En el estado de California ya está penado como delito de extorsión, mientras que en otros lugares del mundo está evolucionando como una semilla corrupta en el Internet de las Cosas. La lucha contra el ransomware, que ha visto un crecimiento exponencial durante el último año, parece sólo estar comenzando, y el Buró Federal de Investigaciones (FBI) estadounidense es uno de los principales organismos de justicia en combatirlo.
Recientemente, durante un evento en la Escuela de la Leyes de la Universidad de Fordham en Nueva York, el agente especial del FBI Joseph Battaglia describió una panorámica de cómo son seguidos los casos denunciados de ransomware. Y quizá lo más sorprendente es que los casos en cierto modo más fáciles de rastrear son aquellos donde la víctima decide pagar, pues allí se movilizan los fondos que inevitablemente se registran sobre la blockchain.
La agencia aprovecha estos datos para ampliar su registro de direcciones asociadas a la misma entidad, creando una especie de lista negra cuyos gastos se dedican a rastrear sobre la cadena de bloques. Sin embargo, en el caso de las víctimas que deciden no pagar y reciben una dirección que aún no se ha usado, también hay una solución para intentar hallar al culpable.
Debido a que la dirección no se ha usado aún en la blockchain de Bitcoin, no va a haber ninguna información que pueda conseguir en la blockchain todavía. Pero puedo tomar la nota de rescate y buscarla dentro del IC3.
Joseph Battaglia
Agente Especial
El Centro de Quejas de Crímenes de Internet (IC3) fue fundado en el 2000 para aceptar denuncias de crímenes cibernéticos, y en septiembre publicó un comunicado donde instaba a las víctimas a reportar los incidentes de ransomware, que sólo en 2015 ascendieron a más de 8 mil con pérdidas de hasta $275 millones. Aquí es donde se registran y rastrean todas las direcciones sospechosas gracias a su propia herramienta blockchain, por lo que, aun si la víctima decide no pagar, es posible encontrar la dirección registrada para otra víctima que si llegó a hacerlo. Por supuesto, también es posible que las direcciones aún no estén registradas, pero en este caso vale la pena denunciar para seguir colaborando con esta lista.
El siguiente paso a seguir es introducir los datos en el sistema de gestión de casos, para averiguar si otros agentes han hallado información identificable, como servidores o direcciones IP relacionadas, cuya procedencia puede consultarse a través del Registro Americano para Números de Internet (ARIN) o en la Base de Datos Global de Direcciones IP. Pese a ello, si el hacker se conectó mediante una red privada virtual (VPN) o alguna clase de red encriptada para proteger su identidad, este tipo de búsqueda no dará resultados. Por ello, podría deducirse que sólo los hackers más descuidados son los que caen en manos de la justicia, aunque el mes pasado tuvimos noticia de cómo una organización internacional del crimen cibernético organizado, entre cuyas actividades se incluía el ransomware, logró ser desmantelada gracias a un esfuerzo internacional entre distintas autoridades.
En cualquier caso, se decida o no pagar el rescate, lo mejor es denunciar cada caso para no seguir facilitando el trabajo de los hackers.
¿Qué hacer en caso de ransomware?
Por otro lado, varias agencias gubernamentales entre las que se incluyen el Servicio Secreto y la CIA, publicaron un reporte conjunto sobre cómo protegerse del ransomware y qué hacer en caso de contraerlo. Seguramente, la mejor recomendación que pueden otorgar es que la prevención es la mejor defensa en contra de este malware, por lo que indican algunas medidas que pueden resumirse básicamente en la educación sobre el tema, el respaldo completo de la data y el mantenimiento de una adecuada plataforma de seguridad con filtros anti-spam y sólo conexiones necesarias.
Más allá, en caso de ransomware, lo primero que recomiendan es aislar de inmediato el o los terminales afectados, asegurarse de que el respaldo esté seguro, cambiar todas las contraseñas y credenciales de los equipos no infectados, guardar la nota de rescate y contactar con las autoridades. Según lo indicado por Battaglia, el trabajo en equipo entre policías y civiles resulta fundamental para evitar la expansión de este virus.