Antonio Fernández, jefe de operaciones de Correcta Safely Growing Digital
Antonio Fernández recupera tus datos 'online' secuestrados: rebaja la extorsión hasta 27.000€
Varios expertos en ciberseguridad explican abiertamente sus tratos con los 'hackers'. Está en riesgo información sensible para los países.
1 mayo, 2023 02:22Quien no se haya descargado alguna vez en su vida una película de forma ilegal o haya visitado una web pirata que tire la primera piedra. A algunos de esos salteadores de caminos digitales les sonará la siguiente estafa, que surgió hace ya una década, en la prehistoria del streaming. De repente, en la pantalla del ordenador aparecía un mensaje con un membrete de la Guardia Civil o la Policía que informaba al usuario de que su equipo había sido bloqueado debido a las visitas a páginas porno u otros sitios prohibidos. La única solución era abonar una multa de unos 100 euros, para lo que se habilitaba un método para el pago. Evidentemente, era una estafa, pero muchos picaban.
El llamado “timo de la Policía” fue uno de los primeros casos de 'ransomware' masivo en España. Estos ataques consisten en infiltrarse en un sistema ajeno, secuestrar la información de forma que el usuario no pueda acceder a ella y pedir un rescate para recuperarla. En muchas ocasiones, viene acompañado de otras acciones para que los equipos queden bloqueados y no funcionen correctamente.
Relativamente fácil de solucionar, el “timo de la Policía” era un juego de niños con los ataques de 'ransomware' actuales. El cifrado de los datos ha alcanzado un nivel casi imposible de desencriptar si no es a través de las claves que los propios cibercriminales ofrecen previo pago. Ofrecen a las víctimas las contraseñas para recuperar los datos, pero si estas no ceden a la extorsión subastan la información al mejor postor en la dark web. El número de estos ataques se ha multiplicado en los últimos años, como lo demuestra uno de los ejemplos recientes más graves: el robo al hospital Clínic de Barcelona.
[El ciberataque al Hospital Clínic podría comprometer la confidencialidad de los pacientes]
Imagen del "timo de la Policía"
En este caso, los ciberdelincuentes pidieron un rescate de 4,5 millones de dólares y amenazaron con ir publicando información si la entidad no pagaba. Los hackers ya han ido filtrando detalles de pacientes y la actividad del hospital se ha visto comprometida. La responsable del 'hackeo' es una entidad llamada RansomHouse, muy conocida en foros especializados, que actúa como una empresa de reputados expertos en ciberseguridad. Sólo que al servicio del mal.
Los hay que dicen entregarse al bien, ofreciendo sus conocimientos a la prevención; y otros que se mueven en un terreno gris. Lo primero que recomiendan las autoridades en estos casos es denunciar y no pagar ningún secuestro, ya que esto implicaría colaboración con los delincuentes. Pero rara vez se solucionan así las cosas. Y para ello hay empresas que se dedican a negociar con los cibercriminales.
En realidad, consultando una gran cantidad de fuentes del sector, lo hacen muchas, pero pocas o casi ninguna lo reconoce. En Correcta Safely Growing Digital, no tienen problema en mostrarse públicamente desde sus oficinas en el centro de Madrid.
Antonio Fernández, Correcta
La negociación
Antonio Fernández es su director de operaciones. Como buen 'hacker' -de los que va contra los malos- viste camiseta negra y vaqueros, la camisa es solo para los ejecutivos. “Para nosotros, lo primero también es no pagar. Sólo entramos en una negociación si no hay más alternativa y si los propios delincuentes se prestan a ello, porque no todos están dispuestos a interactuar. Algunos piden que les pagues y ya está. Cuando aceptan hablar, la mayoría se comportan como empresas, con sus departamentos de comunicación. Abren un canal en Telegram y ahí empieza la negociación”, relata.
El objetivo prioritario es recuperar la información y, sobre todo, frenar las filtraciones, ya que la difusión de datos sensibles podría exponer a empresas u organismos públicos a una catarata de denuncias. Después, viene el aspecto económico, con la intención de reducir en lo que se pueda la cantidad que han pedido los secuestradores. En este momento importa el conocimiento técnico, pero también la psicología.
“Nuestra intención es que la negociación siga abierta y que se prolongue lo más posible”, reconoce Fernández. Por su experiencia, cuanto más se dilate, más posibilidades hay de que los 'hackers' terminen haciendo concesiones. “Lo primero que hacemos es pedirles garantías de que nos van a devolver la información, con el envío de algún archivo desencriptado. Sería como una prueba de vida en un secuestro. Pero hay que tener siempre en cuenta que te pueden estafar y que no hay ninguna certeza de que todo vaya a funcionar perfectamente. Pactamos un pago con los cibercriminales, pero la seguridad total no existe”. Tratan -recordamos- con ladrones.
La mayoría se comportan como empresas, con sus departamentos de comunicación. Abren un canal en Telegram y ahí empieza la negociación
Lo normal, en cualquier caso, es que se llegue a un acuerdo, como desean ambas partes. Entonces, la empresa o la entidad que ha sufrido el ataque hace un traspaso de dinero a bitcoins -”siempre se trabaja con criptomonedas”- y la firma de Antonio Fernández se ocupa de efectuar el pago a través la dark web. Desde Correcta aseguran que el mayor descuento que han obtenido fue de los 35.000 euros iniciales que pedían unos ciberdelincuentes a los 8.000 en los que se cerró el trato.
La compañía especializada en ciberseguridad cobra sus honorarios, pasa la factura en concepto de asesoría y se encarga de verificar que el sistema ha quedado restablecido. “Hacemos un limpiado de los servidores e instauramos nuestros mecanismos de seguridad, porque nos han venido empresas, a las que no habíamos atendido previamente, denunciando que habían sido atacadas un mes después de sufrir un primer ataque”, afirma Fernández.
[Los hackers se ceban con la administración pública española: un 455% más de ataques en 2022]
Vacío legal
Su empresa presume de colaborar con las Fuerzas de Seguridad, de monitorear lo que se mueve en las redes y comunicárselo a los agentes o incluso de hacer “pequeñas asesorías externas” para Policía o Guardia Civil. Pero su actividad, cuando entran en contacto directo con los malos, transita por un terreno oscuro. Ellos apelan al artículo 20 del Código Penal, que establece que queda exento de responsabilidad penal "el que obre en defensa de la persona o derechos propios o ajenos" cuando se trate de una “agresión ilegítima”. El robo de datos y su venta por Internet muy probablemente lo sea, pero esto está sujeto a interpretaciones.
Fuentes policiales consultadas por EL ESPAÑOL se ciñen al protocolo de “denunciar y no pagar ningún rescate”. “Pero, claro, es muy difícil que nos enteremos si existen negociaciones de este tipo por canales ocultos. Y si alguien las favorece podría ser perseguible y denunciable, sí, pero también hay que tener en cuenta que ellos son víctimas. Por tanto, habría que valorar cada caso”, reconocen estas fuentes.
Información sobre el robo del Clínic en la dark web
Según los últimos datos del Ministerio del Interior, el año pasado se contabilizaron en España 375.506 cibercrímenes, lo que supone un incremento del 72% con respecto a 2019. Uno de cada cinco delitos cometidos en nuestro país procede de Internet. El 90% de estos son fraudes o estafas informáticas, la mayoría de pequeña magnitud. Aunque todos los organismos que estudian estas prácticas alertan del crecimiento de los ataques de 'ransomware'. Por ejemplo, la empresa de asesoría Datos 101 estima que el año pasado se incrementaron un 50% en comparación con el ejercicio anterior.
Consultada por este periódico, la Agencia de Ciberseguridad de Cataluña, responde por email que “actualmente se gestiona un incidente de ciberseguridad importante cada 3 horas (unos 3000 al año). Pero de forma automática llegamos a detectar y responder a más de 2.700 millones anualmente”.
“Probablemente las bandas cibercriminales de 'ransomware', por las dificultades de perpetrar ataques y cobrar rescates, optan por atacar sectores esenciales. Persiguen provocar una interrupción grave del servicio (por ejemplo, en hospitales grandes con muchos usuarios y operaciones diarias) porque, de esta manera, creen que podrán cobrar rescates de forma más fácil”, añaden desde la Agencia de Ciberseguridad catalana.
El caso del Clínic no es el único que ha saltado a los medios en las últimas semanas. La Policía Nacional detuvo hace unos días a un chaval de 19 años conocido como Alcasec, que había accedido a las bases de datos de entidades públicas como el Consejo General del Poder Judicial, con el objetivo de vender la información en la puerta trasera de Internet. Alcasec era un mito para miles de jóvenes españoles gracias a sus intervenciones en Youtube.
El 'hacker' Alcasec
Pagas y te dan consejos
Adrián Ramírez, del equipo de respuesta a incidentes de la empresa de seguridad informática Dolbuck, con sede en Sevilla, asegura que “cuando se pide un rescate de forma pública y se trata de un caso mediático, lo razonable es no pagar, porque está a la luz de todo el mundo y porque lo más probable es que vayan a pedir más”. En su caso, dice que sí que han tenido que negociar en “seis o siete ocasiones”, representando a empresas que habían sido atacadas.
Correos intercambiados entre Adrián Ramírez y un ciberdelincuente
Desde Dolbuck insisten en que su recomendación es no pagar rescates, pero reconocen que "hay situaciones límite en la que las empresas se ven en la tesitura de pagar o cerrar." “Para los malos, esto es un negocio. Quieren que les pagues, entienden que esto es lo normal y que te hacen un favor. En algunos casos hasta te dan consejos de ciberseguridad para que no vuelva a suceder”, sostiene.
Quieren que les pagues, entienden que esto es lo normal y que te hacen un favor. En algunos casos hasta te dan consejos de ciberseguridad para que no vuelva a suceder
El procedimiento es básicamente el mismo que detallan desde Correcta. “Tiene sentido que seamos nosotros, expertos informáticos, quienes nos pongamos al frente de las negociaciones, porque entendemos los códigos de los 'hackers' y tenemos una posición más fría con respecto a los atacados”, subraya Ramírez.
“Los delincuentes se aprovechan de la situación desesperada de los empresarios, que en muchos casos son dueños de pequeños negocios, y a veces las empresas legales de ciberseguridad que prometen recuperar los datos también incurren en estafas también”, agrega. Recuerda el caso de una compañía a la que le 'hackearon' el sistema, pagó 180.000 euros a otra empresa que decía recuperar los datos cifrados por un ataque de ransomware y no consiguió obtener de vuelta ni un solo mega de información.
Hacker
Todas las fuentes consultadas coinciden en que en España es bastante habitual pagar rescates. Otra cosa es que los afectados lo reconozcan. En otros países existen cálculos de lo que cuestan este tipo de operaciones. La compañía británica Cyber Management Alliance, reputada entre los expertos, calcula que en 2020 se pagaron 590 millones de dólares en rescates. La cantidad media fue de unos 170.000 dólares y el 80% de las víctimas no lograron recuperar sus datos.
El gran negociador
En Estados Unidos la empresa especializada en riesgos digitales Group Sense reconoce desde hace algunos años entre sus capacidades la negociación con ciberdelincuentes. Algunos medios de ese país hablan incluso de un nuevo perfil profesional. El director ejecutivo de la empresa, Kurtis Minder, mantiene que lo que ellos hacen es “espiar a los hackers”. “Sabemos mucho de los criminales de 'ransomware' porque estamos infiltrados en ellos”, confiesa.
Si existe esa nueva profesión de negociador digital, Minder es probablemente la gran figura mediática mundial. Es un habitual de las charlas Ted y ha sido entrevistado por The New Yorker o el Financial Times. Atiende a EL ESPAÑOL por teléfono desde Sofía (Bulgaria), donde se encuentra de viaje de negocios. Según su experiencia, las negociaciones dependen mucho “del tamaño de la empresa afectada y de tu habilidad como negociador”.
![Kurtis Minder](["https:\/\/s1.elespanol.com\/2023\/04\/14\/actualidad\/756185187_232429636_1706x2562.jpg"])
Kurtis Minder
“La mayoría de cibercriminales utilizan un estándar. Normalmente piden entre un 1 y un 5% de la facturación total de la compañía a la que han atacado”, explica. En algunos casos no se podrá rebajar, pero él, como gurú de los negociadores, sostiene que su compañía puede “llegar a acuerdos por unas cantidades que van del 40% al 80% del precio original”.
“Los malos son muy buenos también destruyendo copias de seguridad. Y cuando ellos entran en el sistema, suelen capar todos los archivos, no funciona nada. No funcionan los teléfonos ni puedes mandar emails. Si la situación se prolonga, los clientes compran en otros sitios y los empleados dejan de cobrar las nóminas. Y encima no puedes ir a la oficina a reclamar porque sigue sin funcionar nada. Así que, en la mayoría de los casos no hay alternativa: o negocias y sigues trabajando o cierras”. Suena a claim publicitario: ya sabe, contrate a Kurtis Minder.
En la mayoría de los casos no hay alternativa: o negocias y sigues trabajando o cierras
Según sus cifras, cerca del 80% de estos ataques proceden de Rusia o de países del Este de Europa. Algo, en lo que coincide Antonio Fernández, de Correcta Safely Growing Digital. “En muchísimos casos estamos hablando de que existen intereses corporativos y políticos detrás. De ahí que se ataquen plantas potabilizadoras, satélites, sistemas ferroviarios, medios de comunicación… Hay empresas y Gobiernos implicados”.
Suena -y es- muy apocalíptico, así que terminemos con un briconsejo que no se esperan. Con un sistema mínimamente complejo de contraseñas, cambiándolas periódicamente y realizando copias de seguridad constantes en formato físico y en la nube se pueden evitar muchos de los ataques que se producen. O, al menos, minimizar daños. Lo dicen todas las fuentes consultadas para este reportaje. El consejo del amigo informático que todo el mundo quiere tener, pero al más alto nivel.
