Las noticias que abordan el tema superan las decenas de miles en una búsqueda rápida en Google, sin embargo, lo que llama la atención son los nombres de las organizaciones afectadas: encontramos desde agencias de seguridad nacional como el FBI, hasta empresas pequeñas en todo el mundo, pasando por bancos, hospitales, hoteles de lujo, entre otros. En resumen, ningún sector es inmune a la ciberextorsión, la cual con el paso del tiempo ha evolucionado de tal forma que los ciberatacantes inventan nuevas formas para obtener un beneficio económico en el menor tiempo posible.

 

Una de las caras más conocidas de la ciberextorsión es el ransomware, el cual remonta su inicio a 1989, cuando un biólogo creó y distribuyó un artefacto malicioso a través de unidades de disco a miles de personas que asistieron a una conferencia sobre el virus del SIDA, y en estas máquinas, al infectarse, aparecía una pantalla que indicaba la cantidad que tenían que pagar a un apartado postal en Panamá a cambio de volver a tener acceso a sus equipos.

 

El ransomware se reinventa continuamente para evadir los mecanismos de protección de las herramientas de seguridad, además de que pasó de ser distribuido masivamente, a volverse en algunos casos un componente de una amenaza avanzada.

 

En el segundo caso, los atacantes se preparan buscando información de la organización víctima en fuentes abiertas, para saber cuáles son los equipos más importantes y quienes son los altos ejecutivos, qué herramientas son usadas para respaldos, qué tipo de bases de datos emplean, etcétera. Además, diagnostican que tan preparada se encuentra la institución para responder a un secuestro masivo de dispositivos. Con esta preparación pretenden asegurar el éxito de la operación, ya que el siguiente paso es introducir el artefacto malicioso, el cual comúnmente es enviado a través de un correo electrónico muy bien diseñado, para conseguir una alta probabilidad de que sea abierto. Una vez comprometidos los equipos, los atacantes tienden a moverse a los respaldos para infectarlos y asegurar que sean inservibles, con lo que aumentan la probabilidad de que la víctima pague el rescate.

 

En los últimos años se ha popularizado la ciberextorsión asociada a los ataques de DDoS (denegación de servicio distribuida): los atacantes envían un correo electrónico, usualmente al contacto que está registrado en el nombre del dominio, diciendo que si la organización no paga cierto número de bitcoins, recibirá un ataque de muy alta intensidad que lo dejará fuera durante días. Incluso se llegan a ver, dependiendo del grupo detrás de la amenaza, ataques de prueba de entre 6 Gbps y 10 Gbps para demostrar que están hablando seriamente.

 

También se han identificado casos en los que los atacantes penetran las organizaciones y extraen información crítica de los clientes, para posteriormente amenazar con liberarla en caso de que no se pague la cantidad demandada, y llegan incluso a hacer pública la amenaza con la finalidad de que los mismos usuarios y clientes presionen a la organización para que pague y no se exponga la información de aquellos.

 

Un caso emblemático fue el de Nokia, que en 2014 pagó varios millones de dólares a cambio de que los atacantes no revelaran el código fuente de su teléfono inteligente. Lo que le pasó a Nokia le podría pasar a cualquier organización ya que es prácticamente un hecho que todas las empresas guardan información que, de ser pública, podría poner en riesgo la supervivencia de la compañía (propiedad intelectual, contratos de interés público, planes estratégicos, estados financieros, campañas para el lanzamiento y comercialización de nuevos productos, entre otros).

 

Otra variante de ciberextorsión consiste en que los atacantes toman control de equipos críticos y cambian las credenciales para evitar que sean usados por sus administradores legítimos, situación que se agrava cuando los equipos se encuentran en la nube: ha habido casos como el de la compañía Code Spaces, hospedada en Amazon, que al ser atacada trató de recuperar el acceso y los atacantes simplemente eliminaros los equipos virtuales y sus respaldos.

 

Es importante mencionar que las víctimas no siempre son corporaciones, hay muchos casos de personas que sufren de este tipo de ataques. Un ejemplo en México es el de sitios que han ofrecido suscripciones para tener acceso a fotografías íntimas extraídas de teléfonos comprometidos, y al mismo tiempo le piden a la víctima pagar cierta cantidad para no mostrar las fotos en dicho sitio. 

 

SCILabs (Scitum Cyber Intelligence Laboratories) ha detectado campañas dirigidas a México, en las que malware embebido en macros compromete a los usuarios para posteriormente extraer información financiera, capturar imágenes de la pantalla, tomar fotografías a través de la Webcam y grabar las conversaciones que se realizan frente a la computadora. Aunque no existe evidencia de que las conversaciones obtenidas se hayan usado para extorsionar a las víctimas, no se descarta que sea un patrón que empiece a aparecer en nuestro país en el mediano plazo.

 

Como se expone, las formas de ciberextorsión son muy variadas, y con la adición de nuevos dispositivos a Internet de manera insegura los riesgos aumentarán, por lo que no dudemos que pronto aparecerán casos de ransomware dirigidos a autos, equipos industriales, servidores que controlen procesos críticos, por mencionar algunos. Tampoco se puede descartar que los atacantes sean más disruptivos con la finalidad de garantizar el pago de sus demandas, por ello se puede esperar que cuando secuestren equipos de alto valor para las organizaciones fijen un tiempo límite para pagar, y en caso de no recibir el pago empiecen a causar un daño irreparable, de esta forma las víctimas no tendrán tiempo de reaccionar y probablemente terminen cediendo a las demandas de los ciberactores.

 

Si bien es cierto que la recomendación en estos casos es no pagar jamás a los atacantes, con la finalidad de desalentar que sigan cometiendo estos crímenes, la presión por la que pasan los altos ejecutivos es tal que a veces terminan por cumplir las demandas de los ciberactores.

 

Vale la pena recordar que el cibercrimen es una industria millonaria. De acuerdo con un estudio de Europol,  las ganancias son mayores a las del tráfico de mariguana, cocaína y heroína en su conjunto. Al ser una industria en forma, busca optimizar sus esfuerzos para obtener la mayor cantidad de ganancias con la menor inversión posible de recursos humanos y técnicos, por ello siempre serán víctimas más fáciles las organizaciones que no cuenten con una estrategia de seguridad de defensa en profundidad.

 

[email protected]