Negociación con Hackers

Este elemento es una expansión del contenido de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs]

Cómo negociar con los hackers de ransomware

Un empleado de una cervecería, una imprenta o una empresa de diseño web se presentaba a trabajar una mañana y se encontraba con todos los archivos informáticos bloqueados y una nota de rescate exigiendo el pago de una criptomoneda para liberarlos.

Algunas de las notas eran agresivas (“No nos tomes por tontos, sabemos más de ti que tú mismo”), otras despreocupadas (“Oops, tus archivos importantes están encriptados”) o falsamente apologéticas (“lo lamentamos pero todos tus archivos estaban encriptados”). Algunos mensajes presentaban su extorsión como una transacción comercial legítima, como si los hackers hubieran realizado una útil auditoría de seguridad: “¡Caballeros! Su negocio está en grave riesgo. Hay un agujero importante en el sistema de seguridad de su empresa”.

Web Oscura

Las notas solían incluir un enlace a un sitio de la Web oscura, la parte de Internet que requiere un software especial para acceder, donde la gente va a hacer cosas clandestinas. Cuando las víctimas entraban en el sitio, aparecía un reloj que marcaba el puñado de días que tenían para cumplir la petición de rescate. El reloj empezaba a descender ominosamente, como un temporizador conectado a una bomba en una película de acción. Un cuadro de chat permitía conversar con los hackers.

En 2021, una oleada de ataques de ransomware ha dificultado aún más el periodo de interrupción.Entre las Líneas En diciembre, el director en funciones de la Agencia Federal de Ciberseguridad y Seguridad de las Infraestructuras dijo que el ransomware se estaba “convirtiendo rápidamente en una emergencia nacional”.

Pormenores

Los hackers atacaron a los fabricantes de vacunas y a los laboratorios de investigación.

Pormenores

Los hospitales perdieron el acceso a los protocolos de quimioterapia; los distritos escolares cancelaron las clases.

Detalles

Las empresas que se esforzaban por dar cabida a una fuerza de trabajo totalmente remota se encontraron con una nueva vulnerabilidad a los hackers.Entre las Líneas En mayo, un ataque del grupo de ransomware DarkSide forzó el cierre de la red de Colonial Pipeline, que suministra combustible a gran parte de la Costa Este. El cierre, que hizo subir los precios de la gasolina y provocó una oleada de compras por pánico, puso de relieve el potencial del ransomware para inutilizar infraestructuras críticas. Una semana después del ataque, una vez que Colonial pagó un rescate de 4,4 millones de dólares para que sus sistemas volvieran a funcionar, el ochenta por ciento de las gasolineras de Washington D.C. seguían sin combustible.

Evitar Negociar

El FBI aconseja a las víctimas que eviten negociar con los hackers, argumentando que el pago de rescates incentiva el comportamiento delictivo. Esto pone a las víctimas en una posición complicada. Decirle a un hospital que no puede pagar parece increíble, sin embargo. ¿Qué esperas que hagan, que cierren y dejen morir a la gente?.

Las organizaciones que no pagan rescates pueden pasar meses reconstruyendo sus sistemas; si los datos de los clientes son robados y filtrados como parte de un ataque, pueden ser multados por los reguladores.Entre las Líneas En 2018, la ciudad de Atlanta se negó a pagar un rescate de aproximadamente cincuenta mil dólares.

Indicaciones

En cambio, en un esfuerzo por recuperarse del ataque, gastó más de dos millones de dólares en relaciones públicas de crisis, análisis forense digital y consultoría. Por cada caso de ransomware que aparece en las noticias, hay muchas más pequeñas y medianas empresas que prefieren mantener las brechas en secreto, y más de la mitad de ellas pagan a sus hackers, según datos de la firma de ciberseguridad Kaspersky.

“Desde hace un año, un experto informático, de cuarenta y cuatro años, gestiona las tensas discusiones entre empresas y hackers como negociador de ransomware, un papel que no existía hace sólo unos años. La media docena de especialistas en negociación de ransomware, y las compañías de seguros con las que se asocian regularmente, ayudan a la gente a navegar por el mundo de la ciberextorsión.Si, Pero: Pero también han sido acusados de ser cómplices del crimen al facilitar los pagos a los hackers. Aun así, con el aumento del ransomware, no les faltan clientes. un experto informático, de carácter apacible y sin pretensiones, y cuya conversación está salpicada de risas autocrítica, se ha convertido en un experto accidental. “”Mientras hablaba con usted, ya he recibido dos llamadas””, me dijo cuando hablamos por videochat en marzo.

El hombre que se puso en contacto con él en noviembre le explicó que el ataque, obra de un sindicato de piratas informáticos conocido como REvil, había dejado inaccesibles los contratos y los planos arquitectónicos de la empresa; cada día que los archivos permanecían bloqueados era otro día que el personal no podía trabajar. “”Ni siquiera contaban con un informático en plantilla””, afirma un experto informático. La empresa no tenía una póliza de ciberseguro. El hombre explicó que había estado en contacto con una empresa de Florida que había prometido desencriptar los archivos, pero que había dejado de responder a sus correos electrónicos. Quería que un experto informático negociara con los hackers para conseguir la clave de descifrado. “”La gente que se pone en contacto conmigo está molesta””, me dijo un experto informático. “”Están muy, muy disgustados””.

De niño, un experto informático visitaba a su padre en el molino donde trabajaba, en el centro de Illinois, y le veía levantar sacos de harina de cincuenta libras. Su madre, que trabajaba para el Estado, estaba sentada en una oficina con aire acondicionado y una taza de café. Él no entendía muy bien en qué consistía su trabajo, aparte de que parecía implicar mucho trabajo de mecanografía. “”Me dije, sea cual sea ese trabajo de mecanografía, eso es lo que quiero””, me dijo un experto informático.

Después de la universidad, a principios de los noventa, consiguió un trabajo de soporte técnico en un proveedor local de servicios de Internet. Al cabo de un año, le ascendieron a administrador de sistemas, un trabajo que implicaba vigilar los registros del servidor. Empezó a notar un patrón extraño, que finalmente comprendió que era una prueba de los hackers. Utilizaban nuestros routers como lo que ahora llamaríamos un punto de pivote, saltando desde ellos para atacar a alguien más, de modo que el ataque parecía venir de nosotros.

Detalles

Los atacantes solían ser aficionados que estaban más interesados en mostrar sus habilidades que en causar verdaderos estragos; a un experto informático le resultaba muy satisfactoria la energía del gato y el ratón de superarles.

Por aquel entonces, los hackers habían demostrado que podían infligir graves daños.Entre las Líneas En 1989, veinte mil investigadores de salud pública de todo el mundo recibieron un disquete que pretendía contener un programa informativo sobre el sida.Si, Pero: Pero el disco también incluía un programa malicioso que ahora se considera el primer caso de ransomware. Después de que los usuarios reiniciaran sus ordenadores noventa veces, aparecía un cuadro de texto en la pantalla, informándoles de que sus archivos estaban bloqueados. A continuación, las impresoras escupían una nota de rescate en la que se les pedía que enviaran ciento ochenta y nueve dólares a un apartado de correos en Panamá. El malware, que llegó a conocerse como el troyano del sida, fue creado por Joseph Popp, un biólogo evolutivo formado en Harvard. Popp, cuyo comportamiento se volvió cada vez más errático después de su detención, fue declarado no apto para ser juzgado; posteriormente fundó un santuario de mariposas en el norte del estado de Nueva York.

Popp

La estrategia de Popp -encriptar archivos con una clave privada y exigir una cuota para desbloquearlos- es utilizada con frecuencia por los grupos de ransomware en la actualidad.Si, Pero: Pero los hackers prefirieron inicialmente un enfoque conocido como scareware, en el que infectaban un ordenador con un virus que se manifestaba en forma de ventanas emergentes que se multiplicaban con mensajes ominosos: “”¡Advertencia de seguridad! Su privacidad y seguridad están en peligro””. Las ventanas emergentes indicaban a los usuarios que debían comprar un determinado software antivirus para proteger sus sistemas.

Pormenores

Los hackers que se hacían pasar por empresas de software podían entonces recibir pagos con tarjeta de crédito, que no estaban disponibles para los que desplegaban el ransomware. A principios de los dos mil, los hackers de ransomware solían exigir unos pocos cientos de dólares, en forma de tarjetas de regalo o tarjetas de débito prepagadas, y para hacerse con el dinero se necesitaban intermediarios, que desviaban gran parte de los beneficios.

El cálculo cambió con el lanzamiento de Bitcoin, en 2009. Ahora que la gente podía recibir pagos digitales sin revelar su identidad, el ransomware se volvió más lucrativo. Cuando un experto informático fundó GroupSense, en Arlington (Virginia), en 2014, la amenaza de ciberseguridad que todo el mundo tenía en mente eran las violaciones de datos, el robo de datos de los consumidores, como la información de las cuentas bancarias o los números de la Seguridad Social. un experto informático contrató a analistas que hablaban ruso, ucraniano y urdu. Haciéndose pasar por ciberdelincuentes, acechaban en los mercados de la web oscura para ver quién vendía información robada de las redes corporativas. Pero, a medida que las actualizaciones de los sistemas de seguridad hacían más difíciles las violaciones de datos, los ciberdelincuentes recurrían cada vez más al ransomware.Entre las Líneas En 2015, el F.B.I. estimó que en Estados Unidos se producían mil ataques de ransomware al día; al año siguiente, esa cifra se cuadruplicó. Ahora es el ransomware lo primero y lo único, y todo lo demás queda en un lejano segundo plano.

Los sindicatos criminales están detrás de la mayoría de los ataques de ransomware.Entre las Líneas En sus interacciones en línea, muestran una mezcla de postura adolescente y profesionalidad: les gustan las referencias a los videojuegos y la palabra “mal”, pero también emplean una estructura empresarial cada vez más sofisticada. Los grupos más grandes establecen centros de llamadas para ayudar a las víctimas a través del confuso proceso de obtención de criptodivisas, y prometen descuentos a quienes paguen a tiempo. Algunos grupos de ransomware trabajan con el modelo de afiliación, proporcionando a los hackers las herramientas para desplegar los ataques a cambio de una parte de los beneficios (algunos de ellos, como REvil, también se encarga de negociar los rescates en nombre de sus afiliados). Es demasiado fácil meterse en esto. Cualquiera podría hacerlo: sólo hay que contratarlo. Se ha producido una increíble mercantilización de todo el proceso.

Piratas Informáticos

Los piratas informáticos utilizan diversas técnicas para acceder a los ordenadores de una empresa, desde la incrustación de malware en un archivo adjunto de correo electrónico hasta el uso de contraseñas robadas para acceder a los escritorios remotos que los trabajadores utilizan para conectarse a las redes de la empresa. Muchos de los sindicatos tienen su sede en Rusia o en las antiguas repúblicas soviéticas; a veces, sus programas maliciosos incluyen un código que detiene el ataque a un ordenador si su idioma está configurado en ruso, bielorruso o ucraniano. Algunos de los sindicatos emplean a miembros actuales o antiguos del ejército, pero parece que les importa más el dinero que las maquinaciones geopolíticas. “”Somos apolíticos””, dijo un hombre que decía ser representante de REvil en una entrevista con un YouTuber ruso. “”No hay política en absoluto. No nos importa quién va a ser presidente. Trabajamos, trabajamos y trabajaremos””.

Al pagar un rescate, te preocupas de que sea capital de riesgo para este Silicon Valley de la web oscura en el otro lado del mundo. Los grupos de ransomware, al igual que sus homólogos de Silicon Valley, se mueven rápido y rompen cosas.Entre las Líneas En mayo de 2017, el ataque WannaCry infectó trescientos mil ordenadores a través de versiones antiguas y sin parches de Microsoft Windows.Entre las Líneas En el Reino Unido, las ambulancias tuvieron que ser desviadas de los hospitales afectados y una fábrica de Renault detuvo su producción.

Puntualización

Sin embargo, justo tres años después de ese ataque, el representante de REvil calificó este enfoque disperso como “”un experimento muy estúpido””. Los piratas informáticos de WannaCry habían exigido rescates de sólo trescientos a seiscientos dólares, obteniendo unos ciento cuarenta mil dólares.

x

Después de WannaCry, los grupos de ransomware se concentraron en sectores en los que una combinación de seguridad laxa y una baja tolerancia a las interrupciones hace que sea más probable y lucrativo cobrar: la agricultura industrial, la fabricación de nivel medio, los servicios de campos petrolíferos, los gobiernos municipales. Los grupos programaron las interrupciones para los períodos de mayor vulnerabilidad: las escuelas en agosto, justo antes de la vuelta de los estudiantes; las empresas de contabilidad durante la temporada de impuestos. Algunos grupos se especializan en la “”caza mayor””, lanzando ataques selectivos contra empresas de gran poder adquisitivo. El grupo que despliega la cepa de ransomware Hades se centra en empresas con ingresos superiores a los mil millones de dólares. Otro diseña malware personalizado para cada trabajo.Entre las Líneas En 2019, durante un seminario web organizado por Europol, la agencia policial europea, un experto en seguridad mencionó que la criptodivisa Monero era esencialmente imposible de rastrear; poco después, REvil comenzó a pedir pagos de rescate en Monero en lugar de Bitcoin.

Cuando las empresas parecen reticentes a negociar, los ejecutivos reciben llamadas telefónicas y mensajes de LinkedIn amenazantes. El año pasado, el Grupo Campari emitió un comunicado de prensa restando importancia a un reciente ataque de ransomware.Entre las Líneas En respuesta, los hackers lanzaron una campaña publicitaria en Facebook, utilizando el perfil de un DJ de Chicago, al que también habían hackeado, para avergonzar al conglomerado de bebidas. “”Esto es ridículo y parece una gran mentira””, escribieron. “”Podemos confirmar que se robaron datos confidenciales y estamos hablando de un gran volumen de datos””.Entre las Líneas En 2020, las impresoras de una cadena sudamericana de artículos para el hogar empezaron a escupir notas de rescate en lugar de recibos.

En 2021, los sindicatos han añadido la extorsión a su libro de jugadas. Se apropian de los archivos confidenciales antes de encriptar los sistemas; si no se satisface la petición de rescate, amenazan con divulgar los datos confidenciales a los medios de comunicación o subastarlos en el mercado negro. Los piratas informáticos han amenazado con publicar el alijo de porno de un ejecutivo y con compartir la información sobre las víctimas que no pagan con los vendedores a corto plazo. “”He visto organizaciones de trabajo social en las que los actores del ransomware amenazaban con exponer información sobre niños vulnerables””, dijo Phillips.

Inicios de un anti-hacker

Antes de que el ransomware se apoderara de la vida del experto informático que ponemos en este texto como ejemplo, se había instalado en una rutina. Iba andando al trabajo, donde solía ser el primero en llegar y el último en irse. De camino a casa, paraba en una cafetería para tomar una copa de vino y una ensalada. De vuelta a su apartamento, donde vivía solo, trabajaba en su escritorio hasta quedarse dormido.

A principios del año pasado, su empresa encontró pruebas de que un hacker había entrado en una gran empresa. El experto informático se puso en contacto para avisar, pero un servidor ya había sido comprometido. El hacker envió una nota de rescate a la empresa, amenazando con liberar sus archivos. La empresa preguntó a un experto informático si se encargaría de negociar el rescate. Al principio, un experto informático se mostró reticente – “”nunca se me ocurrió que tuviera esa capacidad””, dijo-, pero finalmente le convencieron.

Negociación con Rehenes

Para ganar tiempo, el experto informático sugirió que la empresa acusara recibo de la nota de rescate. Empezó a estudiar consejos de negociación, viendo tutoriales de MasterClass y leyendo libros de antiguos negociadores de rehenes. Aprendió que debía evitar hacer contraofertas en números redondos, que pueden parecer arbitrarios, y que no debía hacer concesiones sin dar una justificación. Durante las siguientes semanas, a medida que se desarrollaba la conversación con el hacker, un experto informático descubrió que tenía un don para la negociación. Hizo todo lo que pudo para convencer al hacker, que parecía no estar afiliado a ninguno de los principales sindicatos de ransomware. Cuando el hacker se quejó de cuánto tiempo y esfuerzo había invertido en entrar en la empresa, un experto informático le felicitó por sus habilidades: “”Le dije: ‘Eres un hacker con mucho talento y nos gustaría pagarte por ello.Si, Pero: Pero no podemos pagar lo que pides'””.

La negociación se convirtió en algo que lo consumía todo.Entre las Líneas En un viaje de acampada en moto con su novia, un experto informático se acurrucó junto a la hoguera con su portátil, utilizando un punto de acceso 3G para seguir hablando (se puede estudiar algunos de estos asuntos en la presente plataforma online de ciencias sociales y humanidades). Finalmente, el hacker aceptó un precio que la aseguradora de la empresa consideró aceptable. “”Creo que podría conseguirlo incluso más bajo si me diera un poco más de tiempo””, recuerda un experto informático.Si, Pero: Pero la compañía de ciberseguros dijo: ‘Esto es suficiente’.

Ganando Experiencia

El experto informático pronto encontró más trabajo. A veces se trataba de una empresa importante que se enfrentaba a una demanda de rescate multimillonaria, y la negociación duraba semanas. A veces se trataba de una pequeña empresa o una organización sin ánimo de lucro que aceptaba de forma gratuita y trataba de cerrar en un fin de semana.Si, Pero: Pero una empresa de seguridad informática rara vez ganaba dinero con las negociaciones. Algunos negociadores de ransomware cobran un porcentaje de la cantidad que se descuenta del rescate.Si, Pero: Pero esos enfoques realmente rentables son propicios para el fraude, o para las acusaciones de fraude.Entre las Líneas En lugar de eso, cobraba una tarifa por hora y esperaba que algunas de las organizaciones a las que ayudaba contrataran el producto principal de una empresa de seguridad informática, un software de supervisión de la seguridad.

En marzo de 2021, tras el cierre de la oficina de una empresa de seguridad informática, el experto informático se paseaba en círculos por su apartamento de 1.500 metros cuadrados. “Tenía que ir de excursión”, dijo. Remolcó dos motocicletas hasta una casa de alquiler en Grand Junction, Colorado. Mientras el mundo se desmoronaba, los casos de ransomware seguían llegando. el experto informático se encargaba él mismo de las negociaciones; no quería distraer a sus empleados, y descubrió que el trabajo requería cierta delicadeza emocional. “La mayoría de nuestros empleados son muy técnicos, y esto no es una habilidad técnica, es una habilidad blanda”, dijo. “Es difícil formar a la gente para ello”.

Encarrilar las Negociaciones

El intercambio inicial de mensajes fue crucial. Las personas que defendían sus intereses tendían a reprender a los piratas informáticos, pero eso sólo los irritaba. el experto informático pretendía transmitir una especie de condescendencia cálida: “Somos amigos, pero tú no sabes realmente lo que estás haciendo”, explicó. Su novia, que habla rumano, ruso, ucraniano y algo de lituano, le ayudó a encontrar coloquialismos que dieran el tono adecuado. Le gustaba llamar a los hackers kuznechik, “saltamontes” en ruso.

De vez en cuando, llamaban al experto informático para que intentara rescatar las negociaciones que se habían descarrilado. Si los hackers consideraban que una negociación avanzaba con demasiada lentitud, o percibían que se les estaba mintiendo, podían cortar la comunicación. Siguiendo el consejo de los negociadores de rehenes del FBI que ahora es consultor en materia de negociación, el experto informático intentó establecer una “empatía táctica” reflejando los patrones de lenguaje del hacker.

Sindicatos del Crimen

La mayoría de las veces, el experto informático se encontraba tratando con un representante de uno de los sindicatos. “La primera persona con la que hablas es como un apoyo de primer nivel”, dijo. “Te dirán algo así como ‘quiero trabajar contigo, pero tengo que obtener la aprobación de mi gerente para hacer ese tipo de descuento’. ”

La empresa de seguridad informática se asoció con otra empresa de análisis de cadenas de bloques, que permitió a el experto informático ver que se había creado una criptocartera concreta y rastrear sus transacciones. Determinar la media de pagos que entraban en una cartera le dio una idea de la tarifa vigente, de modo que pudo evitar pagar de más. Llegó a comprender que los sindicatos trabajaban con un guión. “A menudo, podemos ir al cliente y decirle cómo va a ir antes de que empiece”, dijo.

Juego de Espías

Los propios clientes podían ser más desafiantes. el experto informático dirigía todas las comunicaciones con ellos, a través de un portal seguro. Algunos querían editar cada mensaje para los hackers. “Para ellos es como un juego de espías”, dijo el experto informático. Otros estallaban de ira o frustración. “A veces estás negociando en dos direcciones a la vez: con el hacker y con la víctima”, dijo. “Tienes que tener un tipo de personalidad en la que puedas ser empático pero también dar indicaciones de una manera que no sea de confrontación”.

El experto informático ya ha visto cómo se intensifican las tácticas de presión y las peticiones de rescate.Entre las Líneas En 2018, el pago medio fue de unos siete mil dólares, según el especialista en recuperación de ransomware Coveware.Entre las Líneas En 2019, creció a cuarenta y un mil dólares. Ese año, un gran sindicato de ransomware anunció que se disolvía, después de haber recaudado dos mil millones de dólares en pagos de rescates en menos de dos años. “Somos la prueba viviente de que se puede hacer el mal y salir impune”, escribió el sindicato en un mensaje de despedida.Entre las Líneas En 2020, el pago medio de rescates superaba los doscientos mil dólares, y algunas compañías de ciberseguros empezaron a salir del mercado. Es posible que las aseguradoras entendieran realmente el riesgo que estaban asumiendo. “Las cifras en 2020 eran realmente malas, pero, al final de 2020, todo el mundo miró a su alrededor y dijo: 2021 va a ser aún peor.

El ransomware

El ransomware tiene menos “impacto cinético” que el secuestro de personas (véase más detalles). Pues nadie, por ejemplo, envía orejas cortadas por correo. Pero, para un economista, las diferencias son pequeñas. Están creando un tipo de instituciones muy similares a las que ha creado la comunidad de secuestradores y rescatadores.Si, Pero: Pero van unos ochenta años por detrás.

Cuando quedó claro que los casos de ransomware no disminuían, el experto informático formó a dos de sus empleados para que se encargaran de las negociaciones; uno de ellos era un antiguo detective de narcóticos de Carolina del Norte. Trabajar de forma encubierta había enseñado a éste a meterse en el personaje, lo que, según dijo a la prensa, “forma parte de ser un negociador eficaz”.

En noviembre de 2020, este antiguo detective fue el negociador designado para la empresa de ingeniería de la construcción. Cuando se conectó a la página web oscura, se dio cuenta de que el temporizador mostraba que ya habían transcurrido tres días de negociaciones.Entre las Líneas En el cuadro de chat había una conversación en curso. “Me sorprendió”, dijo. “Esto es toda una negociación -mal hecha, pero toda una negociación- que estoy viendo”.

Ingresos de las Empresas

Quien había estado conversando en nombre de la empresa de ingeniería se mostró confrontado y agresivo. Cuando los hackers exigieron doscientos mil dólares para desbloquear los archivos de la empresa, el negociador contraofertó inicialmente diez mil dólares, y luego subió rápidamente a catorce mil, y después a veinticinco mil. Lo que eso comunica al actor de la amenaza es: aquí hay más dinero.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

Pormenores

Los hackers se frustraron. “Has informado de unos ingresos anuales de cuatro millones de dólares”, escribieron. “No esperamos poco dinero de ti”. El último mensaje del chat había llegado de los hackers dos días antes: “¿Estás listo para cerrar con un coste de 65 mil?”

Los clientes insistieron en que nunca habían entrado en el sitio web oscuro, y mucho menos habían interactuado con el hacker.Si, Pero: Pero la literatura más especializada e incluso un artículo del sindicato del crimen en este ámbito ya advertía de la existencia de intermediarios fraudulentos que decían poder descifrar archivos; en cambio, los intermediarios negociaban en secreto con los hackers antes de ofrecer los archivos descifrados con un margen de beneficio.Entre las Líneas En su momento, al experto informático le hizo gracia que un sindicato de ciberdelincuentes advirtiera sobre los estafadores.Si, Pero: Pero ahora los clientes reconocieron que se habían puesto en contacto con MonsterCloud, una empresa de Florida que se anuncia como “los principales expertos del mundo en recuperación de ciberterrorismo y ransomware”. El sitio web de MonsterCloud animaba a las víctimas a utilizar sus servicios de eliminación de ransomware en lugar de pagar un rescate. Ese argumento probablemente atrajo a los responsables de la empresa de ingeniería, que eran “muy, muy patrióticos”, dijo el experto informático. “No me sorprendió en absoluto que prefirieran pagar a una empresa de software de Florida” en lugar de enviar un rescate a un sindicato criminal extranjero.

El experto informático no tardó en enterarse de que, poco después de que el hacker de REvil exigiera sesenta y cinco mil dólares, un representante de MonsterCloud dijo a la empresa de ingeniería que podía recuperar los archivos por ciento cuarenta y cinco mil dólares.

Las negociaciones secretas con hackers

Según una investigación de ProPublica, MonsterCloud tiene un largo historial de negociaciones secretas con hackers. ProPublica habló con varios antiguos clientes que creían que sus archivos habían sido descifrados sin que tuvieran que pagar un rescate, a pesar de que las cepas de ransomware en cuestión hacían muy improbable este resultado; la mayoría son imposibles de descifrar a menos que haya un error en el código. MonsterCloud es una de las pocas empresas de recuperación de datos con sede en Estados Unidos que parecen seguir un modelo de negocio similar. Al pretender descifrar los archivos con herramientas de alta tecnología, estas empresas permiten a sus clientes creer que el ransomware puede ser abordado sin enviar fondos a los sindicatos criminales, una estrategia que es particularmente atractiva para los clientes de MonsterCloud financiados con fondos públicos, como los municipios o los departamentos de policía. Los grupos que se dedican al ransomware reconocen que las empresas de recuperación de datos pueden ser socios lucrativos; una de ellas ofrece un código de promoción especialmente para dichas empresas. MonsterCloud no quiso hablar de sus métodos con ProPublica. “Trabajamos en la sombra”, dijo a la publicación Zohar Pinhasi, director general de la empresa. “Cómo lo hacemos, es nuestro problema. Usted recuperará sus datos. Siéntese, relájese y disfrute del viaje”.

Cuando el experto informático explicó la situación a su cliente, el hombre soltó una retahíla de improperios. Como la negociación ya había sido chapucera, había pocas posibilidades de que el experto informático consiguiera que los hackers aceptaran un precio más bajo. El cliente pidió al experto informático que se olvidara de los hackers a la mierda, pero el experto informático dice que “se negó respetuosamente”.Entre las Líneas En su lugar, la empresa intentó reconstruir los archivos a partir de las copias de seguridad y los correos electrónicos antiguos. El experto informático animó al cliente a investigar cómo se había producido la brecha, pero la empresa no parecía interesada. “Dijeron que su informático tenía teorías”, me dijo.

El experto informático denunció a MonsterCloud ante la Comisión Federal de Comercio, pero el incidente seguía royéndole. Si buscas en Google “sálvame del ransomware” o “respuesta al ransomware”, te aparecen estas empresas que básicamente se están aprovechando o tergiversando fraudulentamente”, dijo. “Me da náuseas”.

Multas por facilitar los pagos a los delincuentes

El mes de octubre de 2020, la Oficina de Control de Activos Extranjeros del Departamento del Tesoro emitió un aviso dirigido a los negociadores, las empresas de ciberseguros y los equipos de respuesta a incidentes, en el que advertía de que podían ser multados por facilitar los pagos a los delincuentes.

Lo hicieron mal, dijo un ex jefe de seguridad de la información de Twitter. “Tal vez se frustraron, pero lo veo como algo irresponsable. Seamos sinceros: si eres una empresa de dos mil millones de dólares y estás encriptado y no tienes buenas copias de seguridad, te acaban de quitar tu única opción. Así que acaban de destruir una empresa de dos mil millones de dólares”. (El aviso pareció tener efecto: el número de víctimas de ransomware que pagaron rescates disminuyó en el último trimestre de 2020).

En respuesta, varias empresas de ciberseguros y otras participaron en un grupo de trabajo sobre ransomware, que incluía a representantes de los principales proveedores de ciberseguridad y empresas de respuesta a incidentes, así como del F.B.I. y el Departamento de Seguridad Nacional, bajo el paraguas del Instituto de Seguridad y Tecnología. “No nos equivoquemos, nuestras recomendaciones no tratan de eliminar el ransomware como amenaza”, dijo el vicepresidente de la empresa de ciberseguridad, en un evento online; el objetivo es llevarlo a un nivel “que pueda ser gestionado de forma más efectiva”. Entre esas recomendaciones figuraba la de exigir que los pagos de rescates se comuniquen a las autoridades y la de crear un fondo para apoyar a las víctimas que se abstengan de pagar rescates.Entre las Líneas En abril, el Departamento de Justicia anunció que estaba formando su propio grupo de trabajo sobre ransomware para coordinar al sector privado, otras agencias federales y socios internacionales.

DarkSide

Mientras tanto, los sindicatos de ransomware han estado trabajando para apuntalar sus imágenes. DarkSide, el grupo responsable de hackear el sistema de Colonial Pipeline, había prometido que no atacaría a escuelas, hospitales, funerarias u organizaciones sin ánimo de lucro; su objetivo serían únicamente las grandes empresas.Entre las Líneas En octubre de 2020, DarkSide emitió un comunicado de prensa en el que anunciaba que acababa de donar diez mil dólares en criptodivisas a dos organizaciones benéficas. “No importa lo malo que creas que es nuestro trabajo, nos complace saber que hemos ayudado a cambiar la vida de alguien”, escribió el sindicato.

Pero el hecho de inutilizar infraestructuras críticas atrajo otro nivel de atención, así como la amenaza de una importante respuesta de las fuerzas del orden. DarkSide se disculpó por haber provocado la interrupción y, sonando como una empresa tecnológica escarmentada, prometió invertir más en la moderación, “para evitar consecuencias sociales en el futuro”. Unos días más tarde, el sindicato anunció que sus servidores habían sido cerrados y su monedero de Bitcoin vaciado, lo que podría ser un indicio de las acciones de las fuerzas del orden. Aparentemente asustado por la publicidad negativa, REvil anunció que no volvería a atacar objetivos en los sectores gubernamental, sanitario y educativo.

Se consideró que este tipo de quema de la marca era algo bueno. Si se tratara de un escenario totalmente improvisado, sería desesperante.Si, Pero: Pero la gente que hace esto quiere volver a hacerlo”.

Pormenores

Los hackers se preocupaban por su reputación, lo que era una señal de que el mercado era gobernable. Eso no significaba que el ransomware fuera a desaparecer; al menos, si el ejemplo del secuestro criminal era un indicio. Hay un cierto grado de secuestro que funciona para todos.

Datos verificados por: ST y Cox

Recursos

Véase También

Ciberseguridad, Seguridad Informática,

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.