Qué es el ransomware y cómo fue el hackeo a la CNV

La base de datos de la Comisión Nacional de Valores (CNV) fue intrusada por un grupo de hackers conocidos como Medusa, que aplicaron contra la entidad el tipo de ciberataque conocido como ransomware. De este modo, los delincuentes cibernéticos lograron encriptar datos y documentos del organismo y piden por su ‘rescate’ unos u$s500.000, que deben ser entregados antes de que transcurran los próximos siete días.

El tipo de hackeo que es el que sufre en estos momentos la CNV tiene sus propia lógicas y normas internas que lo convierten en un fenómeno complejo que, a la vez, necesita de varios integrantes y una sofisticada estructura en red para funcionar.

Se conoce como ransomware a un tipo de software malicioso que se introduce en el sistema informático de una empresa o, como en el caso de la CNV, de un organismo estatal para bloquear o cifrar sus datos, de modo que las víctimas de este ataque no puedan acceder a su propios archivos con información. A continuación, los ciberdelincuentes que toman el control de los equipos de esa entidad, y que toman sus datos como rehenes, piden un dinero de ‘rescate’ -’ransom’, en inglés- para volver a “liberarlos”, es decir, para devolver, a cambio de dinero una llave digital que vuelve esos archivos a su estado original.

Esta metodología criminal requiere, para su desarrollo, de una organización compleja y bien orquestada. Un verdadero modelo de negocios que se conoce como Ransomware as-a-Service (Raas; ransomware como servicio) que, en los últimos años y a través de diversos ataques con sus respectivos pedidos y pagos de rescate, han movido una cantidad inmensa de dinero.

De acuerdo con un informe de la Red de Control de Delitos Financieros (FinCEN) de los Estados Unidos, durante 2021 esa oficina recibió 1489 presentaciones relacionadas con incidentes de ransomware por el valor de casi u$s1200 millones.

“El RaaS es una industria que mueve más dinero que la venta de armas o la trata de blancas. Y eso es solamente lo que podemos trackear (rastrear), pero con aquellos pagos que no podemos ver, pues es lo que se llama la underground economy, probablemente el monto es mucho más grande, como el doble o el triple”, explicó al diario La Nación Marc Rivero, Investigador Senior de Seguridad de Kaspersky.

Rivero, investigador español que también es coordinador del Máster en CiberSeguridad de La Salle en Barcelona, apunta que es necesario “desinfantilizar” el tema; que no se trata de “cuatro cibercriminales jóvenes que prueban suerte en el mundo de cibercrimen”. Por el contrario, “esto es una mafia, hablamos de gente cuyo trabajo es, a jornada completa, hacer cibercrimen. Gente muy profesional”.

El experto en ciberseguridad describió el esquema de cómo se organizan los grupos dedicados al RaaS: “Yo asemejo el tipo de modelo con la película El Padrino. Tenemos un capo que desarrolla la muestra y luego tenemos los esbirros que, además, se dividen por niveles”.

En esta estructura primero está “la cabeza pensante”, el líder, que, según Rivero, “suele estar ligado al desarrollo principal de esa familia de ransomware, pero también es alguien que tiene muchísimo dinero y recursos para poder orquestar campañas de este tipo”.

Más abajo pueden encontrarse a los operadores de ransomware, por un lado, y los afiliados, por el otro. Los primeros facilitan el softwatre malicioso capaz de aprovechar un agujero de seguridad y penetrar los sistemas de la víctima, y los segundos “hacen el trabajo sucio de infectar, distribuir y cifrar a la organización atacada”, explica Rivero. Los afiliados, además, pueden trabajar con múltiples grupos al mismo tiempo. Así, por ejemplo, se sabe que grupos como REVil y Lockbit compartieron este tipo de ciberdelincuentes en varias ocasiones.

Y para completar este ecosistema de ciberdelincuencia, existen también los agentes conocidos como Initial Acces Brokers (IAB) o Agentes de Acceso Inicial. “Son un grupo de cibercriminales cuyo único objetivo es ganar acceso ilícito a las empresas y proveen esos accesos a otros cibercriminales. Ellos fijan un precio de venta por su servicio y además un porcentaje del pago de rescate”.

Según el sitio especializado en Tecnología de la información Cio de México, las tarifas de los IAB oscilan entre los u$s303 por acceso al panel de control y los u$s9874 por facilitar el ingreso al RDP de una compañía. Además, se suma el porcentaje del rescate, que puede superar el 50 por ciento del dinero pagado para recuperar los archivos.

Con una estructura de trabajo con tantos “empleados”, que tienen que sí o sí relacionarse entre ellos, la pregunta es: ¿cómo es posible que los integrantes de los grupos implicados en el RaaS no puedan ser detectados? “Se basa en su modelo de funcionamiento -detalla Rivero-. Utilizan chat privados, correos cifrados, es muy complicado trackearlos. Se mueven además en el mundo underground dentro de foros de la red TOR. Nosotros conocemos la web normal, la de Google, y luego está la web profunda, que es a la que se accede usando un software especial y ofrece garantías de anonimato al que la usa”.

El ataque

Al igual que otros tipos de software maliciosos, el ransomware se propaga dentro de una entidad por diversas vías. Puede ser a través de campañas de spam, o aprovechando las vulnerabilidades o malas configuraciones de software de las empresas, o mediante actualizaciones de software falsas, canales de descarga de software no confiables y herramientas de activación de programas no oficiales.

Una vez que acceden al sistema de una compañía, los agentes del RaasS pueden ejecutar cuatro acciones que se conocen con las siglas LEDS (iniciales en inglés de las palabras bloquear, cifrar, eliminar y robar). Se bloquea el acceso a un activo del sistema, como un bloqueo de pantalla o el ingreso a una aplicación. Se cifra o encripta un activo, esto es, se lo vuelve inaccesible para el usuario. Se roba y se lo deriva a un archivo o carpeta secreta y, en ultima instancia, se lo elimina, de modo que ese activo sea irrecuperable para siempre.

“En cuanto a la info que bloquean, ellos van a tratar de robar datos que saben que son confidenciales: de usuarios, datos de cuentas, de propiedad intelectual, lo que ellos saben que si lo llegan a publicar es un impacto”, explica el investigador de seguridad y añade que, además del daño evidente por el robo de datos, la compañía recibe un impacto en su reputación.