Los ciberataques a empresas catalanas han forzado rescates de hasta 3 millones de euros

Detrás de los ciberataques que están sufriendo empresas privadas y administraciones públicas en Catalunya y en el resto de España hay organizaciones criminales, que actúan casi siempre desde Rusia y que no escogen al azar sus objetivos. Los seleccionan. Así lo han hecho con Damm o con la Universitat Autònoma de Barcelona (UAB), dos instituciones extorsionadas en las últimas semanas que engrosan una lista de organismos afectados por un fenómeno en progresión y de difícil contención. “Si entran en el sistema y encriptan los datos, para recuperarlos no queda más remedio que pagar”, admite sin tapujos un agente de los Mossos d’Esquadra adscrito a la Unitat Central de Delictes Informàtics. El chantaje más caro que consta a la policía catalana asciende a 3 millones de euros. 

“Se ha convertido en una amenaza grave porque la pandemia ha multiplicado exponencialmente el uso de internet”, razona Ana Farrero, fiscal y delegada de Criminalidad Informática de la Fiscalía de Tarragona. “Tanto la vida privada como la pública pasan en la red y no sabemos cómo proteger nuestros datos”. A pesar de que las empresas tratan de evitar que salga a la luz pública que han sufrido este tipo de ataques, tienen la obligación de comunicarlo al Estado por una directiva europea que en España ha quedado por escrito en el real decreto 43/2021 de 28 de enero, recuerda Farrero, que añade que no se puede perseguir penalmente a las compañías que han perdido datos de ciudadanos en un ciberataque si habían tomado las precauciones adecuadas. “He visto empresas abonar a un cliente el dinero que un ‘hacker’ ha quitado a un cliente, asumen su responsabilidad”, asegura. 

La UAB rebaja el impacto del asalto de los 'hackers'

La puerta trasera

Los 'hackers' acceden a las redes privadas de las empresas a través de una “puerta trasera”, detalla el experto de los Mossos. Lo hacen a través del método conocido como ‘phishing’ –también llamado ‘pesca informática, consiste en enviar mensajes a todos los empleados hasta lograr que uno ‘pique’ y presione sobre un link que descarga un ejecutable que permite al intruso colarse en la red– o penetrando a través de conexiones VPN, que tras la pandemia han proliferado para teletrabajar remotamente desde un ordenador personal. “Si quieren entrar, acabarán haciéndolo porque para una compañía es imposible vigilar lo que van a hacer todos los usuarios”, subraya el policía. 

Una vez dentro, el intruso se pasará días en la red sin levantar ninguna sospecha. Se moverá “lateralmente” saltando de una máquina a otra, hasta que filtrarse a una que le dé acceso a un usuario con perfil de administrador, que en los sistemas de Microsoft acostumbra a permitir ejercer de controlador del dominio. Si lo logra, ya podrá instalar lo que desee en todos los dispositivos. El ciberataque comienza. 

Lo más habitual es que los ‘hackers’ instalen un ransomware que encriptará la información guardada en las máquinas de la red. Los empleados de la empresa podrán acceder a su ordenador pero solo para ver en la pantalla una nota informativa de lo ocurrido: los piratas tienen el control del sistema informático y exigen un pago. Lo que hoy equivale a decir también que tienen el control de la empresa. 

El rescate

Si unos ‘hackers’ rusos han encriptado información esencial para la empresa, las posibilidades de desencriptarla sin su clave son casi nulas. “Es una doble extorsión porque, por un lado, no ceder al chantaje supone volver a empezar desde cero –formatear todas las máquinas, se pierde todo el trabajo– y, por el otro, porque los atacantes también amenazan con difundir en internet información sensible de los clientes”, explica el agente. 

Los Mossos no van a aconsejar nunca ceder a la extorsión. Porque ni existen garantías de que al pagar un rescate los ‘hackers’ vayan a facilitar la clave ni tampoco las hay de sufrir un segundo ataque. Pero a muchas compañías no les queda más remedio que negociar e ingresar el dinero solicitado. Y piden millones de euros. Una compañía privada como Damm puede decidir pagar. Una universidad pública como la UAB, no. 

La impunidad

Existe una plataforma gestionada por la Interpol que informa de claves útiles contra algunos virus de ransomware. Sin embargo, los ‘hackers’ desarrollan programas nuevos. “E incluso los ceden a otros ‘hackers’ a cambio de un porcentaje de los beneficios”, explican desde los Mossos. La cruda realidad es que van por delante. Y estas organizaciones criminales además cuentan con la nula colaboración con las policías europeas de gobiernos como el ruso u otros países del Este. “Dentro de Europa la cooperación es buena pero fuera, y siempre están fuera, la cosa se complica mucho”, subraya el agente, que añade que para los policías resulta “frustrante” no poder detenerlos tras averiguar dónde se encuentran los 'hackers'.

Los consejos

Los Mossos aconsejan a las empresas guardar siempre las copias de seguridad en lugares no conectados a la misma red de trabajo. Esto es fundamental: si las copias están conectadas a la misma red, también quedarán inutilizadas. La policía catalana también recuerda que la ley obliga a encriptar los datos más sensibles, los que afectan a la intimidad de los ciudadanos, por ejemplo. Si se esa información está cifrada, el ransomware de un ciberataque no le afectará.

Suscríbete para seguir leyendo