Ransomware: Los ciberpiratas fuera del alcance de la ley
Extorsiones virtuales, o ransomware, perpetradas por mafias cibernéticas que operan mayormente en sitios fuera del alcance de las leyes occidentales: Un problema tal vez mayor que los hackeos e interferencias en elecciones
Las disputas políticas en Washington sobre el hackeo ruso de dependencias del gobierno y su interferencia en la política estadounidense desvían la atención de un flagelo digital con un impacto tal vez más grande: Las extorsiones virtuales que llevan a cabo mafias cibernéticas que operan mayormente en sitios fuera del alcance de las leyes occidentales.
Tan solo en Estados Unidos el año pasado fueron extorsionadas más de 100 dependencias federales, estatales y municipales, unos 500 centros de salud, 1.680 instituciones educativas y miles de negocios, según la firma de ciberseguridad Amsisoft. Las pérdidas fueron de decenas de miles de millones de dólares, aunque es difícil saber la cifra exacta ya que a menudo las víctimas se resisten a hacer denuncias por temor a que su imagen se vea manchada.
Los piratas cibernéticos son cada vez más descarados y petulantes. Esta semana, una banda amenazó con difundir la información sobre bandas e informantes que dice le robó a la policía de Washington. Otra dijo que ofrecería información de víctimas corporativas a los agentes de la bolsa que explotan información privilegiada. Los ciberpiratas extorsionan incluso a personas cuya información confidencial consiguieron a través de terceros.
“En general, los ciberpiratas son cada vez más osados y despiadados”, comentó Allan Lisaka, analista de la firma de ciberseguridad Recorded Future.
El gobierno estadounidense considera ahora las extorsiones cibernéticas, o “ransomware”, como una amenaza a la seguridad nacional y el Departamento de Justicia creó una fuerza encargada de combatirlas.
¿CÓMO EMPEZÓ EL RANSOMWARE? ¿CÓMO FUNCIONA?
Las bandas que dominan este negocio generalmente hablan ruso y operan desde Rusia o países aliados. Son producto de la evolución de una actividad que comenzó como robo de tarjetas de crédito y de identidad, que permite vaciar las cuentas bancarias de la gente. Las bandas son cada vez más hábiles y sofisticadas, y usan foros de la dark web para organizarse y reclutar gente, ocultando sus identidades y actividades a partir de herramientas como el buscador Tor y criptodivisas, que hacen que sea más difícil rastrear los pagos y el lavado de dinero.
Las bandas encriptan la información de una organización y dejan en las computadoras infectadas instrucciones acerca de cómo negociar el pago de un rescate. Cuando la víctima pagó, le entrega software para resolver el problema.
El año pasado las cibermafias incursionaron en el chantaje. Antes de inhabilitar una red, se apropian de información delicada y amenazan con difundirla a menos que paguen un rescate.
Quienes se niegan a pagar pueden tener que incurrir en costos mucho más altos que los de la extorsión. Eso le pasó recientemente a la Health Network de la Universidad de Vermont, que sufrió pérdidas diarias de aproximadamente 1,5 millones de dólares durante los dos meses que le tomó resolver el problema. Más de 5.000 computadoras de hospitales cuya información había sido codificada tuvieron que ser limpiadas.
La Universidad de California-San Francisco que participa activamente en las investigaciones del COVID-19, pagó 1,1 millones de dólares en junio del año pasado sin pensarlo demasiado. A Acer y Quanta, que suministran piezas a las laptops de Apple, les exigieron 50 millones de dólares este año.
¿CÓMO SE ORGANIZAN ESTAS BANDAS?
Algunas se presentan como firmas que ofrecen servicios de software. Tienen “servicios al consumidor” y “servicios de asistencia” que dan instrucciones para pagar. En general cumplen con su palabra. Después de todo, deben proteger su reputación.
“Si cumplen con lo prometido, las futuras víctimas serán más proclives a pagar”, comentó Maurits Lucas, de la firma de ciberseguridad Intel471, en un seminario este año. “La víctima está al tanto de su reputación”.
La actividad tiende a estar compartimentada. Una sucursal identifica, investiga e infecta un blanco, elige las víctimas y despliega un software que generalmente “alquila” a un proveedor de servicios de ransomware. El proveedor se lleva una parte del rescate. Otras partes también pueden llevarse una tajada, incluidos los diseñadores del “malware” usado para penetrar las redes y los dominios seguros que emplean las bandas para esconder los servidores que usan. Esos servidores manejan la inserción del malware y la extracción de información, un proceso que puede tomar semanas.
¿POR QUÉ LAS EXTORSIONES VAN EN AUMENTO? ¿QUÉ SE PUEDE HACER PARA DETENERLAS?
Un informe preparado por Microsoft Amazon, el FBI el servicio secreto estadounidense y organismos policiales de elite de Gran Bretaña y Canadá señaló que no se debe prohibir el pago de “rescates” porque “los ciberpiratas siguen encontrando sectores y elementos de la sociedad que no están preparados para este tipo de ataques” y no pueden combatirlos.
Pagar, indicó, puede ser la única forma de que la víctima del ransomware evite la bancarota.
La astucia de estas bandas ayudó a que el rescate promedio subiese más de 310.000 dólares el año pasado, un 17% respecto al 2019, de acuerdo con Palo Alto Networks, que participó en la preparación del informe.
Las aseguradoras subieron sus tarifas entre un 50% y un 100% el año pasado, en que el ransomware pasó a ser el principal causante de reclamos de compensaciones, según Michael Phillips, ejecutivo de Resilience Insurance y codirector del grupo que preparó el informe. Algunas aseguradoras están suspendiendo directamente este tipo de coberturas.
El informe propone que los diseñadores de ransomware y sus colaboradores sean identificados (algo que no es sencillo) y humillados, y que los gobiernos que les permiten funcionar sean castigados.