Una condena entre mafias de la ‘dark web’ tumbó al comunidad de ciberdelincuentes que atacó el Consistorio de Sevilla y miles de entidades | Tecnología

La dark web, la red oscura oculta a los motores de búsqueda, que encubre las IP (identidad de los dispositivos con los que se trabaja) y accesible solo mediante navegadores específicos, no es un mundo sin reglas, pese a ser la plataforma de las actividades delictivas informáticas, pederastia, proxenetismo de personas o saldo ilegal de armas y drogas. Como todas las mafias, cuentan con sus normas y la infracción de ellas conlleva sus castigos. El quebranto de una de estas leyes, la del reparto del fortuna obtenido mediante extorsiones, ha sido lo que ha entregado al traste con LockBit, la longevo ordenamiento de secuestro y chantaje. Entre los muchos delitos atribuidos desde su detección en 2019, tumbó la web del Consistorio de Sevilla, el Puerto de Lisboa, la oficina presupuestaria de California, un hospital inmaduro de Toronto y miles de empresas. La operación policial internacional contra esta trama, que se ha saldado con dos detenidos en Europa del Este, fue posible posteriormente de su condena en la sociedad del crimen. El comunidad delictivo intenta ahora resurgir.

La Agencia Franquista contra el Crimen (NCA, por sus siglas en inglés) de Reino Unido anunció el pasado 20 de febrero suceder “tomado el control de los servicios de LockBit” tras infiltrarse en la red mafiosa en una operación denominada Cronos. En coordinación con la Europol, dos personas fueron arrestadas en Polonia y Ucrania y se confiscaron 200 cuentas de criptomonedas. Otros cuatro presuntos actores maliciosos fueron acusados judicialmente en Estados Unidos.

“Esta investigación contra el comunidad de delitos cibernéticos más dañino del mundo demuestra que ninguna operación delictiva, dondequiera que se encuentre, y por muy descubierta que sea, está fuera del trascendencia de la agencia y de nuestros socios. Hemos hackeado a los hackers [piratas informáticos]; tomado el control de su infraestructura, obtenido su código fuente y descifrado las claves que ayudarán a las víctimas a descifrar sus sistemas. A partir de hoy [20 de febrero], LockBit está bloqueado”, afirma el director de la NCA, Graeme Biggar.

El director de la agencia federal de investigación (FBI) de Estados Unidos comparte la exaltación: “El FBI y nuestros socios han interrumpido con éxito el ecosistema criminal de LockBit, que representa una de las variantes de ransomware [extorsión por el secuestro de sistemas informáticos] más prolíficas en todo el mundo”.

Pero esta operación policial internacional fue el final de un proceso que ya había comenzado en la dark web y que fue el detonante original de la desarticulación del equipo criminal. Según describe Sergey Shaykevich, director del Rama de Amenazas de Check Point durante un avenencia de la multinacional en Viena (CPX), el origen de la caída fue una disputa por los beneficios de una trastorno que se dirimió en un sumario entre delincuentes y una apelación infructuosa que dio emplazamiento a una condena de desaparición. “LockBit fue bloqueado en los foros [de la dark web] y, luego, se derribó. Es un desgracia doble”, resume.

LockBit, y otras organizaciones similares, utilizan ransomware como servicio (RaaS). Según la empresa de seguridad Kaspersky, son programas a los que se accede a través de la dark web, como las aplicaciones habituales de entornos de trabajo en la web convencional o limpia. “Las partes interesadas dejan un depósito para usar los programas que se contratan. Los pagos del rescate se dividen entre el equipo de desarrolladores de LockBit y los atacantes, que reciben hasta tres cuartas partes de la trastorno una semana posteriormente si se han apurado los objetivos”

Shaykevich relata que la disputa que dio emplazamiento al sumario contra LockBit ascendía a 20 millones de euros. “La reputación en ransomware es lo más importante”, comenta el patrón de amenazas de Check Point para explicar cómo un desacuerdo entre delincuentes motivó la caída de un superhombre del cibercrimen.

Una de las últimas víctimas del comunidad fue el Consistorio de Sevilla, al que LockBit reclamó más de un millón y medio de euros por la recuperación de los sistemas informáticos municipales el pasado septiembre. El concejal de Transformación Digital, Juan Bueno, dijo tras el secuestro que los atacantes eran “de origen holandés”.

El suceso y la primera atribución del concejal, de la que se hicieron eco muchos medios, evidenciaron que el Consistorio carecía de la protección necesaria y que el responsable de Transformación Digital desconocía LockBit, “la ordenamiento de ransomware más prolífica del mundo”, según el ministro del Interior britano, James Cleverly.

“¿De Holanda? No, no, no. La mayoría tiene sede en Rusia. Los dos arrestados en Polonia y Ucrania no son los miembros claves, que están en Rusia”, afirma Shaykevich.

Ese adulterado origen holandés se refería a la sitio del postrero servidor desde el que partió el correo electrónico con el enlace zorro que dio emplazamiento al secuestro. Estos sistemas de computación para el tráfico de datos, en la dark web, se utilizan para la encriptación sucesiva que evita el rastreo. Según la NCA, la operación Cronos ha supuesto el desmantelamiento de 28 servidores de LockBit.

Posible resurgimiento

Sin confiscación, el sumario en la internet oscura y la posterior operación policial internacional no implica el fin de toda la infraestructura de LockBit, que aspira a continuar en el mercado de ataques de secuestro y trastorno porque suponen, según calcula Shaykevich, más de 200 millones de euros de ingresos cada año.

Un supuesto responsable del comunidad ha afirmado en un comunicado que la intervención policial ha sido posible por una “vulnerabilidad en el habla de programación PHP”. Esta denominación se refiere al sistema de código rajado Hypertext Preprocessor, habitual en el ampliación de páginas web. “Todos los demás servidores con blogs de respaldo que no tenían PHP instalado no se han pasado afectados y continuarán entregando datos robados de las empresas atacadas”, asegura en inglés y ruso el supuesto hacker.

Las empresas de seguridad han detectado ya estos intentos de recomposición, pero cuestionan la viabilidad de continuar con el mismo nombre tras la crisis de reputación criminal generada por la disputa en la dark web y tras suceder mostrado una vulnerabilidad aprovechada por la policía internacional. “Mientras las personas no sean arrestadas, lo más probable es que cambien y construyan una nueva ordenamiento con un nuevo nombre. Pero el paso que se ha entregado es importante y demuestra que las fuerzas del orden operan y que puedes ser castigado”, explica Shaykevich.

Christopher Asher Wray, director del FBI, coincide: “Esta operación [Cronos] demuestra tanto nuestra capacidad como nuestro compromiso para defender la ciberseguridad frente a cualquier actor zorro que busque afectar nuestra forma de vida. Continuaremos trabajando con nuestros aliados nacionales e internacionales para identificar, interrumpir y disuadir las amenazas cibernéticas, y para responsabilizar a los perpetradores”.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para percibir nuestra newsletter semanal.

_