El 14 de febrero de 2021 un miembro de un grupo de un foro en Deep Web compartió una entrevista con uno de los ciberdelincuentes presuntamente responsable de algunos de los ataques de ransomware más recientes. Entre ellos, el que ha motivado el volcado de información de más de 119 GB de datos confidenciales del Ayuntamiento de Castellón. Este es un resumen, basado en las declaraciones de dicha entrevista, que nos permite captar un perfil de quiénes se están dedicando a estas actividades, y cómo son estas personas.
El señor Z nació al este de Ucrania, donde reside. Actualmente es parte de la autoproclamada República Popular de Donetsk, donde la mayor parte de su territorio está controlado por el gobierno ucraniano. Este individuo afirma que fue a principios de 2019 cuando se unió de manera profesional a uno de los grupos de extorsión de ransomware.
También cuenta sus primeras andanzas de piratería con la escuela como escenario. Su infancia consistió en pasar entre 8 y 10 años en el mundo de los videojuegos. Concretamente en servidores pirateados de World of Warcraft y Lineage 2. Evidentemente es joven, y lejos de unir los conceptos de videojuegos y ciberdelincuencia, nos permite ver que es miembro de una generación muy cercana a la tecnología. No obstante, trabajó en algo relacionado con la venta de comestibles, y según él mismo tiene una discapacidad visual severa, y plantea pasar por una operación para corregirla este verano.
Cuando le preguntan por las motivaciones que le llevaron a unirse a estos grupos de delincuentes la respuesta es la situación de guerra que se vive en su país y una novia. El señor Z trabaja en equipo, y algunos de sus integrantes son sus mejores amigos.
El rédito del ciberdelincuente: 4.000 dólares en tres días
Lo fácil que es para estas personas lucrarse con estas actividades se ve en que alardea de que la “operación” más fácil que ha ejecutado fue el secuestro de la información de un solo PC por el que obtuvo en tres días 4.000 dólares. Sin embargo, la operación en la que estaba en esos momentos involucrado contemplaba el acceso a una red de 30.000 equipos. La tasa de éxito que consiguen en estas intervenciones es de más de un 60% en las redes corporativas, y la mayor problemática que tienen para infiltrarse, por la complejidad de un entorno tan diferente al occidental, son las japonesas y chinas.
Sus herramientas preferidas van desde Nmap, un escáner de vulnerabilidades, a Cobalt Strike, un “testeador” de seguridad. Por supuesto Kali Linux, la distribución más popular en el mundo de ciberseguridad, y Windows 10. Los exploits, las “llaves de acceso”, suelen obtenerlas de repositorios públicos de Github.
Uno de los exploits que utilizan más habitualmente es Eternal Blue. Este exploit lo desarrolló la NSA americana ocultándolo a Microsoft hasta 2017, cuando fue descubierto por ser el responsable del uno de los ataques mayores de ransomware a escala mundial: WannaCry en mayo de 2017.
A pesar de que, lógicamente, nos fijamos en los efectos en marcas o instituciones españolas de estas actividades, este individuo afirma haber vulnerado las redes e infraestructuras de más de 1.500 marcas. Algunas muy conocidas. Y en países que van desde la India a México. Y yo, visto lo que uno ve, le creo.
Su sueño no es ser un Youtuber y vivir en Andorra. Consiste en ser el jefe de un grupo de ransomware que le permita ganar un millón de dólares. Simplemente, lo dice él, esto lo hace porque con su discapacidad y su situación le impide ganar las cantidades que gana haciendo hacking “ético”. Por eso asegura que hace lo que hace.
Todo esto que les cuento es real. Lógicamente omito detalles por sentido común, y responsabilidad. Les invito a leerlo en clave de reflexión. El por qué suceden estas cosas. Y a recordar lo que Sun Tzu decía en “el arte de la guerra”: “Evita lo que es fuerte, ataca lo que es débil”. En este caso lo que es débil, somos nosotros.
Menudo mundo...