En la entrega previa (https://shorturl.at/fdQJ8) relatamos la crisis de la empresa privada “Colonial Pipeline”, que el 6 de Mayo de 2021 advirtió con horror que estaba siendo extorsionada por un grupo de delincuentes, que opera en la Internet y se hace llamar “Darkside”.
El 8 de Mayo esa organización privada hizo público una declaración donde admitía que era víctima de un ataque tipo “Ransomware”, que la obligó a desactivar su oleoducto de 4 líneas sobre el sureste de EE.UU., con una cobertura mayor a 8.850 kms de longitud. Desde la tarde del día previo, Colonial Pipeline había puesto en marcha su protocolo de respuesta, que incluía contactar al FBI y a la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA).
Por su parte, mientras la organización actuaba el ataque también progresaba, desde un inicio con una amenaza persistente contra Power-Shell, que abrió un boquete en la red, a una segunda etapa con instalación de 17 cuentas de usuarios que darían otros accesos a los delincuentes, a través de mecanismos del tipo puertas traseras. Para ello se explotaban numerosas vulnerabilidades de software sobre protocolos obsoletos, que habilitaban 142 puntos finales (“endpoints”) distintos de entradas remotas, los cuales a su vez, se resguardaban con protecciones tipo de redes virtuales privadas (VPN). Al parecer las credenciales necesarias para el ingreso a las VPN y detalles de las debilidades de los sistemas, Darkside las había estado negociando, en foros oscuros de la red de redes, desde Marzo de ese mismo año. También se engañaron los sistemas de detección de intrusos (“IDS”) usando conexiones HTTP cifradas y se sobrepasaron diferentes segmentos de la red, cuyo diseño era correcto para aislar tráfico de direcciones IP, pero resultaban deficientes en el momento de limitar suplantaciones de direcciones, así como para resistir alteraciones indebidas de reglas.
Frente a esa batalla en el ciberespacio de Colonial Pipeline, cada minuto que transcurría la alta gerencia corporativa encaraba las dos grandes preguntas: ¿cuándo se recuperará el control? y ¿cuánto dinero perderemos con esto?. A ese dilema podemos suponer, que por la naturaleza del negocio centrado en el oleoducto, esa plataforma resulta ser una infraestructura crítica de la nación y ello debió producir una presión de parte de la gobernación, consultando cuándo se normalizaría el flujo de combustible. Coyunturalmente, a partir de 2019 los tipos de cifrados que usa el “Ransomware” se fortalecieron considerablemente, usando algoritmos como el Algoritmo de Cifrado Simétrico (AES) y el de flujo, asimétrico y bajo consumo computacional ChaCha20, que elevan el costo y duración de cualquier ataque de fuerza bruta, para conseguir la clave simétrica que revertiría el daño a los datos. El hecho es que la alta gerencia cedió a las demandas de Darkside y pagó el rescate exigido de 75 bitcoins.
La decisión puede resultar discutible pero el problema no tiene solución fácil; incluso en 2019 en una conferencia del área un agente especial del FBI, recomendó públicamente pagar el rescate, “así de bueno es el ransomware” dijo en esa oportunidad el sujeto. Y aunque actualmente esa no es la postura oficial de ese cuerpo de seguridad, las estadísticas y los casos conocidos muestran que la práctica de buscar el dinero y cancelar la demanda, sucede en muchos casos. Segun un reporte del 2025 de Sophos®, el 85% de los incidentes termina con la víctimas pagando el rescate. El reporte también expresa que el costo promedio de recuperación, sobre ese tipo de ataques es aproximado a US$1,5 millones, tomando además un 53% de incidentes como valor de media, de tiempo de una semana que se consumió para normalizar las actividades después de haber pagado el rescate. Estas estadísticas son malas para los cuerpos de seguridad y peor para las empresas, potenciales víctimas.
De cualquier forma, el remanente de consecuencias que sufre posteriormente las organizaciones que sufren el “ransomware” es significativo. Un 25% de incidentes finalizan con despidos sobre el personal de tecnología, en otros casos un sentimiento de culpa y desconfianza invade a numerosos empleados. También hay secuelas psicológicas entre los gerentes y técnicos especialistas. A eso hay que agregar, que surge el temor de que se repita la situación, sea porque los delincuentes dejaron entradas aún ocultas o aparezcan nuevas debilidades que favorecerían repetir la pesadilla. Para el caso de empresas que no pueden ocultar haber sido víctimas, el daño a su reputación puede ser también notable y afectar futuros negocios. Si usted explora el otro camino, no pagar y tratar de cubrir los costos de restauración, estos pueden resultar elevados y existe la posibilidad de que los criminales desaparezcan y salgan impunes de su fechoría; algo más fácil de lograr en el ciberespacio que en el mundo físico. Adicionalmente, existe la probabilidad de que los delincuentes, como retaliación a la negativa de pagar, liberen datos confidenciales en la Internet.
Para el caso de Colonial Pipeline semanas después de que todo pareció haberse resuelto, el FBI recuperó 68 Bitcoins (US$3.2 millones estadounidenses), tras haber realizado una estricta operación de rastreo a las transacciones con criptomonedas. Esto deja ver que hay muchos mitos referentes al real anonimato con los criptoactivos, pero eso lo discutiremos en otra oportunidad. El asunto es que se estima que Darkside logró obtener 1.2 millones de dólares, por lo que suponiendo que invirtió algo en sus instrumentos malignos, debió tener una ganancia significativa. Incluso se permitieron hacer una declaración pública final, donde dijeron que no actuaron por razones políticas, sino estrictamente por lucro, pero que lamentaban los inconvenientes para la ciudadanía; todo un descaro. Es por este tipo de casos que muchos perciben al “ransomware”, como un modelo de negocios sostenible para los criminales y ello lamentablemente alienta a otros malos.
En la próxima entrega analizaremos a fondo las causas de esta situación de debilidad, ya que por ahora concluimos recordando un vaticinio de la ex sargento de policía e instructora en la academia policial, Debra Littlejohn Shinder, quien se cambió de profesión al mundo de las TIC y en 2002, escribió su libro Escena del Cibercrimen: Manual Forense de Computadoras, donde afirmó: “La forma en que los delincuentes cometen delitos también está cambiando. La accesibilidad digital universal abre nuevas oportunidades para personas sin escrúpulos. Millones de dólares se pierden a manos de delincuentes expertos en informática, tanto por parte de empresas como de consumidores. Peor aún, las computadoras y las redes pueden utilizarse para acosar a las víctimas o prepararlas para ataques violentos, incluso para coordinar y llevar a cabo actividades terroristas que nos amenazan a todos. Desafortunadamente, en muchos casos, las fuerzas del orden se han quedado atrás de estos delincuentes, careciendo de la tecnología y el personal capacitado para abordar esta nueva y creciente amenaza, acertadamente denominada ciberdelito.
Autor: Miguel Torrealba Sánchez.
Universidad Simón Bolívar
Departamento de Computación y Tecnología de la Información
mtorrealba@usb.ve
