:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/elfinanciero/SUFN6FP2PMZGFSDJWUF7BI67BQ.png)
El negociador entró en la sala de chat cuatro días después del ataque. Los hackers habían secuestrado varios servidores utilizados por el departamento de epidemiología y bioestadística de la Universidad de California en San Francisco (UCSF) y pedían un rescate de 3 millones de dólares. El viernes 5 de junio, a las 18:50 horas, un negociador de la UCSF recibió instrucciones de los hackers para entrar a una página en la web oscura, donde aparecían listadas las presuntas víctimas. Junto al nombre de la universidad había un cronómetro en cuenta regresiva hasta la fecha límite de pago, decía: 2 días, 23 horas, 0 minutos. Si el contador llegaba a cero, añadía el mensaje de rescate, el precio se duplicaría.
El negociador de la universidad les dijo que el ataque llegaba en el peor momento. El departamento trabajaba con urgencia para desarrollar algún tipo de tratamiento o vacuna para el COVID-19, e insinuó que los investigadores no habían tenido tiempo para respaldar debidamente sus datos. "Hemos invertido casi todos los fondos en la investigación de COVID-19 para ayudar a curar esta enfermedad", escribió el negociador anónimo en el chat, esperando comprensión. "Eso, además de todos los recortes debido a la cancelación de clases, ha afectado a toda la escuela".
El representante de los hackers, con el alias de 'Operador', replicó que una escuela que recauda más de 7 mil millones de dólares en ingresos cada año no debería tener problemas para conseguir unos pocos millones más. "Tienes que entender, para ustedes como una gran universidad, nuestro precio es insignificante", señaló. "Puedes conseguir ese dinero en un par de horas.
Deben tomarnos en serio. Si publicamos en nuestro blog los registros/datos de los estudiantes, estoy seguro de que perderán más dinero de lo que pedimos". Para ese momento, los hackers habían compartido una muestra de datos de los servidores secuestrados que indicaban que, efectivamente, tenían información bastante sensible.
Bloomberg Businessweek recibió una transcripción completa del chat entre el Operador y el negociador de la UCSF a través de una persona con acceso a la clave digital del chat. Dichas contraseñas suelen distribuirse a los miembros del equipo interno de respuestas a crisis, las autoridades y los consultores privados. La universidad confirmó la extorsión, pero afirmó que la transcripción no debe tomarse al pie de la letra porque "las declaraciones y afirmaciones hechas por cualquiera de las partes estaban en el contexto de una negociación".
Con todo, la transcripción proporciona una mirada poco común a los ataques de ransomware, generalmente descritos de manera impersonal en las estadísticas del FBI, documentos regulatorios y declaraciones oficiales. A las víctimas no les gusta admitir que los hackers violaron su seguridad o que pagaron el rescate. El Operador, en este caso, dirigió una negociación que guardaba muchas similitudes con un secuestro de carne y hueso de la vieja escuela. La principal diferencia es que los secuestradores que representaba habían 'levantado' datos, no personas.
En cierta forma, el coronavirus ha impulsado el negocio del ransomware que ya proliferaba en los últimos años, especialmente en Rusia y Europa del Este. La pandemia ha convertido en objetivos codiciados a universidades, hospitales y laboratorios con acceso a datos que se utilizan para analizar nuevos tratamientos potenciales o documentar la seguridad de los candidatos a vacunas. Las víctimas recientes incluyen Hammersmith Medicines Research, que realiza ensayos clínicos para nuevos medicamentos, y el investigador de anticuerpos 10X Genomics, aunque Hammersmith dice que repelió el ataque y 10X asegura que su negocio no sufrió un impacto sustancial.
Hay, además, un trasfondo que va más allá de la mera extorsión. El Departamento de Justicia de Estados Unidos ha dicho que hackers respaldados por China tienen en la mira a instituciones globales que realizan investigaciones sobre el coronavirus para robar datos que pudieran acelerar el desarrollo de la vacuna en el país. La investigación del Departamento de Justicia derivó en una acusación en julio contra dos hackers vinculados a la seguridad del estado chino por atacar sistemas informáticos relacionados con la investigación COVID-19. En Reino Unido, el Centro Nacional de Seguridad Cibernética documentó un aumento en los ataques patrocinados por gobiernos contra instituciones de investigación británicas centradas en el COVID-19, y atribuyó gran parte de ese aumento a Rusia, Irán y China.
La UCSF no ha vinculado a los atacantes (cuyo inglés estaba plagado de errores gramaticales comunes entre los hablantes nativos de ruso) con ningún estado extranjero. La universidad apuntó en un comunicado después del hackeo que el ataque no afectó su investigación sobre COVID, aunque los datos perdidos eran "importantes para parte del trabajo académico que realizamos como universidad al servicio del bien público". Durante las conversaciones, el negociador les dijo a los hackers que la universidad no sabía qué había en las computadoras secuestradas. Sin embargo, la transcripción sugiere que, cualesquiera que fueran los datos, la universidad estaba desesperada.
Según el referido blog de los hackers, el ransomware para atacar a la UCSF provino de Netwalker, un virus que ha visto un auge desde el otoño pasado. Las personas pueden alquilar el malware como una especie de programa de franquicia. En marzo, el grupo publicó un anuncio en la web oscura para reclutar nuevos afiliados.
Los requisitos incluían: "Intrusos de la red que hablen ruso, no spammers, con preferencia por el trabajo inmediato y constante". En junio, otro anuncio prohibía a angloparlantes postularse, según Cynet, una empresa israelí de seguridad digital.
Aunque los ciberdelincuentes han aprovechado la pandemia como una oportunidad, también juegan al Robin Hood. En un comunicado del 18 de marzo, un gran grupo de ransomware, conocido como Maze, ofreció a las víctimas de la industria médica 'descuentos exclusivos' en los rescates.
En un blog el mes siguiente, el grupo declaró: "Vivimos en la misma realidad económica que ustedes. Es por eso que preferimos trabajar bajo acuerdos y estamos dispuestos a hacer concesiones".
La Universidad de California no tenía forma de saber con certeza si los hackers cumplirían su promesa de liberar las computadoras tras el pago, un riesgo inherente a los ataques de ransomware o secuestro de datos. Algunas víctimas corporativas contratan negociadores profesionales con la esperanza de llegar a un final feliz, mientras se ahorran unos dólares.
Otras intentan resolverlo por su cuenta. La UCSF dijo en su declaración que eligió contratar a un consultor privado, pero se negó a identificarlo.
Con 2 días, 22 horas y 31 minutos en el reloj, el negociador de la universidad pidió una prórroga de dos días para que 'el comité universitario' pudiera reunirse. Esta es una táctica común entre las víctimas para evaluar mejor las amenazas a sus redes y datos y explorar sus opciones antes de recurrir al pago, y para sorpresa, los hackers aceptaron con la condición de que la escuela duplicara su pago a 6 millones de dólares. "Esperaba que el Operador dijera: 'Esto es un ciberataque, no hay moratorias'", dice Moty Cristal, un experimentado negociador de ransomware en Tel Aviv que revisó la transcripción. "Pero en este caso, los malos casi disfrutaban de la conversación. Era parte del juego".
La UCSF descubrió que los hackers habían logrado encriptar datos en tan solo siete servidores, según una persona familiarizada con la investigación que habló bajo condición de anonimato. Los atacantes habían copiado al menos 20 gigabytes de datos de las máquinas, por lo que tenían cierta idea de lo que contenían.
A lo largo de las negociaciones, el representante de la universidad tuvo el cuidado de halagar al Operador. Los expertos dicen que si bien esta es una estrategia de negociación muy básica, también funciona. "Estoy dispuesto a resolver esto con ustedes, pero tiene que haber respeto mutuo. ¿No estás de acuerdo?" dijo el negociador según la transcripción. "He leído sobre ustedes en Internet y sé que son un famoso grupo de hackers de ransomware y muy profesional. Sé que cumplirás tu palabra cuando acordemos un precio, ¿verdad?"
Fueron palabras mágicas. "Nunca le faltaremos el respeto a un cliente que nos hable con respeto", dijo el Operador. "No ofrezcas nada ridículo". Así que, naturalmente, la primera oferta del negociador fue algo casi ridículo. El comité "dijo que puedo presentar una solicitud por la cantidad máxima de 780 mil dólares, pero con mucha suerte autorizarán la mitad".
El Operador objetó que 390 mil dólares era una oferta insultante, y amenazó con notificar a la Comisión Federal de Comercio de la pérdida de datos de estudiantes y profesores. "Le sugiero que reconsidere otra oferta y, esta vez, sea una seria".
Era una amenaza vana y el negociador se lo hizo saber. "La Comisión no es una preocupación para nosotros. Solo nos gustaría desbloquear nuestras computadoras para recuperar los datos. Sé que quieres ganar mucho dinero aquí, lo entiendo, pero debes entender que no tenemos tanto dinero en efectivo", dijo el negociador.
Eran las 22:46 horas del 9 de junio en San Francisco y los dos llevaban cuatro días hablando.
Prolongar las negociaciones también puede beneficiar a los hackers, dice Cristal, y agrega que en los ataques de la era COVID hay más en juego que dinero. Ese tiempo pudo haberle permitido al grupo identificar una investigación lucrativa o propiedad intelectual que valía la pena subastar. Los atacantes afiliados a una organización criminal a gran escala como Netwalker también pueden tener su propia burocracia, asegura el especialista.
Tras mantener la cifra de 390 mil dólares por un día, el negociador de la UCSF regresó con una oferta de 780 mil dólares. El Operador no estaba contento, "¿Cómo puedo aceptar 780 mil? Es como si hubiera trabajado para nada", dijo.
En este punto, las negociaciones se volvieron muy emocionales, incluso personales. "Espero que sepas que esto no es una broma para mí", confesó el negociador. "No he dormido en dos días porque estoy tratando de resolver esto. Todo el mundo me ve como un fracasado y es culpa mía que esto esté sucediendo". Y agregó: "Cuanto más se prolonga esto, más me odio a mí mismo y deseo que esto termine de una forma u otra. Por favor, ¿qué podemos hacer?"
No hay evidencia real de que esto fuera algo más que una táctica de negociación. De hecho, no está claro si alguna de las partes era realmente una sola persona; ambos podrían ser fácilmente varias trabajando por turnos. Con todo, el Operador siguió el juego: "Amigo, tu gente necesita entender que esto no es tu culpa. Todos los dispositivos de Internet son vulnerables".
A la mañana siguiente, el 9 de junio, la universidad ofreció poco más de un millón de dólares. El operador pidió un millón y medio. Con ambas partes tal vez sintiendo que el trato estaba cerca, el negociador jugó una última carta: "Un amigo de la universidad sabe lo que está pasando y se ha ofrecido a donar 120 mil dólares para ayudarnos. Normalmente no podemos aceptar estas donaciones, pero estamos dispuestos a hacerlo solo si aceptas terminar esto. ¿Podemos terminar con esta situación para que finalmente podamos dormir bien todos?"
El Operador aceptó. Los dos habían estado hablando durante casi seis días.El negociador y el Operador tenían un acuerdo: un millón 114 mil dólares, el equivalente a 116 bitcoins. La universidad pasó otro día y medio en el trámite de la compra de las criptomonedas. Aparte de la clave de descifrado para desencriptar los datos secuestrados, el acuerdo incluía el compromiso de los hackers de transmitir todos los datos que habían robado de la red de la universidad, presumiblemente para que la UCSF pudiera determinar qué datos tenían los hackers en su poder y posiblemente podrían vender. Los atacantes tardarían casi dos días en descifrar, transmitir y mostrar que habían eliminado las copias de los archivos, pero cumplieron a las 02:48 horas del 14 de junio.
Una vez hecho el trato, el Operador sintió un poco de curiosidad profesional sobre quién había estado realmente sentado en el otro teclado y preguntó: "¿De qué compañía de recuperación eres?" El negociador no respondió.
Consulta más contenidos de la nueva edición de la revista Bloomberg Businessweek México en la versión Fast, la cual puedes desplegar dando clic aquí