TECNOLOGÍA
Todos saben que en internet se puede ganar dinero. La pregunta es cómo. No todos pueden distorsionar la realidad para fundar su propio unicornio tecnológico, ni la aversión a la luz necesaria para convertirse en un jugador de Fortnite de clase mundial. Ni todos viven en lugares donde los trabajos de ingeniería de software son bien remunerados y abundantes.
Pero si estás dispuesto a violar la ley, o al menos las leyes estadounidenses, tus opciones se expanden. Puedes robar números de tarjetas de crédito o simplemente comprarlos a granel.
Puedes secuestrar cuentas bancarias o correos electrónicos y engañar a otra persona para que te transfiera dinero, puedes estafar sabiendo un poco de programación. Pero si no tienes esos conocimientos, siempre está el ransomware o secuestro de datos, el software malicioso que cifra los datos en una computadora o un servidor para pedirle a la víctima un pago a cambio de la clave de descifrado.
Ciudades grandes, municipios pequeños, hospitales, empresas, todos han sido víctimas. A medida que aumenta el número de ataques, también aumenta la escala de las víctimas y los rescates.
En 2019, la cadena de televisión The Weather Channel, el grupo de medios francés M6 y la firma de servicios de envío Pitney Bowes sufrieron el secuestro de datos. El verano pasado, dos pequeñas ciudades de Florida pagaron en conjunto más de un millón de dólares de rescate. Y se rumora que el grupo de laboratorios Eurofins Scientific y la firma de cambio de divisas Travelex también han sufrido el mismo mal.
En cierto modo, el aumento del ransomware se veía venir. Simple, escalable y de bajo riesgo, es un cibercrimen limpio. Se cree que algunas de las variantes más exitosas surgieron de los países de la antigua Unión Soviética, donde los jóvenes expertos en tecnología reciben una educación de alta calidad pero no un trabajo acorde. Esa combinación ha ayudado a crear una industria que, en todas sus variantes, es la cara ilegal de la tecnología.
Hoy por hoy, los atacantes ni siquiera tienen que crear su propio ransomware, pueden comprarlo. Y si realmente no saben cómo usarlo, pueden suscribirse a servicios que ofrecen atención al cliente que los ayudan a coordinar los ataques. Si tecleas "ransomware como servicio" o "RaaS" en las salas de chat de la web oscura, obtendrás páginas y páginas de resultados.
En la imaginación popular, los hackers son expertos mefistofélicos. Pero no tienen que serlo en realidad, no con el ransomware. Cualquiera puede ser un secuestrador de datos, incluso alguien como yo, con apenas conocimientos rudimentarios de cómo funciona internet o un iPhone. Cuando comencé este artículo no pensaba convertirme en un secuestrador de datos, pero semanas después se me ocurrió que si alguien como yo podía hacerlo, serviría como una prueba de que el cibercrimen había avanzado hasta el punto en que no hacía falta talento, con mi ignorancia asistida por software conseguiría el objetivo.
El primer ransomware del mundo fue un troyano conocido como AIDS que se propagó en 1989 a través de discos flexibles. Fue creación de Joseph Popp, un biólogo especializado en babuinos. Quince años después, internet redefinió la creación de Popp. Para 2005, los investigadores de seguridad comenzaron a ver un ransomware que llamaron Gpcode. El programa se introducía en las computadoras como archivo adjunto a correos electrónicos aparentemente legítimos, una técnica conocida como phishing, si se hace a escala, o spear phishing, cuando el ataque va dirigido a un solo objetivo. La única debilidad era el paso del pago: los rescates se abonaban con tarjetas de crédito prepagadas o tarjetas de regalo, y por lo tanto dejaban rastro en el sistema financiero. Con el tiempo, con la ayuda y el acicate de la policía, los procesadores de pagos mejoraron en detectar pagos de rescate y recuperar al menos parte del dinero.
Bitcoin resolvió ese problema. Para 2013, la criptomoneda se había vuelto lo bastante común como para que una banda de ransomware decidiera probarla en una variante que se conocería como CryptoLocker. Y tuvo tanto éxito que su receta (phishing, fuerte cifrado y rescate en bitcoin) sigue siendo el modelo dominante para el ransomware.
Cuando comencé a buscar mi servicio de ransomware en octubre, la comunidad de la web oscura todavía le lloraba a GandCrab. Lanzado a principios de 2018, GandCrab no fue el primer RaaS, pero su éxito abrumador (la firma de ciberseguridad Bitdefender estima que en un momento llegó a representar la mitad de los intentos de ataque ransomware del mundo) había demostrado el potencial comercial del modelo. Los creadores de GandCrab habían licenciado su software a "afiliados", colegas hackers con acceso a computadoras comprometidas o listas de direcciones de correo electrónico para phishing, a cambio de un porcentaje del botín. Y habían tenido la previsión de ir un paso por delante de los esfuerzos de los programadores de antivirus, lanzando cinco grandes actualizaciones de software, según el investigador de seguridad informática, Brian Krebs.
Luego, el 31 de mayo de 2019, una publicación en el foro en lengua rusa Exploit[.]in, anunció el "merecido retiro" de GandCrab. Durante 15 meses, afirmó el autor de la publicación, sus afiliados habían recaudado 2 mil millones de dólares, lo que supuso una tajada de 150 millones para los creadores. Los usuarios se preguntaban, hilo tras hilo, cuál podría ser el "próximo GandCrab".
No voy a dar el nombre del foro donde terminé encontrando mi RaaS. No creo que los lectores de este artículo sean aspirantes a secuestradores de datos, pero no quiero facilitarle el trabajo a nadie. Como la mayoría de los sitios parecidos, está en la web oscura, una región de internet inaccesible para los navegadores web normales.
No era el único novato en el foro, había otros que buscaban ransomware "fácil de usar". Pero ser novato en el ecosistema hacker también entraña sus peligros, su depredador natural es el "ripper", una persona que vende software falso o simplemente toma el pago en bitcoin del novato y desaparece.
El plan, elaborado con mi editor Max Chafkin, era secuestrar sus datos. Max, comprensiblemente, no quería exponer su información personal, así que los dos compramos computadoras portátiles baratas y nos aseguramos de no conectarlas nunca al internet del trabajo. Max llenó su laptop con documentos de WikiLeaks, un pdf del Informe Mueller, algunas fotos al azar y muchos ensayos académicos rumanos. Luego se preparó para mi ataque. Lo último que queríamos era ser despedidos o arrestados. Varios estados penalizan explícitamente los ataques de ransomware y en Maryland se presentó hace poco un proyecto de ley que penalizaría la mera posesión de ese software.
Mi víctima estaría completamente informada, sería, de hecho, cómplice. El abogado de Bloomberg con el que hablamos dijo que no habría problema. Sin embargo, sugirió que si tenía la impresión de que estaba a punto de hacer negocios con el gobierno norcoreano o alguna otra entidad sancionada, lo contactara.
El plan no hubiera sido posible sin Joe Stewart, quien dirige su propia empresa de investigación de seguridad y trabaja con la compañía de ciberseguridad Armor. Fue uno de los primeros analistas en describir los usos criminales de las llamadas botnets y también diseñó un descifrador de ingeniería inversa para que las víctimas de ransomware mal escrito pudieran decodificar sus archivos de forma gratuita. Stewart me ofreció su laboratorio de informática para perpetrar el secuestro de datos.
El ransomware que elegí fue el primero que encontré tras iniciar sesión en la primera sala de hackers que probé. Era barato, frente al popular RaaS Ranion que cuesta 900 dólares al año, este solo costaba 150. Decidí que valía la pena probarlo.
La mañana del 23 de octubre pagué 0.020135666 de bitcoin y envié una nota a través de Protonmail, un servicio de correo electrónico encriptado, a la dirección que venía en la página de pago. Me respondieron media hora más tarde.
Ingresé a la página web que me dieron, era blanca y con una serie de pestañas, tras llenar los campos solicitados apareció un cuadro preguntándome si quisiera descargar un archivo. Después de unos momentos de vacilación, cliqué sí. Ahora tenía una pieza de malware en mi computadora. Lo adjunté a un correo electrónico y se lo envié a Stewart. Dos semanas después él lo había ejecutado en una computadora especial que usa para desactivar y diseccionar malware. Mi variante de ransomware no era de muy buena calidad, es más ni siquiera notó que estaba en cuarentena. El propio servicio de ransomware, su sitio web, no estaba alojado en un proveedor de alojamiento web extranjero, sino en la nube de Amazon Web Services. Cualquier orden judicial hubiera obtenido el nombre adjunto a la cuenta de Amazon, lo que habría llevado a la policía directamente a mi proveedor.
Sin embargo, el mayor problema fue el descifrador que obtuve del sitio. Luego de recibir el pago del rescate, se suponía que debía enviar el archivo a mi víctima con una clave alfabética. Pero cuando Stewart y yo lo probamos, no funcionó: los archivos en la máquina de Stewart permanecieron cifrados. En el corto plazo, ese no sería mi problema: ya me habrían pagado para cuando Max descubriera esta falla. Pero al igual que con el secuestro tradicional, el modelo de negocio del rescate de información funciona solo si las víctimas tienen al menos la esperanza de que recuperarán sus datos mediante el pago. Es por eso que muchos hackers a menudo demuestran su buena fe y confiabilidad. Es una práctica común descifrar algunos archivos de forma gratuita como prueba de concepto. Algunos tableros de RaaS hasta omiten el término "víctima" y usan "cliente". Hay quienes incluso recomiendan a sus víctimas medidas de seguridad para evitar futuros ataques.
Pero quise una explicación. Después de todo, había pagado por el servicio. Inicié sesión en mi laptop, abrí el navegador Tor y fui a la dirección de mi panel de control RaaS. Pero en lugar de la página en blanco y la fila de pestañas, solo vi un críptico mensaje. "DESACTIVAMOS EL SITIO WEB". Acudí entonces al soporte técnico por correo electrónico.
"Hola, veo que eliminaste el sitio web, ¿cómo puedo acceder?", escribí a una dirección de correo electrónico encriptada. La respuesta de un tal Johnny Blaze llegó una hora más tarde: "Tienes que comprar la versión pro si quieres seguir usando esto". La versión pro costaba 500 dólares adicionales a los 150 que había pagado. Mi RaaS ya no me daba servicio. El servidor, junto al sitio web, había sido retirado. Pregunté cómo podía obtener mis claves de descifrado ahora que el sitio fue eliminado. Johnny Blaze me informó disculpándose que no era posible.
¿Había sido todo una estafa? ¿Estaba tratando con un 'ripper'? En retrospectiva, lo más probable es que mis proveedores, más bien inexpertos, habían lanzado un producto malo y decidieron cerrar la tienda por falta de clientes.
Con todo, quisimos terminar lo que empezamos. Stewart pudo dar con una solución de descifrado, de modo que en lugar de enviarle a Max una clave para que la escribiera, debí enviarle algunas líneas de código e instrucciones sobre dónde colocarlas. Max recibió primero el correo con el malware, abrió el archivo adjunto (que para más detalle fue detectado enseguida por su antivirus, anunciándose a bombo y platillo), ignoró la alerta y lo abrió. Minutos después, sus archivos se convirtieron en un texto incomprensible (todos salvo el Informe Mueller, que salió indemne). Max me escribió con fingida indignación, y le respondí que depositara el rescate (100 dólares) en mi monedero bitcoin. De no cumplir con el plazo, aumentaría la suma del rescate o destruiría la llave de descifrado. Cuando comprobé el pago, le envié la llave que Stewart diseñó. Max la usó y recuperó sus archivos.
Al final, no puedo afirmar que mi ransomware y yo realmente pasamos la prueba. Mis proveedores parecían más bien aficionados. Desde luego, una banda inexperta que lanza ataques de ransomware mal hecho aún puede causar mucho daño. Y todo maestro fue alguna vez inexperto. Cuando les envié un correo electrónico a mis proveedores de RaaS pidiendo entrevistarlos para esta historia, estaban más que felices de hablar, aunque fuera con frases vagas. "Somos un equipo de 18 a 26 años", escribió Johnny Blaze. Insistieron en que el RaaS que yo había probado era agua pasada. El equipo ya estaba llevando al mercado un producto más nuevo, algo que prometieron sería "mucho mejor".