A comienzos del pasado mes de julio, se hizo público un ataque masivo con el ransomware REvil que alcanzó cifras récord de un millón de sistemas afectados y peticiones de rescate por valor de 70 millones de dólares.
Multitud de las compañías e instituciones públicas (hospitales, escuelas, etc.) afectadas por el ciberataque se enfrentaron entonces a una disyuntiva: pagar enormes cantidades de dinero para recuperar sus datos, o formatear y rehacer desde cero.
Ninguna de las opciones era buena, y seguro que los responsables de las mismas hubieran deseado poder contar con una tercera opción: poder desencriptar los archivos secuestrados usando una clave de descifrado. Una pena que no tuvieran entonces esa opción…
¿Mejor datos en mano que hackers volando?
O eso pensaban hasta ahora, cuando se ha descubierto que el FBI, tras acceder a los servidores de los creadores de REvil, ya se había hecho para entonces con la citada clave de desencriptación… pero decidió no utilizarla, tras discutirlo con otras agencias estadounidenses, para no poner sobre aviso a REvil.
La idea era no desvelarle al grupo de cibercriminales que habían accedido a sus servidores, y así aprovechar para cerrar todas sus operaciones. Pero entonces, el 13 de julio (habiendo pasado dos semanas desde el comienzo de los ciberataques), repentinamente REvil se replegó y el FBI les perdió la pista.
Se podría pensar que, en ese momento, el FBI ya no tenía ningún motivo para mantener en secreto la clave de desencriptado del ransomware. Pero, aun así, por motivos que aún no han quedado bien explicados, no compartió con nadie su existencia hasta una semana más tarde, causándole de paso un grave perjuicio a las víctimas de los ciberataques.
Hace dos días, el director del FBI, Christopher Wray, se justificó en el Congreso estadounidense alegando que se había tratado de “una decisión compleja” pero “no unilateral”, y dio a entender que la semana extra de tardanza a la hora de liberar la clave venía motivada por la necesidad de “probar y validar” la misma, como si no se hubiera podido hacer discretamente durante las dos semanas previas.
Maryland JustTech, una empresa con más de un centenar de clientes atacados, fue una de las afectadas por la decisión del FBI. Joshua Justice, su propietario, resume así su opinión:
“Hubo personas adultas que me contactaban llorando, por persona y por teléfono, preguntándome si su negocio iba a poder seguir abierto. […] Habría estado bien obtener la clave de descifrado tres semanas antes de que cuando por fin lo hicimos, pero para entonces ya habíamos iniciado una restauración completa de los sistemas de nuestros clientes”.
Por cierto, los expertos en ciberseguridad han denunciado que, tras estos meses de silencio, los miembros de REvil han vuelto a dar señales de vida en la Dark Web, y que sus servidores vuelven a estar operativos.
Pero, ojo, aquí hay reproches para todos, y ahora ha salido a la luz que, al igual que muchos contribuyentes se sienten traicionados por la decisión del FBI, también muchos de los antiguos ‘socios’ de REvil se sienten estafados por ellos.
No hay honor entre ladrones
El ‘servicio’ que ofrece REvil suele recibir la etiqueta de ‘Crime-as-a-Service’, un sistema por el que individuos y grupos con capacidades tecnológicas no tan avanzadas son capaces de externalizar parte del esfuerzo necesario para realizar los ciberataques (en este caso, desarrollar el ransomware y alojar toda la infraestructura necesaria para su funcionamiento), compartiendo ingresos de los rescates con sus proveedores de ‘CaaS’.
De esta forma, el ransomware REvil funcionaba como una ‘red de afiliados’ en la que éstos —los encargados de realizar el trabajo sucio de comprometer e infectar las redes de las organizaciones atacadas— reciben el 70% de los ingresos de los rescates.
Sin embargo, los expertos en malware acaban de detectar una puerta trasera en el ransomware que permitía a los desarrolladores (teóricamente, pues no se sabe si se llegó a usar esa opción) estafar a los afiliados y quedarse con su parte del botín sin su conocimiento: a ojos de aquellos, parecería que la empresa que atacaron había preferido no pagar y perder sus datos… mientras, realmente, estaban negociando el pago del rescate directamente con los desarrolladors de REvil.
