“Mi novia fue hackeada, sufrió un “rapto”, requiero me contactes, solicito tu ayuda in extremis”.
No se puede encontrar un solo verbo fatalista en toda la lengua castellana que describa la sensación que tuvimos que experimentar al saber lo que ocurría bajo las narices de su servidor y, por supuesto, bajo las narices de la novia del amigo de su servidor. Dixie.
Aunque definitivamente esa sensación no fue lo peor. Lo peor fue que durante todo el desarrollo del “hackeo” estuve siguiendo imperativamente las órdenes de los cibercriminales (oh, la ironía), a rajatabla, pues de cierta manera, se me “ordenó” hacerlo así. No hubo mucha opción, en realidad. “El que paga manda”, una frase aprendida tan bien a lo largo de los años, y me resulta bastante sardónico saber que en este caso no aplicó para nada.
Habiendo leído la mano del gitano, les comparto el relato de lo sucedido.
Me encontraba de viaje en Europa, concretamente en Praga (mencionar la ubicación geográfica es de gran importancia para la historia), cuando recibí una nota de voz de mi amigo, importándole muy poco las 7 horas de diferencia con respecto a América central y despertando a las 2 de la madrugada, sin más. Su novia recibió un mensaje de secuestro, me comentó; llenó toda su pantalla con un enorme pop-up que bloqueó la mayoría de su escritorio y, por supuesto, como no podría ser de otra manera, todos sus archivos habían sido cifrados. Los culpables: un grupo de ciberatacantes que tenían control sobre una variante de un Ransomware, uno de los más devastadores encontrados hasta la fecha in facto, y se les debía depositar la módica cantidad de 300 dólares estadounidenses para obtener la llave que libraría del rapto a la máquina. Todo ello, en menos de 3 días o el rescate subiría a 1.000 dólares. Y si para entonces no depositaba esa cantidad en menos de 48 horas, sus archivos serían destruidos.
“Your files are encrypted with the strongest encryption. To get them back the key will cost you 300 USD or 1.000 USD if you fail to pay after 3 days. Otherwise they’ll be completely destroyed”.
Solamente les faltó poner: “Suyo en Cristo: Cryptowall 3.0. Saludos a la familia”
Cryptowall es solo uno de la larga lista de malware que abunda en la red y de la amplia gama de la familia Ransomware, cuya propagación durante estos últimos años ha sido extremadamente alta. No voy a dar detalle de esta amenaza, pues en un post anterior ya había hablado de las características y capacidades del mismo. Sin embargo, lo que llamó poderosamente mi atención en esta historia, además de vivir casi directamente la infección, fue el “revenue total” y la forma tan versátil de los cibercriminales para hacer dinero. Mucho dinero fácil y seguro.
La primera pregunta de la susodicha al ver el apocalipsis en su máquina fue la más obvia: “¿Hay alguna manera de quitar eso?”, para luego decirme: “¿En serio debo de pagarles?”. Y añado con mucha pena que el tono de su voz transmitía una confianza soberbia y demasiada, pero demasiada, tranquilidad cuando me formulaba estas preguntas. Obvio, lo que esperaba era que en ese momento se lo resolviera, le quitara esa horrible ventana de su laptop y siguiera su vida normal. Al final de todo, ella me confesó que francamente no le había asustado para nada ver ese mensaje en su máquina, porque suponía que siendo yo un profesional IT experto en la materia, sería capaz de volar al Ransomware sin ningún problema. Nada más lejos de la realidad.
Le tuve que revelar más pronto que tarde la única y llana solución a su problema: pagar el rescate a los cibercriminales y confiar en la devolución de una llave, o bien, formatear su máquina. Expliqué de la mejor manera posible que ese tipo de malware utiliza criptografía avanzada, la cual es matemáticamente muy difícil de romper y tratar de adivinar la clave nos tomaría al menos unos cuantos miles de años con los recursos computacionales disponibles, utilizando la fuerza bruta, es decir probando cada combinación existente.
Por supuesto, no me creyó y se negó a pensar que no existiera otra forma de resolver sus dificultades. Y durante los siguientes días se dedicó en su particular red de conocidos, a reclutar IT guys para obtener una solución satisfactoria a su caso. Simplemente no se quería hacer a la idea de perder dos años aproximadamente de trabajo y vida privada, pues como la laptop de todos los aquí presentes, la suya tenía absolutamente un sin fin de ficheros muy valiosos para ella. Incluso, sus compañeros de trabajo, algunos familiares y amigos, la trataron de convencer de formatear la máquina y olvidar todo. Según ellos no era el fin del mundo. Sin embargo, yo entendía su enorme preocupación y ansiedad por ser una víctima inocua de estas injusticias tecnológicas, y no podía hacer mucho para ayudarla; si a mí me sucediera lo mismo, tal vez hubiera hecho exactamente lo que ella hizo.
Habiéndose saltado todas las opiniones de expertos, (incluso le trajeron a un Sr. Security Specialist de Symantec y de Sophos, me consta) decidió pagar y ver qué pasaba después. Era su última carta, eran sus archivos y aunque le advirtieron que estaba financiando una industria criminal, a ella solo le interesaba recuperar lo perdido.
Pero, para el momento en el que decidió depositarles a los cibercriminales, ya era el día 3 y el reloj estaba corriendo. Recordemos: si no depositaba antes de ese día, subiría a 1.000 dólares con el peligro de llegar a la destrucción de sus archivos. Además había otro pequeñísimo detalle, el cual no había tomado en cuenta: sucede que, aunque los criminales en cuestión te pidan dólares, en realidad tú solo puedes depositarles en bitcoins. Muy listos. Un tipo de moneda cifrada, con un gran valor en el mercado real; no puede ser trackeada por ningún banco o agencia gubernamental (super sic), pero tiene la desventaja de ser muy volátil día con día; puede que deposites X cantidad y en el proceso de la transacción el valor del bitcoin decaiga dramáticamente, o suba de la misma forma, y debas pagar nuevamente; o bien les hayas depositado accidentalmente algunos dólares extras a tu destinatario.
Desafortunadamente en América Latina todavía hay pocas opciones versátiles para manejar Bitcoins, y empezar a tramitar algún “E-Wallet” en el día 3 no era para nada viable. Aunado a lo anterior el QR code, generado en la laptop víctima por los atacantes para establecer el pago, estaba disponible en su máquina para ser leído por algún scanner, pero este QR code no se podía mandar o compartir de ninguna forma aparentemente. O por lo menos no la encontramos. Los cibercriminales esperaban que se leyera el QR Code directamente de la laptop para procesar el pago y de esta forma iniciar la transacción. Eso no me pareció muy user-friendly que digamos (ja!).
Aquí es donde entro yo abiertamente en escena. Le solicité una copia de su QR code en foto, e investigando un poco, supe que en Praga había un ATM dedicado solamente a depósitos en bitcoins en la calle de Bubenská 1477/1 170 (por si lo quieren visitar algún día). Fui corriendo ya en el día 4 de mi lado, pero todavía en el 3 del suyo y no fue muy difícil realizar la operación. El lector de la maquinita leyó el QR code, deposité el dinero e inmediatamente se lo notifiqué. Resultó toda una experiencia: cuando la transacción fue completada, la maquinita me dio un recibo con una nota pre-programada en la firma dando las gracias por la operación. Ella me comentó que casi inmediatamente le llegó una clave, con la cual descifró 10 archivos aleatorios, como si de una tarjeta de regalo se tratara. El ATM de Praga les había informado a los cibercriminales de manera automática, mediante el QR escaneado su procesamiento de la “orden de compra”, entonces ya esperaban el pago del rescate muy pronto directamente en su wallet.
“Pero qué calidad de servicio” pensé satíricamente, “¿Qué sigue, un descuento por cliente frecuente? ¿Unos archivos extras descifrados por pasarle el malware a un amigo? ¿Una rebaja de black Friday?”
Para el día 4, su llave maestra había llegado. “Por lo menos son unos criminales honestos”, me dije. Después pensé en lo idiota de mi comentario. Su estrategia se basa en el miedo, en pretender que te están ayudando y no son delincuentes; en hacerte sentir su respeto hacia un código de honor, cuando en realidad se basan medios hampones para provocarte y meterte entre la espada y la pared, no importando quién seas.
Debo reconocer que estos sujetos son unos verdaderos magos de los negocios. Utilizan todo tipo de herramientas sociales para tenderte la trampa del malware y, cuando ya estás infectado, su campaña mercado-psicológica es perpetrada con tal maestría, al punto de hacerte creer que no tienes más remedio que pagarles. Por eso CryptoWall llego a hacer 40 millones de dólares netos en 100 días según varias estimaciones (Internet > Google voy a tener suerte).
A pesar de que he visto innumerables catástrofes informáticas con mis propios ojos y vivido muchas otras más, aun no puedo creer cómo una simple Dell Inspiron con solo Word, Excel y Chrome pudo pasar por algo tan maquiavélico. Pero también entiendo que no existe barrera alguna para estos casos, le puede pegar a cualquiera. Aun así esta injusticia descarada dolió más que un castigo merecido.
Como dije, los cibercriminales al menos tuvieron un ligero sentido de humanidad. Pero me dieron una directa y cruel bienvenida al mundo del Malware con fines lucrativos. Al multimillonario y peligroso negocio del Ransomware.
Concluyendo este relato, la mejor estrategia ante estas situaciones siempre es la prevención y desafortunadamente también es la única. Hay que realizar copias de seguridad de forma regular y mantenerlas offsite y offline para que no estén accesibles de ninguna forma y, después de realizarlas, desconectar el drive USB o el medio que usemos para el backup. Así el Ransomware no infectará también el dispositivo de almacenamiento en caso de propagación.
Y como medidas adicionales: si deseas evitar esto, debes asegurarte de no abrir archivos sospechosos; evitar enormemente entrar en publicidad o anuncios engañosos que te pueden llevar a sitios web infectados. Una buena solución antimalware y el sentido común en la navegación diaria tampoco estarán demás nunca.