Una nueva modalidad de delito informático que secuestra datos y pide rescate en bitcoins (una moneda virtual) ha llegado a Mendoza, después de afectar a usuarios de varios países. Se trata de un virus llamado Locky, que actúa con una particularidad: captura información valiosa de sistemas informáticos y luego exige el pago por el rescate. Los casos empezaron a conocerse a fines de febrero.
En la provincia son al menos cuatro las firmas e instituciones atacadas en los últimos días. Algunos accedieron al pago, otros no.
Una de las compañías afectadas fue UNO Medios, que perdió información valiosa porque la decisión fue no cancelar la recompensa que se exigía: 5,1 bitcoins, el equivalente a U$S2.500. Las embestidas en esta empresa en particular son incesantes: a un promedio de 100 por día o más: en 30 días fueron 3.900 ataques.
El virus Locky también pretendió infiltrarse en las computadoras de AYSAM (Aguas Mendocinas), que no quedaron infectadas porque el sistema logró detectarlo a tiempo. Tras el primer ataque siguieron otros, por lo que la firma tomó todos los recaudos del caso.
También fue embestida una empresa metalúrgica de primera línea con operaciones en varios puntos del planeta. En segundos se contagiaron 180 computadoras.
Las dos últimas tampoco pagaron rescate, pero tuvieron que elevar al máximo las medidas de seguridad.
El cuarto caso conocido es el de una financiera local, que a cambio de desencriptar sus archivos de-sembolsó el equivalente a 8.500 euros en bitcoins.
El origen del mal
Todo comienza cuando un usuario recibe un correo electrónico que parece confiable. ¿Por qué no llama la atención? Porque está en español, tiene un asunto de interés para el remitente y parece importante. Además, llegan desde una cuenta de correo conocida. Por eso es difícil de imaginar que esconde el temible virus.
A modo de ejemplo: a UNO Medios llegaron correos a las cuentas oficiales de periodistas con asuntos del estilo: "Todo sobre la visita de Obama a Cuba". Y encima, desde cuentas que simulan ser oficiales o internas.
En el caso de la metalúrgica se infiltraron a través de correos de empleados que estaban en Venezuela. Por lo general llevan un archivo adjunto de Microsoft Word con la extensión .doc.
El correo en cuestión contiene un troyano. Así se llama a este tipo de virus escondidos, que se conocen con el nombre de ransomware.
Los virus informáticos existen desde hace mucho, pero la particularidad de este nuevo atacante es que se camufla bajo modalidades nuevas. Su expansión "mejoró" desde que aprendió a esconderse en correos electrónicos que, además, están en español.
Una vez abierto, sugiere al usuario habilitar un programa; ahí empieza a buscar materiales que encripta y la única forma de recuperarlo es abonando rescate.
Cómo termina este operativo delictual: el virus cifra el contenido y se borra a sí mismo del sistema, dejando las instrucciones o pasos a seguir para recobrar los archivos.
El Locky es capaz de cifrar más de 100 extensiones, es decir prácticamente todo lo que un equipo pueda tener almacenado: imágenes en archivos JPG, bases de datos, videos, proyectos de programación, archivos comprimidos como ZIP y más. Todos son cifrados con la extensión .locky.
Además, cambia el fondo de pantalla por el aviso de rescate (ver ilustración de la página anterior) y crea un archivo de imagen y uno de texto y los abre para mostrar las instrucciones de pago.
Voces de especialistas
Como se ha explicado, UNO Medios decidió no acceder a las pretensiones de los ciberdelincuentes.
José Luis Sabio, gerente de Sistemas de la firma, y José Huenuman, responsable de Seguridad Informática de Supercanal, coinciden en que no hay que pagar, para no avalar el delito.
"Ceder a la extorsión es retroalimentar el circuito. La semana pasada estuve en un congreso de seguridad informática, donde se habla cada vez más de estos temas. La recomendación es no pagar para no alimentar a estas organizaciones. Son redes que operan en todo el mundo. No son simples jovencitos haciendo travesuras. Se calcula que en el primer trimestre de este año este tipo de delitos informáticos ha movido U$S300 millones en el mundo", detalló Huenuman.
Sabio acotó que para ejecutar el pago, una de las alternativas es hacerlo mediante tarjeta de crédito, exponiéndose así a que usen también esos datos.
En el caso de AYSAM, el ataque de Locky no provocó daños, porque los equipos de seguridad lograron detectarlo a tiempo.
"El ataque se produjo el miércoles 23, entró por correos electrónicos. A partir de ese momento recibimos alertas de los ataques que se siguen sucediendo. Pero hasta ahora lo hemos podido controlar", expresó Gabriel Marchiori, jefe de Sistemas de la empresa que brinda el servicio de agua y cloacas en Mendoza.
Por su parte, Fernando Castillejo, gerente corporativo de Sistemas de otra compañía, contó que en su firma elevaron los niveles de seguridad, las alertas y divulgaron recomendaciones para evitar caer.
La web profunda
Los ciberdelincuentes operan desde cualquier punto del mundo; pueden estar físicamente en Londres, Rusia, Vietman o Argentina. "Actúan desde la web profunda (deep web)", explicó José Luis Sabio.
"Es un espacio que se caracteriza porque se acciona desde computadoras en las que no se puede rastrear el origen de los servidores como ocurre con los sistemas informáticos tradicionales. Son máquinas zombies, que están enmascaradas detrás de otras. Por eso es dificultoso conocer la procedencia de los virus y dar con los responsables. Para peor, las legislaciones en materia de delito informático no son claras ni precisas".
Apetecibles
Las presas preferidas de estas organizaciones son las empresas grandes, con mucho tráfico de información, que están bastante expuestas y poseen varias cuentas de correo corporativo, que abre cada empleado sin supervisión.
"Son ataques semidirigidos. Desde hace unas semanas nosotros recibimos hasta 100 por día", se lamentó Sabio.
Cómo denunciar
Como se trata de delitos donde la mano del atacante está muy oculta, las denuncias son escasas y las investigaciones casi nunca llegan a buen fin. Las condenas a los delincuentes del ciberespacio, por ende, son casi nulas.
La mayoría de las veces las víctimas ni siquiera se toman el trabajo de informar a las autoridades, porque saben de este complicado panorama.
"Insume mucho tiempo, hay que aportar pruebas y al final del camino no se consigue nada", admitió Sabio.
Las denuncias deben cumplimentarse en la División Delitos Informáticos de la Policía Federal.
José Huenuman, responsable de Seguridad Informática de Supercanal, contó que en el caso de la Policía Metropolitana de la Ciudad de Buenos Aires se han enfocado en trabajar en este tipo de delitos.
"La realidad es que en el país los organismos competentes cuentan con escasos recursos para resolver las causas", cerró.