por todas partes. Y esto que ha pasado es el inicio¡±, advierte Rosell.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter.