El red oscura, la red oscura oculta a los motores de búsqueda, que oculta la IP (identidad de los dispositivos con los que se trabaja) y accesible sólo a través de navegadores específicos, no es un mundo sin reglas, a pesar de ser la plataforma de actividades delictivas informáticas, pedofilia y trata de personas. o venta ilegal de armas y drogas. Como todas las mafias, tienen sus reglas y violarlas conlleva sus castigos. El incumplimiento de una de estas leyes, la del reparto del dinero obtenido mediante extorsión, ha sido lo que ha hecho caer LockBit, la mayor organización de secuestro y chantaje. Entre los numerosos delitos atribuidos desde su detección en 2019, derribó la web del Ayuntamiento de Sevilla, el Puerto de Lisboa, la oficina de presupuestos de California, un hospital infantil de Toronto y miles de empresas. La operación policial internacional contra esta trama, que se ha saldado con dos detenidos en Europa del Este, fue posible tras su condena en la sociedad criminal. El grupo criminal ahora intenta resurgir.
La Agencia Nacional contra el Crimen (NCA) del Reino Unido anunció el 20 de febrero que había “tomado el control de los servicios de LockBit” tras infiltrarse en la red mafiosa en una operación denominada Cronos. En coordinación con Europol, dos personas fueron arrestadas en Polonia y Ucrania y se confiscaron 200 cuentas de criptomonedas. Otros cuatro presuntos actores maliciosos fueron acusados en Estados Unidos.
“Esta investigación contra el grupo de cibercrimen más dañino del mundo demuestra que ninguna operación criminal, dondequiera que esté ubicada y sin importar cuán avanzada sea, está fuera del alcance de la agencia y nuestros socios. Tenemos pirateado hacia piratas informáticos (piratas informáticos); tomó el control de su infraestructura, obtuvo su código fuente y descifró las claves que ayudarán a las víctimas a descifrar sus sistemas. A partir de hoy (20 de febrero), LockBit está bloqueado”, afirma el director de la NCA, Graeme Biggar.
El director de la Agencia Federal de Investigaciones (FBI) de los Estados Unidos comparte la euforia: “El FBI y nuestros socios han logrado perturbar el ecosistema criminal LockBit, que representa una de las variantes de Secuestro de datos (extorsión por secuestro de sistemas informáticos) más prolífica del mundo”.
Pero esta operación policial internacional fue el final de un proceso que ya había comenzado en el red oscura y ese fue el detonante inicial para el desmantelamiento del equipo criminal. Según describió Sergey Shaykevich, director del Check Point Threat Group durante una reunión de la multinacional en Viena (CPX), el origen de la caída fue una disputa sobre los beneficios de una extorsión que se dirimió en un juicio entre delincuentes y una apelación. fallido que dio lugar a una condena de desaparición. “LockBit fue bloqueado en los foros (de la red oscura) y luego se cayó. Es un doble golpe”, resume.
LockBit y otras organizaciones similares utilizan Secuestro de datos como servicio (RaaS). Según la empresa de seguridad Kaspersky, son programas a los que se accede a través del red oscura, como las aplicaciones habituales de entornos de trabajo web convencionales o limpios. “Los interesados dejan un depósito para utilizar los programas que se contratan. «Los pagos del rescate se dividen entre el equipo de desarrolladores de LockBit y los atacantes, quienes reciben hasta tres cuartas partes de la extorsión una semana después si se han logrado los objetivos».
Shaykevich informa que el litigio que dio lugar al juicio contra LockBit ascendió a 20 millones de euros. “La reputación en Secuestro de datos Es lo más importante”, comenta el jefe de amenazas de Check Point para explicar cómo un desacuerdo entre delincuentes llevó a la caída de un gigante del cibercrimen.
Una de las últimas víctimas del grupo fue el Ayuntamiento de Sevilla, al que LockBit reclamó el pasado mes de septiembre más de un millón y medio de euros por la recuperación de los sistemas informáticos municipales. El concejal de Transformación Digital, Juan Bueno, afirmó tras el secuestro que los agresores eran «de origen holandés».
El suceso y la primera atribución del concejal, de la que se hicieron eco muchos medios, demostró que el Ayuntamiento carecía de la protección necesaria y que el responsable de Transformación Digital desconocía LockBit, “la organización de Secuestro de datos más prolífico del mundo”, según el Ministro del Interior británico, James Cleverly.
«¿De Holanda? No, no, no. La mayoría tiene su base en Rusia. Los dos arrestados en Polonia y Ucrania no son los miembros clave, que están en Rusia», dice Shaykevich.
Este falso origen holandés hacía referencia a la ubicación del último servidor desde donde se originó el correo electrónico con el enlace malicioso que dio lugar al secuestro. Estos sistemas informáticos para el tráfico de datos, en el red oscura, Se utilizan para cifrados sucesivos que impiden el seguimiento. Según la NCA, la operación Cronos Esto ha llevado al desmantelamiento de 28 servidores LockBit.
Posible resurgimiento
Sin embargo, el juicio en la internet oscura y la posterior operación policial internacional no implican el fin de toda la infraestructura LockBit, que aspira a seguir en el mercado de ataques de secuestro y extorsión porque representan, según estimaciones de Shaykevich, más de 200 millones. euros de ingresos cada año.
Un presunto responsable del grupo ha afirmado en un comunicado que la intervención policial ha sido posible debido a una «vulnerabilidad en el lenguaje de programación PHP». Este nombre hace referencia al sistema de preprocesador de hipertexto de código abierto, común en el desarrollo de páginas web. «Todos los demás servidores con blogs de respaldo que no tenían PHP instalado no se han visto afectados y continuarán entregando datos robados de las empresas atacadas», afirma el supuesto reclamo en inglés y ruso. hacker.
Las empresas de seguridad ya han detectado estos intentos de recomposición, pero cuestionan la viabilidad de continuar con el mismo nombre tras la crisis de reputación criminal generada por la disputa en el red oscura y después de haber mostrado una vulnerabilidad explotada por la policía internacional. “Mientras no arresten a la gente, lo más probable es que cambien y construyan una nueva organización con un nuevo nombre. Pero el paso que se ha dado es importante y demuestra que la aplicación de la ley funciona y que se puede castigar”, explica Shaykevich.
Christopher Asher Wray, director del FBI, está de acuerdo: “Esta operación (Cronos) demuestra tanto nuestra capacidad como nuestro compromiso para defender la ciberseguridad contra cualquier actor malicioso que busque afectar nuestra forma de vida. «Continuaremos trabajando con nuestros aliados nacionales e internacionales para identificar, desbaratar y disuadir las amenazas cibernéticas, y responsabilizar a los perpetradores».
puedes seguir EL PAÍS Tecnología en Facebook y X o regístrate aquí para recibir nuestra boletín semanal.
Suscríbete para seguir leyendo
Leer sin límites
_
