Una condena entre mafias de la ¡®dark web¡¯ tumb¨® al grupo de ciberdelincuentes que atac¨® el Ayuntamiento de Sevilla y miles?de?entidades

La dark web, la red oscura oculta a los motores de b¨²squeda, que encubre las IP (identidad de los dispositivos con los que se trabaja) y accesible solo mediante navegadores espec¨ªficos, no es un mundo sin reglas, pese a ser la plataforma de las actividades delictivas inform¨¢ticas, pederastia, trata de personas o venta ilegal de armas y drogas. Como todas las mafias, cuentan con sus normas y la vulneraci¨®n de ellas conlleva sus castigos. El quebranto de una de estas leyes, la del reparto del dinero obtenido mediante extorsiones, ha sido lo que ha dado al traste con LockBit, la mayor organizaci¨®n de secuestro y chantaje. Entre los muchos delitos atribuidos desde su detecci¨®n en 2019, tumb¨® la web del Ayuntamiento de Sevilla, el Puerto de Lisboa, la oficina presupuestaria de California, un hospital infantil de Toronto y miles de empresas. La operaci¨®n policial internacional contra esta trama, que se ha saldado con dos detenidos en Europa del Este, fue posible despu¨¦s de su condena en la sociedad del crimen. El grupo delictivo intenta ahora resurgir.

La Agencia Nacional contra el Crimen (NCA, por sus siglas en ingl¨¦s) de Reino Unido anunci¨® el pasado 20 de febrero haber ¡°tomado el control de los servicios de LockBit¡± tras infiltrarse en la red mafiosa en una operaci¨®n denominada Cronos. En coordinaci¨®n con la Europol, dos personas fueron arrestadas en Polonia y Ucrania y se confiscaron 200 cuentas de criptomonedas. Otros cuatro presuntos actores maliciosos fueron acusados judicialmente en Estados Unidos.

¡°Esta investigaci¨®n contra el grupo de delitos cibern¨¦ticos m¨¢s da?ino del mundo demuestra que ninguna operaci¨®n delictiva, dondequiera que se encuentre, y por muy avanzada que sea, est¨¢ fuera del alcance de la agencia y de nuestros socios. Hemos hackeado a los hackers [piratas inform¨¢ticos]; tomado el control de su infraestructura, obtenido su c¨®digo fuente y descifrado las claves que ayudar¨¢n a las v¨ªctimas a descifrar sus sistemas. A partir de hoy [20 de febrero], LockBit est¨¢ bloqueado¡±, afirma el director de la NCA, Graeme Biggar.

El director de la agencia federal de investigaci¨®n (FBI) de Estados Unidos comparte la euforia: ¡°El FBI y nuestros socios han interrumpido con ¨¦xito el ecosistema criminal de LockBit, que representa una de las variantes de ransomware [extorsi¨®n por el secuestro de sistemas inform¨¢ticos] m¨¢s prol¨ªficas en todo el mundo¡±.

Pero esta operaci¨®n policial internacional fue el final de un proceso que ya hab¨ªa comenzado en la dark web y que fue el detonante inicial de la desarticulaci¨®n del equipo criminal. Seg¨²n describe Sergey Shaykevich, director del Grupo de Amenazas de Check Point durante un encuentro de la multinacional en Viena (CPX), el origen de la ca¨ªda fue una disputa por los beneficios de una extorsi¨®n que se dirimi¨® en un juicio entre delincuentes y una apelaci¨®n infructuosa que dio lugar a una condena de desaparici¨®n. ¡°LockBit fue bloqueado en los foros [de la dark web] y, luego, se derrib¨®. Es un golpe doble¡±, resume.

LockBit, y otras organizaciones similares, utilizan ransomware como servicio (RaaS). Seg¨²n la empresa de seguridad Kaspersky, son programas a los que se accede a trav¨¦s de la dark web, como las aplicaciones habituales de entornos de trabajo en la web convencional o limpia. ¡°Las partes interesadas dejan un dep¨®sito para usar los programas que se contratan. Los pagos del rescate se dividen entre el equipo de desarrolladores de LockBit y los atacantes, que reciben hasta tres cuartas partes de la extorsi¨®n una semana despu¨¦s si se han alcanzado los objetivos¡±

Shaykevich relata que la disputa que dio lugar al juicio contra LockBit ascend¨ªa a 20 millones de euros. ¡°La reputaci¨®n en ransomware es lo m¨¢s importante¡±, comenta el jefe de amenazas de Check Point para explicar c¨®mo un desacuerdo entre delincuentes motiv¨® la ca¨ªda de un gigante del cibercrimen.

Una de las ¨²ltimas v¨ªctimas del grupo fue el Ayuntamiento de Sevilla, al que LockBit reclam¨® m¨¢s de un mill¨®n y medio de euros por la recuperaci¨®n de los sistemas inform¨¢ticos municipales el pasado septiembre. El concejal de Transformaci¨®n Digital, Juan Bueno, dijo tras el secuestro que los atacantes eran ¡°de origen holand¨¦s¡±.

El suceso y la primera atribuci¨®n del concejal, de la que se hicieron eco muchos medios, evidenciaron que el Ayuntamiento carec¨ªa de la protecci¨®n necesaria y que el responsable de Transformaci¨®n Digital desconoc¨ªa LockBit, ¡°la organizaci¨®n de ransomware m¨¢s prol¨ªfica del mundo¡±, seg¨²n el ministro del Interior brit¨¢nico, James Cleverly.

¡°?De Holanda? No, no, no. La mayor¨ªa tiene sede en Rusia. Los dos arrestados en Polonia y Ucrania no son los miembros claves, que est¨¢n en Rusia¡±, afirma Shaykevich.

Ese falso origen holand¨¦s se refer¨ªa a la localizaci¨®n del ¨²ltimo servidor desde el que parti¨® el correo electr¨®nico con el enlace malicioso que dio lugar al secuestro. Estos sistemas de computaci¨®n para el tr¨¢fico de datos, en la dark web, se utilizan para la encriptaci¨®n sucesiva que evita el rastreo. Seg¨²n la NCA, la operaci¨®n Cronos ha supuesto el desmantelamiento de 28 servidores de LockBit.

Posible resurgimiento

Sin embargo, el juicio en la internet oscura y la posterior operaci¨®n policial internacional no implica el fin de toda la infraestructura de LockBit, que aspira a continuar en el mercado de ataques de secuestro y extorsi¨®n porque suponen, seg¨²n calcula Shaykevich, m¨¢s de 200 millones de euros de ingresos cada a?o.

Un presunto responsable del grupo ha afirmado en un comunicado que la intervenci¨®n policial ha sido posible por una ¡°vulnerabilidad en el lenguaje de programaci¨®n PHP¡±. Esta denominaci¨®n se refiere al sistema de c¨®digo abierto Hypertext Preprocessor, habitual en el desarrollo de p¨¢ginas web. ¡°Todos los dem¨¢s servidores con blogs de respaldo que no ten¨ªan PHP instalado no se han visto afectados y continuar¨¢n entregando datos robados de las empresas atacadas¡±, asegura en ingl¨¦s y ruso el supuesto hacker.

Las empresas de seguridad han detectado ya estos intentos de recomposici¨®n, pero cuestionan la viabilidad de continuar con el mismo nombre tras la crisis de reputaci¨®n criminal generada por la disputa en la dark web y tras haber mostrado una vulnerabilidad aprovechada por la polic¨ªa internacional. ¡°Mientras las personas no sean arrestadas, lo m¨¢s probable es que cambien y construyan una nueva organizaci¨®n con un nuevo nombre. Pero el paso que se ha dado es importante y demuestra que las fuerzas del orden operan y que puedes ser castigado¡±, explica Shaykevich.

Christopher Asher Wray, director del FBI, coincide: ¡°Esta operaci¨®n [Cronos] demuestra tanto nuestra capacidad como nuestro compromiso para defender la ciberseguridad frente a cualquier actor malicioso que busque afectar nuestra forma de vida. Continuaremos trabajando con nuestros aliados nacionales e internacionales para identificar, interrumpir y disuadir las amenazas cibern¨¦ticas, y para responsabilizar a los perpetradores¡±.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.