Los piratas informáticos ya no son lo que eran. La imagen de llaneros solitarios que atacan multinacionales es tan anticuada como la del vaquero que asalta diligencias. Ahora son mafias organizadas que lo mismo hackean Telefónica que la red de hospitales de Reino Unido. Y siempre el mismo mundano objetivo: el dinero.

Lo que la Europol ha denominado un ciberataque “sin precedentes” conllevará una compleja investigación internacional para identificar a los culpables, pero la principal apunta a organizaciones criminales.

El modus operandi de este tipo de ataques es más sencillo de lo que parece. Sólo hay que imaginarse una película de Al Capone en la que en vez de whisky de contrabando se trafica con virus. Las mafias subcontratan programadores, que en muchos de los casos operan desde países sin convenio de extradición con los lugares donde ejecutan los delitos. Y, como Al Capone, también tienen sus contables, claro. Sólo que ahora son expertos en operar con bitcoins, una criptomoneda que se transfiere desde cualquier país y no deja rastro en internet.

En esta ocasión el utilizado ha sido un virus ransomware, que ha aprovechado un error de Windows. Este virus se encarga de bloquear todo lo que contenga un ordenador y, como en los secuestros, pide un rescate a cambio de su liberación.

“Este tipo de ataques es cada vez más frecuente”, afirma Arturo Ribagorda, presidente de la Red de Excelencia Nacional de Investigación en Ciberseguridad. “Hace tres o cuatro años que empezaron, no sólo en ataques a empresas también a particulares, y vamos a tener que acostumbrarnos a que pueda suceder porque es imposible hacer cien por cien seguros los sistemas informáticos. Cuanto más complejos son los sistemas, más fácil es encontrarle fallos. Lo que hemos visto en este último ciberataque masivo es una nueva escala global, porque cuanto más conectado está el mundo, con más rapidez se propaga la infección”.

En España, los incidentes de ciberseguridad se triplicaron en el último año y en 2017 se está viviendo una eclosión. Es la nueva normalidad. Sólo en nuestro país, cada día 162.686 páginas web sufren ataques, según el informe 2016 del Instituto Nacional de Ciberseguridad (Incibe).

“Este ataque no parece geopolítico, son ciberdelicuentes organizados que en vez de tráfico de estupefacientes o tráfico de personas amplían su negocio y se dedican a esto. Es claramente negocio”, opina Ribagorda.

En contra de lo que pueda parecer, este tipo de ataques “no requiere de unos conocimientos especialmente avanzados”, explica Carlos Tomás, fundador de la firma de I+D en ciberseguridad Enigmedia, que asesora a compañías para protegerse. “El éxito de estos ataques de ramsomware se basan en la probabilidad de los grandes números. Se mandan cien millones de mails. Un 1% pica y hace clic, ya tienes un millón de infectados y de ese millón, un 1% paga. El resultado es que 10.000 personas paga. Esta vez, además, como se basaban en un error en Windows  se multiplicó a escala global”.  

Secuestrar un ordenador se basa en un sistema de extorsión como los que ha utilizado siempre la mafia sólo que aplicado al mundo online. “Hay diferentes capas y roles”, explica Tomás. “Está la gente que fabrica el virus, pero no necesariamente son muy complicados. Diseñan fórmulas para las que no hace falta I+D porque se basan en vulnerabilidades ya conocidas dentro del sector; luego está la gente que se dedica a difundirlos creando correos específicos para cada idioma y para cada país que hagan más probable que la gente pique; y otro eslabón es el de los que recaudan el dinero de los rescates, lo lava y lo procesa de forma anónima”.

En realidad no hace falta ni siquiera ser un experto en informática avanzada para orquestar algo así, pueden comprarse los virus ya prefabricados en la deep web, el mercado negro de la web profunda.

¿Un antes y un después?

Para esperar si el ataque masivo del 12 de mayo pasará o no a la Historia es preciso esperar a ver cómo acaba. Y por acabar los expertos entienden que hay que esperar a ver el éxito económico de la operación. Los cobros en bitcoin no permiten saber quién ni dónde los cobra, pero sí es posible monitorizar todas las transacciones que se hacen, aunque no a quién pertenezcan. Según Chema Alonso, responsable de la Unidad de Datos de Telefónica, sólo se han realizado ocho pagos (unos 6.000 dólares) en todo el mundo como pago para recuperar los equipos infectados.

“Al pagar se recibe la contraseña para desencriptar los datos”, explica José San Leandro,  desarrollador software en la empresa de programación Osoco. “Habían pedido 300 euros por equipo. Es bastante inusual porque los rescates suelen ser mucho más caros. Este tipo de ataques son bastante habituales, y afectan tanto a pequeñas como a grandes empresas”.

Sin embargo, fuentes independientes que están investigando el caso con las que ha podido hablar El Independiente tienen constancia de que el alcance podría ser mayor y aseguran que, en cualquier caso, es pronto para conocer la magnitud de las operaciones.

Que sea o no un antes y un después dependerá precisamente de qué éxito tengan los atacantes en términos económicos. Cuanto más fructífero sea este ataque, más dinero invertirán las mafias en el negocio de secuestrar ordenadores y más atractivo será económicamente hacer la inversión necesaria para volver a intentarlo de nuevo. También puede atraer a más organizaciones criminales a incorporar a su portfolio de delitos la propagación de virus.

En lo que puede ser un antes y un después en la concienciación ciudadana. Que haya tenido tanto eco mediático puede ser un buen antídoto. “Pasa como con las enfermedades raras”, dice Tomás. “Si fuera algo aislado habría menos gente investigando, pero al haberse convertido en un acontecimiento mundial se activaron rápidamente más alertas. El ataque puede haber muerto de éxito porque gracias al impacto mediático puede haber habido menos pagos”.

Ribagorda, sin embargo, no está de acuerdo en que vaya a durarnos mucho el susto. “No creo que sea un antes y un después, porque esto en otros países ya ha sucedido y se olvida en seguida”, explica. “En diciembre de 2015, Ucrania sufrió un ataque a su infraestructura eléctrica durante 24 horas. Allí fue un caos pero ya se nos ha olvidado”.

Para que este tipo de ataque sea rentable tiene que ser escalable. Si no no sale rentable. La oportunidad era muy buena. Que haya afectado a tanta gente demuestra que era difícil hacer esos deberes.

Como si se cae un vaso de agua

Infiltrarse en un sistema informático normal “es tan fácil que da risa”, explica explica Marc Goodman, experto en cibercrimen y colaborador del FBI en su libro Los delitos del futuro.

Según un estudio de Verizon, una vez que los hackers fijan su objetivo, el 75% de las veces tardan unos minutos en burlar su defensa. De hecho, la solución a este tipo de ataques, además de en la prevención, se basa en estar preparados para cuando lleguen. Porque cada vez es más probable que sucedan.

Muchos expertos recomiendan dar la información infectada por pérdida, porque es muy difícil que pagando se recupere la información. No sólo porque pagando ni siquiera se garantiza que cumplan su palabra de liberar el ordenador, sino porque es una señal para los secuestradores de que esa empresa o ese particular paga y se puede exigir más dinero más adelante.

“Lo ideal es no pagar y hacer los deberes antes, es decir, tener siempre una copia de seguridad actualizada”, argumenta Tomás. “Es muy difícil para una empresa estar 100% protegida, pero puede mejorar sus políticas de copias que le permitan, en caso de ataque, no depender de la información concreta de los equipos. Lo mismo que si se te cae un vaso de agua en el ordenador y se te estropea, si un equipo es infectado, dalo por perdido”.

Es decir, teniendo en cuenta cómo avanza de rápido la ciberdelincuencia, lo más realista es irse acostumbrando.