top of page

¿Cómo funciona un ciberataque? Desde un pequeño descuido al pago del rescate

Las mafias ejecutan sus chantajes con criterios de gestión propios de multinacionales. Los 'malos' utilizan el modelo de pago de servicios por uso, con subcontratas


Los ciberataques son la mayor extorsión del siglo. Solo en el último año se han triplicado las cifras de asaltos a las empresas de todo el mundo con el objetivo de obtener unos rescates económicos cuyo volumen resulta muy complicado de precisar. Según las fuentes consultadas, este negocio moviliza unas magnitudes muy superiores a los de cualquier otra industria criminal, por encima del billón de euros al año. Un informe de McAfee asegura que los delitos informáticos ocasionaron en 2019 más de 800.000 millones de euros en pérdidas, por encima del 1% del PIB global, cifra que la pandemia ha triplicado con creces en el último año y medio.


En lo más alto del ranking de organizaciones delictivas se encuentran auténticas multinacionales, con ramificaciones planetarias y con estructuras propias de cualquier gran corporación. La cúpula y los escalones superiores de estas fábricas de malware están perfectamente ocultos, al igual que los mandos intermedios, de forma que solo pueden estar expuestas las esferas más cercanas a la operativa. Además, miles de los empleados de estas compañías no saben a ciencia cierta para quién trabajan, sin contar con las miles de firmas proveedoras de servicios y tecnologías que también intervienen decisivamente en los procesos.


Los malos también investigan


Los departamentos de captación de informáticos no descansan, con retribuciones tres veces superiores a las habituales del mercado convencional, según explica Agustín Muñoz-Grandes, CEO de S21SEC. Al área de recursos humanos se unen los departamentos de operaciones multinacionales, con más de 15 millones de sistemas afectados en todo el mundo. Al mismo tiempo, estos colosos del crimen invierten muchos millones en sus respectivas áreas de investigación y desarrollo, donde prueban los malware, mejoran la calidad de sus productos y escrutan las fortalezas de sus programas frente a los antivirus del mercado, incluidas las más recientes novedades.



Las compañías del cibercrimen se reparten más de 800.000 millones de euros al año


Por otra parte, estas organizaciones cuentan con sus propios servicios de atención a las víctimas (clientes), que incluyen enlaces para negociaciones de rescates y análisis de los posibles afectados en función de sus ingresos y capacidad de respuesta. Por último, el área financiera trabaja con miles de redes que se encargan de la recaudación de los fondos en criptomonedas, en algunos casos con monederos de bitcoins superiores a los 150 millones de euros.


Se acabaron los 'Robin Hood'


Las cosas han cambiado mucho en la última década, quedando casi en el olvido la imagen del joven Robin Hood de los ordenadores que comete todo tipo de fechorías desde su cuarto; o el gordinflón rodeado de hamburguesas que vende sus habilidades al mejor postor. Ahora la profesionalización es máxima, igual que la sofisticación de las herramientas y los métodos de ocultación. Nada impide, por ejemplo, que el router que miles de ciudadanos tienen en sus casa esté infectado y pueda actuar como un eslabón decisivo para ocultar el rastro y dispersarse por decenas de países.


De la misma forma, miles de empresas alojan en sus equipos y servidores en programas maliciosos sin tener constancia de ello, preparadas para activarse en cualquier momento y desencadenar una ataque fulminante y arrollador. Estos ficheros maliciosos pueden estar escondidos durante meses y años, e incluso cambiar de organización cuando una compañía compra a otro con todo su equipamiento. Lo que apenas ha variado en los últimos años es la sensación de impunidad, que resulta un incentivo para las bandas criminales que se manejan en este sector.


El viaje del 'malware'


El curioso viaje de un ramsoware, desde su gestación hasta que la empresa afectada decide claudicar ante la extorsión una vez convencida de que -lamentablemente- el pago al malhechor es la mejor de las posibles soluciones. No hay que olvidar que a la sangría de los impuestos revolucionarios para desencriptar una base de datos, por ejemplo, se añaden los daños reputacionales, la pérdida de rendimiento por la paralización de la actividad y hasta la multa de las agencias de protección de datos por la negligencia en el blindaje de las identidades digitales de sus bases de datos.


Las aseguradoras disponen de 'mediadores' para negociar el pago con los delincuentes

Román Ramírez, consejero de ciberseguridad y colaborador de ISMS forum, pormenoriza el proceso típico de cualquier ataque informático, tras recalcar que las bandas de ciberdelincuentes son auténticos criminales que subcontratan a profesionales de la informática y hackers que les fabrican las herramientas. "Lo tienen todo hipersistematizado". Según explica el consultor, "las mafias no abordan todos los aspectos de producción sino que se centran en partes concretas, para subcontratar el resto con especialistas.


Se trata de un ecosistema de 'Crime as a services', el crimen como servicio. Por lo tanto, si se necesita enviar 100 millones de correos electrónicos, lo normal es que lo encarguen a algún grupo experto en 'phising', por ejemplo". Basta con que uno de cada mil usuarios caiga en el engaño y abra inocentemente un correo infectado para que empiecen a salir las cuentas de los malvados.


Selección de la víctima


El primer paso consiste en buscar el objetivo. Para ello, las mafias investigan el sector que será atacado y así crear armas específicas. Además de los datos empresariales públicos, se averigua la huella de la empresa en Internet (con sus posibles puntos de acceso online) o el gasto en tecnología y nivel de digitalización. Una vez que el malhechor dispone de la foto completa de la compañía, resulta relativamente fácil seleccionar a las víctimas más rentables e interesantes.


Los cibercriminales intentan reutilizar al máximo las herramientas de que disponen y procuran apalancarse en programas ya conocidos -y libres de sospechas- dentro de las organizaciones. Esto se conoce como 'Living from the land', vivir de la tierra. "Te metes dentro de los sistemas de la empresa y, en vez de diseñar medios de ataque, buscas herramientas de administración de sistemas que están instaladas, que gozan de privilegios de uso y que nos son malignas, por lo que no pueden detectarse como sospechosas por software de antimalware", apunta Ramírez. Al mismo tiempo, en las herramientas de hacking se suele reutilizar el malware, pero modificándolo para que sus firmas no sean detectables y sin que por ello pierdan la funcionalidad original.



"Una vez que la banda ha construido las armas de ataque -o las han subcontratado a otros grupos especializados-, empieza la entrada en la compañía. Este paso también puede realizarse por medio de otro colectivo criminal que ya está dentro de la organización y simplemente revende el acceso. Acto seguido se despliegan las herramienta para eliminar las defensas de los equipos y descarga un malware que igualmente se subcontrata en foros privados o grupos de la 'dark web' alejados de cualquier radar policial.


La 'Red de afiliados'


En este penúltimo eslabón del proceso resulta muy relevante la denominada red de afiliados. "Existen empresas que solo se dedican a hackear y meterse dentro de organizaciones y dejar un bicho de control remoto, para luego abrir la puerta a otros criminales y monetizar esos servicios", añade Ramírez. Es decir, alguien consigue el acceso inicial a la organización y lo vende a la red de afiliados". Los afiliados pagan por el acceso puntual, en función de sus intereses, por lo que la defensa resulta muy complicada al coincidir numerosos adversarios, cada uno de ellos avezado en sus respectivos objetivos.


Comienzan a ocurrir cosas...


Una vez que el adversario ha logrado colarse dentro de la organización de forma discreta, comienzan a ocurrir cosas. Por ejemplo, se suceden movimientos laterales para saltar de un equipo a otro de la empresa atacada y ampliar el conocimiento y, por tanto, la capacidad de control y reacción. "Se copian ficheros, contraseñas, credenciales de usuarios, bases de datos, buzones de correos y -al mismo tiempo- se va analizando con detalle todo el material para obtener información susceptible de extorsión. Es el caso de simples mensajes de correos con contenidos inapropiados o inconvenientes de algún directivo compartido entre sus más allegados, suficiente para hacer pagar a los más esquivos", avanza el colaborador de ISMS Forum.


El 'botón gordo'


En cuanto el cibercriminal ha bloqueado las copias de seguridad, ha consolidado su posición y se considera cómodo y convencido de que la víctima no puede hacer nada para escapar, entonces llega el momento de pulsar el botón gordo, el que paraliza la empresa. Eso puede suceder un domingo por la noche para que el lunes, a primera hora, aparezca en la pantalla de los ordenadores un mensaje con el bloqueo de la empresa y el modo de pago en bitcoins. En ese momento toca dilucidar cómo enfrentarse al enemigo o, por el contrario, pasar por caja sin crear problemas reputacionales sin desvelar malas prácticas internas.


Interviene el 'mediador'


"Mientras se decide qué hacer o no hacer, las bandas se encargan de estresar a las empresas, por ejemplo, demostrando que disponen del control total de la organización o filtrando documentos sensibles, pero sin generar un daño que mate a la vaca, porque lo importante es ordeñarla", apunta Ramírez.


En esas situaciones intervienen los seguros, que a su vez cuentan con negociadores especializados. Con estos agentes todo será muy fluido, ya que las dos partes saben cuánto se puede presionar o ceder hasta llegar a un punto intermedio. "Cuando hay mucho dinero por medio e interviene una aseguradora, suele haber mediadores. Son los que más dinero ganan, no tienen riesgo, saben hablar con esa gente y gestionan la relación de una forma profesional", añade. Una vez que la empresa paga, la mafia devuelve el pleno control a la víctima, porque también les interesa que se conozca que ellos cumplen lo que dicen.


Cómo escabullirse de la policía


Las mafias disponen de sus propios mecanismos para evitar caer en las garras de la policía. De hecho, tampoco existe certeza de que las redadas realizadas en los últimos años hayan capturado a los principales responsables de los ciberataques, es algo que nunca queda totalmente claro. Se mueven en entornos de máxima confianza en las cúpulas y la dispersión de conexiones favorece a los malhechores.


A modo de ejemplo, un usuario puede abrir un documento infectado y desde entonces convertirse en un agente durmiente, como un bot. De esa forma, los ciberdelincuentes pueden cometer fechorías desde cientos de equipos de personas que no son conscientes de ello. Además, se dispersa el rastro en múltiples países. "De Filipinas a Malasia, luego salta a Ucrania, España, Rusia, EEUU, China y después vuelve a España. La policía tiene que pedir rogatorios internacionales, para solicitar datos de países que no quieren colaborar. Y para que estos gobiernos cedan datos de sus ciudadanos, el asunto tiene que responder a delitos realizados por sus residentes, conscientes de que Argentina o Ucrania, por ejemplo, no tienen la misma legislación sobre los delitos digitales".


Captación de talento


El sistema que emplean los departamentos de Recursos Humanos de las mafias es sencillo: buscar talento desde las aulas y retribuirlo de forma generosa. A modo de ejemplo, las ciberbandas husmean entre las facultades de Informática, Física o Matemáticas a los alumnos más aventajados de cada curso.


El ejemplo de Ucrania puede extrapolarse a otros países vecinos, donde el salario medio mensual de ciertas familias puede rondar los 200 euros. Una vez elegido el posible candidato, los responsables de captación acuden a ficharlos sin especial disimulo. Según explica Román Ramírez, consultor en ciberseguridad y colaborador de ISMS Forum, "los llamados chicos listos acuden a bordo de un Lamborghini" para contratar a los estudiantes más avispados de cada facultad.


Les ofrecen cerca de 3.000 euros al mes a modo de beca durante el tiempo que estén cursando sus estudios con la condición de mejorar las condiciones salariales en cuanto salgan de la universidad con la licenciatura bajo el brazo. Lo único que tienen que hacer es programar malware a la carta sin que ellos sepan dónde se va a utilizar ni quién será el cliente o usuario, siempre con plena discreción", indica Ramírez. De esa forma, los aprendices de hackers se rinden ante ofertas capaces de sacar a sus familias de la pobreza.


En SVi te ayudamos a gestionar la seguridad de tu parque informático a través del sistema HP Wolf Security. Pídenos información sin compromiso a través de este link.

Comments


bottom of page