El Cryptolocker, la nueva modalidad de ciberataque de cuya presencia en Pontevedra dio cuenta este periódico hace ya varias semanas, sigue haciendo estragos entre las Pymes de la provincia. Si el 12 de abril eran una decena las empresas que habían sido objeto de los delincuentes virtuales (según los datos de la Brigada de Investigación Tecnológica de la Guardia Civil de Pontevedra), 19 días más tarde las denuncias ya alcanzaban la treintena, a las que se deben sumar innumerables tentativas que, por suerte para las víctimas, pudieron ser frenadas a tiempo por los sistemas antivirus o por la pericia de los usuarios de los equipos informáticos de cada empresa.
La jornada de ayer fue especialmente virulenta. Los individuos, aún por identificar, que están detrás del Cryptolocker, lanzaron ataques masivos contra varias empresas. Media docena de ellas pusieron los hechos en conocimiento de las autoridades, que ven cómo se les acumula el trabajo mientras sus medios materiales y humanos no varían.
ASÍ ATACA. El modo de penetrar en las empresas por parte de este virus es tan sencillo como efectivo: un correo electrónico perfectamente enmascarado, habitualmente a través de un disfraz que le confiere el aspecto de uno de los contactos diarios de la firma que es objeto del ataque, esconde un troyano que encripta (de ahí el nombre de Cryptolocker) todos los archivos informáticos de la empresa en cuestión. La solución que le presentan a la víctima del ciberataque es el pago de un rescate que, por lo que se ha visto hasta el momento, no sirve de nada. Más bien al contrario, pues el proceso es aprovechado por los delincuentes para infectar todos los equipos que hallan a su alcance.
TODOS LOS SECTORES. El nuevo virus se dirige a empresas de todos los sectores, desde abogados hasta la industria conservera pasando por los medios de comunicación, los servicios básicos y las gestorías, según pudo saber este periódico. Firmas de O Morrazo, O Salnés, O Deza y Pontevedra han sido objeto de ataques mediante Cryptolocker en fechas recientes.
Las personas que manejan los entresijos del virus conocen perfectamente sus objetivos y las debilidades de las potenciales víctimas. En los últimos días, por ejemplo, las Fuerzas y Cuerpos de Seguridad del Estado han detectado ataques relacionados con la campaña de la Renta recién iniciada, con las empresas de asesoría y sus clientes como principales objetivos.
José Torres, uno de los mayores expertos en la lucha contra la criminalidad informática de la Guardia Civil, explicó hace algunas semanas a este periódico los detalles técnicos sobre el modo de actuar del virus. «Es un troyano del tipo ransomware, un software desarrollado para inutilizar y secuestrar los equipos informáticos. La información no se destruye a través de este tipo de malware, simplemente permanece en el equipo, pero cifrada».
El Cryptolocker, una evolución del Virus de la Policía, se sirve de disfraces que suplantan a contactos habituales de las empresas
El investigador subrayaba entonces que esta modalidad delictiva «opera a través de un sistema muy complejo, de tal forma que si no tienes la contraseña es prácticamente imposible recuperar la información. Los algoritmos utilizados para el cifrado son sumamente robustos».
Respecto al pago del rescate que solicitan los ciberdelincuentes, el experto tiene claro que «eso no garantiza la recuperación de la información. No olvidemos que estamos tratando con delincuentes. En ocasiones algunos empresarios han accedido al pago del rescate y han recibido un archivo que, en lugar de servir para la recuperación de los datos encriptados, lo que hacía era sustraer la información de la empresa».
TRANSACCIONES. El pago del rescate solicitado por las personas que están detrás del Cryptolocker solo se puede hacer a través de la Deepweb, la parte de Internet que no se encuentra en los cauces comunes de tráfico de usuarios.
Es en esa red oscura donde se ubican muchas de las organizaciones criminales de la actualidad, que aprovechan las dificultades para su segumiento. La Darknet dispone de un sistema propio para llevar a cabo transacciones económicas que evita su rastreo al tiempo que eleva el nivel de seguridad para quienes hacen uso de él. Para ello emplean criptomonedas, siendo la más utilizada el bitcoin, una divisa virtual que nació en el año 2009 y que se compra y se vende a través de Internet a cambio de dinero real. Un bitcoin cuesta unos 210 euros, según los datos más recientes que manejan los investigadores.
SEGUIMIENTO. En cuanto al seguimiento de los correos electrónicos (como los que infectan a los equipos a través del Cryptolocker), es prácticamente imposible en la red oscura, dado que una de sus características básicas es que no se puede volver atrás cuando los datos pasan de un servidor a otro, como en la red tradicional.
Uno de los nuevos disfraces que se han visto en las últimas horas es un modelo muy similar al del antiguo Virus de la Policía, aunque ahora el troyano se esconde detrás de un presunto e-mail de aviso de llegada de un paquete que remite el servicio de Correos. La pantalla falsa remite a un enlace que, cuando se abre, infecta al equipo en cuestión y a todos los que estén conectados con él en ese momento.
