El nuevo crimen organizado ruso amenaza al mundo

Aparece un mensaje en un tosco inglés de Google Translate, en el que se informa de que todos sus archivos han sido encriptados -inutilizados- y que sólo se pueden recuperar si se paga un rescate.

Después de algunas idas y venidas, pagos en Bitcoin o alguna otra criptomoneda, probablemente a una banda con sede en Rusia. No hay elección: es más barato y mucho más rápido pagar que reconstruir un sistema informático desde cero. Para evitar más problemas o vergüenzas, muchas víctimas ni siquiera avisan a la policía.

Hace unos años, el rescate podía ser de unos pocos cientos de dólares. A principios de mayo, Colonial Pipeline pagó 5 millones de dólares a la banda de ransomware DarkSide para que el petróleo volviera a fluir por sus tuberías. (En junio, el procesador de carne JBS pagó 11 millones de dólares a la banda rusa REvil (Ransomware Evil). Hace aproximadamente un mes, REvil volvió a realizar el que puede ser el mayor ataque hasta la fecha, congelando los sistemas de unas mil empresas tras piratear un proveedor de servicios informáticos que todas ellas utilizaban. En esta ocasión, la petición fue de 70 millones de dólares. Los delincuentes que están detrás del ransomware también han evolucionado, pasando de ser tiburones solitarios a un negocio en el que las tareas se subcontratan a grupos de delincuentes especializados en el hackeo, el cobro de rescates o la organización de ejércitos de bots.

Los ataques de ransomware pueden paralizar infraestructuras críticas como hospitales y escuelas, e incluso las funciones básicas de las grandes ciudades. Utilizando métodos tan sencillos como la falsificación de correos electrónicos, los hackers pueden apoderarse de sistemas informáticos enteros y robar datos personales y contraseñas para luego exigir un rescate para restablecer el acceso.

En una docena de años, el ransomware se ha convertido en uno de los principales problemas cibernéticos de nuestro tiempo, lo suficientemente importante como para que el Presidente Biden lo incluya en su agenda con el presidente de Rusia, Vladimir Putin, cuando se reunieron en junio, y para que los legisladores del Congreso trabajen en varios proyectos de ley que, entre otras cosas, obligarían a las víctimas a informar de los ataques al gobierno.

Es una guerra que hay que librar y ganar. Aunque el negocio de la extorsión está dirigido por una red relativamente pequeña de delincuentes que buscan beneficios inesperados, su capacidad para perturbar gravemente las economías y vulnerar empresas o agencias estratégicamente críticas también les convierte en una formidable amenaza potencial para la seguridad nacional. El ataque al oleoducto Colonial creó una escasez casi instantánea de combustible y sembró el pánico en el sureste de Estados Unidos.

Los grandes ataques son noticia, pero la principal presa de las bandas de ransomware son las pequeñas y medianas empresas o instituciones que quedan devastadas por la interrupción de sus ordenadores y el pago del rescate. Cuántos han sido golpeados es una incógnita, ya que, a diferencia de las violaciones de la información personal, la ley no exige que se informe de la mayoría de los ataques de ransomware (aunque esto es otra cosa que el Congreso podría cambiar pronto).

El informe sobre delitos en Internet del FBI correspondiente a 2020 recoge 2.474 ataques en Estados Unidos, con pérdidas por valor de más de 29,1 millones de dólares. La realidad es probablemente de otra magnitud. La empresa alemana de análisis de datos Statista ha calculado que en 2020 se produjeron 304 millones de ataques en todo el mundo, un aumento del 62% respecto a 2019. La mayoría de ellos, según Statista, se produjeron en el sector profesional: abogados, contables, consultores y similares.

Sea cual sea el verdadero alcance, el problema no se resolverá con parches, software antivirus o autenticación de dos factores, aunque los expertos en seguridad subrayan que toda protección ayuda. “No vamos a lograr defendernos solos de este problema”, afirma Dmitri Alperovitch, presidente de Silverado Policy Accelerator y una de las principales autoridades en materia de ransomware. “Tenemos demasiadas vulnerabilidades. Las empresas pequeñas, las bibliotecas, los departamentos de bomberos nunca podrán permitirse la tecnología y el talento de seguridad necesarios”.

La batalla debe pelearse en otro lugar, y ese lugar para empezar es Rusia. Allí, según los expertos, es donde se originan la mayoría de los ataquesOtros tres países -China, Irán y Corea del Norte- también son actores importantes, y el punto común obvio es que todos son autocracias cuyos aparatos de seguridad sin duda saben perfectamente quiénes son los hackers y podrían detenerlos en un minuto. Así que la presunción es que los delincuentes están protegidos, ya sea a través de sobornos -que, dados sus aparentes beneficios, pueden distribuir generosamente- o haciendo trabajos gratuitos para el gobierno, o ambas cosas.

Está claro que las bandas de ransomware se cuidan de no apuntar a las potencias que los amparan. Los analistas de seguridad descubrieron que el código de REvil estaba escrito de forma que el malware evita cualquier ordenador cuyo idioma por defecto sea el ruso, ucraniano, bielorruso, tayiko, armenio, azerbaiyano, georgiano, kazajo, kirguís, turco, uzbeko, tártaro, rumano o sirio.

Encontrar a los criminales no es el problema. El gobierno de Estados Unidos tiene los medios para identificar y detener a los posibles chantajistas en su propio territorio y para ayudar a los aliados a encontrarlos en el suyo. De hecho, Washington ha identificado y acusado a muchos ciberdelincuentes rusos; el F.B.I., por ejemplo, ha ofrecido una recompensa de 3 millones de dólares por información que conduzca a la detención de un tal Evgeniy Bogachev, alias “lucky12345”, un experto hacker del sur de Rusia cuyo malware ha provocado pérdidas financieras de más de 100 millones de dólares.

La clave es obligar a Putin a actuar contra ellos. En su cumbre con él en junio, Biden dijo que exigía que Rusia acabara con las bandas de ransomware que alberga e identificó 16 sectores críticos de la economía estadounidense sobre los que los ataques provocarían una respuesta.

Sin embargo, dos semanas después, REvil realizó el mayor ataque de su historia, pirateando Kaseya, una empresa que suministra software de gestión para la industria informática, y atacando a cientos de sus clientes de pequeñas empresas. Eso llevó a Biden a telefonear a Putin y a decir después que espera que actúe. Cuando un periodista le preguntó si retiraría los servidores de REvil si Putin no lo hacía, Biden se limitó a decir: “Sí”. Poco después, REvil desapareció abruptamente de la web oscura.

Por muy tentador que sea creer que Biden convenció a los rusos para que actuaran o que derribó los servidores de la banda con medios estadounidenses, es igualmente posible que REvil se oscureciera por su cuenta, con la intención, como ocurre tan a menudo en su oscuro mundo, de reaparecer más tarde con otras apariencias.

Mientras los hackers se centren en el chantaje comercial en el extranjero, Putin probablemente no vea ninguna razón para cerrarlos. No le perjudican a él ni a sus amigos, y pueden ser utilizados por sus espías cuando sea necesario. A diferencia de los piratas informáticos “oficiales” que trabajan para la inteligencia militar y que han sido sancionados por Washington y Europa por inmiscuirse en las elecciones o por hurgar en los sistemas gubernamentales, Putin puede negar toda responsabilidad por lo que hacen las bandas criminales. “Es una tontería. Es divertido”, dijo en junio cuando se le preguntó por el papel de Rusia en los ataques de ransomware. “Es absurdo acusar a Rusia de esto”.

Al parecer, los rusos también creen que pueden aprovechar su control sobre las bandas de ransomware para negociar con Occidente. Sergei Rybakov, el viceministro de Asuntos Exteriores que lidera la parte rusa en las conversaciones de estabilidad estratégica iniciadas en la cumbre Biden-Putin, así lo indicó cuando se quejó recientemente de que Estados Unidos se estaba centrando en el ransomware por separado de otras cuestiones de seguridad. El ransomware, insinuó, formaba parte de una pila mayor de fichas de negociación.

Eso, dijo Alperovitch, sugiere que Putin no aprecia la seriedad con la que el nuevo presidente estadounidense se toma el ransomware. Por razones que aún no están claras, Donald Trump, como presidente, estaba dispuesto a dar a Putin carta blanca para cualquier ciberataque. Biden, por el contrario, se ve a sí mismo como el campeón de las pequeñas empresas y la clase media, y es allí donde el ransomware duele más.

En The Washington Post, Alperovitch y Matthew Rojansky, un experto en Rusia que dirige el Instituto Kennan en el Wilson Center, sostienen que Biden debería enfrentarse a Putin con un mensaje claro: O se retira, o no. Si los rusos no lo hacen, escribieron los autores, la administración Biden “podría golpear a Rusia donde más le duele sancionando a sus mayores compañías de gas y petróleo, que son responsables de una parte significativa de los ingresos del gobierno ruso”.

Trazar líneas rojas para Rusia no suele funcionar. El mensaje se transmitiría mejor en privado, para que Putin no se viera obligado a dar marcha atrás públicamente ante Estados Unidos. Es posible que Biden ya haya transmitido ese mensaje. Si es así, debería estar preparado para cumplirlo.

El otro factor crítico del ransomware es la criptomoneda. No por casualidad, había pocos ataques de ransomware antes de que surgiera Bitcoin hace una docena de años. Ahora, los ciberdelincuentes pueden cobrar en una moneda que es difícil de rastrear o recuperar, aunque el gobierno de EE.UU. logró hacerlo cuando recuperó 2,3 millones de dólares del alijo de Colonial Pipeline.

La criptomoneda es, al parecer, una de las cuestiones que se abordan en la legislación que pronto presentará el Comité de Seguridad Nacional del Senado. Las fuerzas del orden federales también están instando al Congreso a aprobar una ley que obligue a las empresas de sectores industriales críticos afectadas por un ciberataque a informar al gobierno, y se está preparando una serie de otras leyes contra el ransomware.

Montar un ataque múltiple contra el ransomware llevará tiempo y esfuerzo. Idear formas de controlar la criptomoneda será, sin duda, complejo y tenso. Las empresas serán reacias a dañar su marca reconociendo que han sido hackeadas o que han pagado un rescate, y los legisladores han sido tradicionalmente recelosos de aprobar leyes que impongan cargas a las empresas.

Pero dejar que los hackers rusos sigan causando estragos en la infraestructura digital de Estados Unidos y del mundo con impunidad es un desafío inmediato y crítico. Si esto no se detiene pronto, una mayor escalada -y el crecimiento de sindicatos de ciberdelincuentes organizados en otras dictaduras- es casi seguro.

Hay que hacer entender a Putin que no se trata de geopolítica ni de relaciones estratégicas, sino de una nueva y amenazante forma de crimen organizado. Esto es algo que todo gobierno debería tratar de aplastar. Si se niega, Putin debe saber que será considerado cómplice y castigado como tal.

*Por el Consejo de Redacción de The New York Times, un grupo de periodistas de opinión cuyos puntos de vista se basan en la experiencia, la investigación, el debate y ciertos valores de larga data. Está separado de la redacción.