Jamás negociamos con ciberdelincuentes. Esa es la respuesta oficial de cualquier directivo de una gran corporación. Pero la versión oficial no siempre es cierta. La pandemia del Covid ha incrementado los casos de ransomware y phishing contra todo tipo de empresas aprovechando las brechas de seguridad causadas por el teletrabajo y el uso masivo de herramientas digitales. En este contexto, muchas compañías han contratado a consultoras especializadas en transaccionar con los criminales que operan en la red.
Nicolás Castellano tiene experiencia en estas lides. Este miembro de Andubay ha tratado con organizaciones radicadas de Rusia, Ucrania o China que bloquean los datos empresariales mediante cifrados de alta complejidad. "Son ataques que muchas veces solo pueden descifrarse con un ordenador cuántico. Normalmente, son los propios delincuentes quienes dejan una vía de contacto en las carpetas encriptadas para pactar el rescate", explica. Determinados patrones se repiten en todas las infiltraciones: el botín suele exigirse en Bitcoins, se opera desde la deep web para no dejar rastro y, tras varios intentos, se logra rebajar la mordida.
Abaratar el chantaje
De hecho, Castellano cuenta que normalmente se consigue un descuento en la cantidad inicial solicitada para recuperar o descifrar los datos. "Siempre hemos obtenido rebajas de más del 50%, incluso en una ocasión llegamos a pagar solo el 20% del rescate. Los ciberdelincuentes se aprovechan de la necesidad de las empresas, mientras que estas quieren llegar a un acuerdo rápido para volver a la normalidad". Andrei Coman, experto en ciberseguridad, añade que las bandas son conscientes de que "piden un importante bastante alto, pero tras la negociación se suele rebajar esa cantidad".
Los contactos se realizan a través de servidores de correo electrónico como ProtonMail y Firemail, o bien plataformas de mensajería como Jabber/XMPP. "Hay sociedades que no pueden sobrevivir ni tres días sin los datos, por lo que las conversaciones no suelen alargarse más allá de mes y medio", detalla. Cada pocos días ambos interlocutores se intercambian mails a través de perfiles muertos, como en los correos a los cuales ha tenido acceso Crónica Global que desvelan un caso real que afectó a una mercantil mayorista del sector textil.
Trucos de mediador
Los atacantes suelen usar un estilo directo y agresivo. "Creo que no quieres llegar a un acuerdo. Has estado retrasando [el pago] durante un mes y solo nos estás mandando un mensaje. Si no quieres pagar, dilo y no nos hagas perder el tiempo", se despachan los delincuentes. La franqueza es un rasgo distintivo de estas charlas virtuales. "Decide rápido lo que vas a hacer" o "has arruinado la situación" son frases empleadas por los criminales para urgir una respuesta definitiva de la víctima. Otros grupos como el colectivo Revil, difunde a través de la bitácora Happyblog información confidencial extraída de forma ilícita. "En el ataque ransomware contra Adif del año pasado, Revil llegó a publicar nóminas de usuarios de forma pública para presionar a la empresa para que aceptase el pago", detalla este profesional.
Castellano revela que hay trucos para ganarse la confianza de los asaltantes. "Hay que hacerse el tonto, utilizar frases claras y cortas y argumentar que en época de Covid es difícil para las privadas recabar el dinero que piden. Hay que empatizar con ellos y darles a entender que entiendes su negocio", explica este mediador. Coman añade que las empresas son conscientes de que "se les pide un importante bastante alto, pero tras la negociación se consigue rebajar esa cantidad".
No acudas a la prensa
La tensión va en ambas direcciones. En ocasiones, las bandas se irritan ante la amenaza de acudir a la prensa. "¿Nos estás amenazando ahora? Has mencionado que quieres hablar con un reportero, así que nos amenazas. Si no hubieras dicho esta última frase, hubierámos intentando desencriptar tus archivos sin un segundo pago. Has arruinado la situación", se indignan los chantajistas.
Sin embargo, la otra parte templa la situación: "Siempre decimos la verdad y te pagamos por el acuerdo. Todavía no hemos contactado con periodistas". Castellano asegura que la inmensa mayoría de charlas llegan a buen puerto e incluso terminan con un siniestro tono cordial. En el expediente al cual ha tenido acceso este medio, la compañía se despide amistosamente de los usurpadores de datos tras recibir un decodificador de los archivos robados: "Perdón por el retraso. Muchas gracias por el servicio. Espero no volver a verte otra vez :)". "Ha Ha Ha Ha. Espero lo mismo. Buena suerte", responden los malos. Incluso en los bajos fondos no hay que perder las formas.