El ransomware se ha colado en la conciencia general gracias al reciente cierre del oleoducto Colonial. Inutilizado por un ataque de ransomware, Colonial acabó pagando un rescate de 4,4 millones de dólares en bitcoins para liberarse de sus atacantes. Mientras tanto, la costa este de Estados Unidos sufrió escasez de gasolina.
¿Qué es el ransomware? Es un software malicioso que toma el control de un ordenador, por ejemplo, cifrando archivos o amenazando con exponer públicamente los datos. El operador del ransomware solo libera ese control tras recibir el pago de un rescate, normalmente Bitcoin pero a veces Monero.
Aunque el ataque de Colonial acaparó los titulares, el problema del ransomware lleva años creciendo. En una reciente encuesta realizada por Sophos a 5.400 responsables de TI de empresas y organismos públicos de todo el mundo, el 6,6% declaró haber pagado un rescate en 2020. ¿El precio medio? Sería de 170.000 dólares, lo que supone decenas de miles de millones, si no cientos de miles de millones de rescates pagados.
En un artículo de opinión para el Wall Street Journal, Lee Reiners sugiere prohibir las criptomonedas para deshacerse del ransomware. Su argumento es que las criptomonedas como el bitcoin no tienen ningún propósito social aparte de la especulación. Por lo tanto, deshacerse de ellas mejoraría el mundo.
Creo que una prohibición es exagerada. Hay formas de atacar el ransomware que tienen un radio de acción menor.
El Vínculo de Bitcoin con el Ransomware
En primer lugar, veamos en qué coincidimos Reiners y yo. Él vincula explícitamente el fenómeno del ransomware a las criptomonedas como el bitcoin cuando dice que «el ransomware no puede tener éxito sin las criptomonedas».
Tiene razón. Sin bitcoin, no hay boom de ransomware. Pero yo añadiría una advertencia. Sólo el ransomware de gran tamaño depende de la criptomoneda. Los de menor cuantía nunca lo requieren.
Según el escritor de seguridad Danny Palmer, la primera cepa de ransomware surgió en 1989. Pedía el pago en cheques bancarios, cheques de caja o giros postales a un apartado de correos en Panamá. Pero un cheque es una forma terriblemente arriesgada para que un delincuente obtenga un rescate.
Las bandas de ransomware acabaron recurriendo a procesadores de pagos centralizados para extorsionar a las víctimas. Ransom-A, una cepa de ransomware de 2006, congelaba los ordenadores de las víctimas y solo los liberaba cuando se transferían 10,99 dólares a través de la empresa de remesas Western Union. Otra cepa de ransomware en 2011 se hizo pasar por el FBI y exigió un pago de 100 dólares a través de MoneyPak, un producto de tarjeta prepago ofrecido por Green Dot Bank.
Pero, como puedes ver, todo esto es un ransomware de poca monta. Una banda no podría bloquear, por ejemplo, un gran banco y pedir un rescate de 250.000 dólares a través de Western Union o MoneyPak.
El otro problema de Western Union y MoneyPak (desde el punto de vista de los delincuentes) es que estos sistemas son de plástico: se pueden actualizar. Gracias a la presión de las fuerzas del orden y de los políticos, Western Union y MoneyPak acabaron modificando sus procesos de pago para dificultar que los delincuentes los utilizaran para extraer rescates.
Las bandas de ransomware recurrieron entonces a las tarjetas de regalo. El ransomware Alpha, que debutó en 2016, encriptaba tus datos y exigía 400 dólares en tarjetas de regalo de iTunes para obtener una clave de descifrado. Pero un delincuente no puede obtener grandes rescates con tarjetas de regalo: la mayoría de las tiendas no venden tarjetas con valores nominales superiores a 500 dólares.
Con las criptomonedas, las bandas de ransomware han descubierto la vía de pago perfecta. No es necesario proporcionar la identidad para utilizar criptodivisas como Bitcoin o Monero. Los usuarios pueden permanecer en un seudónimo. A diferencia de Western Union o MoneyPak, estos sistemas no pueden excluir a los usuarios. No son de plástico; no se pueden recodificar. Además, una banda de ransomware puede quedarse con su alijo de criptodivisas sabiendo que las fuerzas del orden no pueden congelar sus saldos. Y, a diferencia de las tarjetas de regalo y los MoneyPaks, no hay un valor máximo para una transacción de bitcoin.
Así, las redes de pago resistentes a la censura, como Bitcoin, han abierto el campo a los ataques de ransomware a escala industrial de entre 10.000 y 50 millones de dólares. No obstante, la prohibición de las criptomonedas va demasiado lejos.
¿Quién Utiliza el Bitcoin?
Reiners considera que la mayoría de los usos lícitos de las criptomonedas son especulativos. Y tiene razón. La mayoría de las personas que compran bitcoin sólo apuestan por su precio.
Pero no estoy seguro de que podamos utilizar «es sólo especulación» para descartar toda una industria. Después de todo, hemos optado por mantener la legalidad de Las Vegas y de la industria del juego, y el juego es 100% especulativo. Los juegos de azar no responden a una necesidad social crucial. Pero son una forma de entretenimiento.
Aparte de los delincuentes y los especuladores, hay otros dos grupos de usuarios de criptodivisas que merece la pena mencionar. Los forasteros, como los vendedores de salvia divinorum, que se han quedado sin acceso a los servicios centralizados por dedicarse a actividades legales pero que no están de moda, pueden recurrir a las criptodivisas para realizar pagos. Otro grupo de usuarios lícitos no especulativos son los aficionados que se oponen a la centralización.
No son grupos grandes, pero existen. Prohibir las criptomonedas significaría privar a estos dos grupos, y potencialmente a otros, de servicios que valoran.
La Situación Actual
Una alternativa a la prohibición es mantener el statu quo. Dejar que las fuerzas del orden como el FBI, INTERPOL y la RCMP hagan lo que normalmente hacen: atrapar a los malos.
Pero hay un problema con este enfoque. La mayor parte de la actividad de ransomware se origina en Rusia. El gobierno ruso hace la vista gorda ante las bandas de ransomware, con la condición de que estos operadores no ataquen a empresas u organismos rusos. Por tanto, el ransomware opera fuera del alcance de las fuerzas de seguridad occidentales tradicionales.
El statu quo también implica una presión continua sobre las bolsas de criptomonedas para que establezcan defensas contra el blanqueo de capitales. Los intercambios son los lugares más líquidos para la compra y venta de criptodivisas. Al universalizar las medidas contra el blanqueo de dinero, las bandas de ransomware no podrían vender sus ganancias.
De nuevo, el problema es Rusia. Los intercambios de criptodivisas rusos sirven como lugares de blanqueo y seguirán haciéndolo hasta que las autoridades locales sancionen su comportamiento.
Lo que nos lleva a un embargo de los pagos de rescate.
Una Pena por Pagar un Rescate
Los grupos de la industria y otras organizaciones paraguas, como la Conferencia de Alcaldes de Estados Unidos, ya exhortan a sus miembros a no pagar rescates. También lo hace el FBI.
Tienen buenas razones para intentar establecer un embargo informal. Enviar un rescate anima a las bandas de ransomware a continuar con los ataques. Si todo el mundo dejara de pagar de repente, los ingresos de la industria del ransomware se verían asfixiados y pronto se colapsarían.
Pero estas exhortaciones de «no pagar» no funcionan realmente sin un buen timonel, alguien que se asegure de que todos siguen el mismo ritmo. Las empresas o agencias individuales tienen un gran incentivo para desertar del óptimo de no pagar. Si pagan tranquilamente a su atacante, pueden obtener una clave de descifrado y evitar las molestias del tiempo de inactividad y la reconstrucción de los sistemas desde cero.
Lo que se necesita es una autoridad que pueda hacer cumplir el embargo llamando a los desertores y disciplinándolos por pagar un rescate. Algunos gobiernos estatales, como el de Carolina del Norte y el de Nueva York, están intentando asumir este papel introduciendo una legislación contra el pago de rescates. (Hasta la fecha, ninguna de estas leyes ha sido aprobada).
Pero para que sea eficaz, el timonel debe ser un actor mucho mayor que un gobierno estatal. El Tesoro de Estados Unidos ya dispone de una agencia para sancionar a los malos actores: la Oficina de Control de Activos Extranjeros (OFAC). Para aplicar un embargo del pago de rescates, la OFAC podría anunciar que en un plazo determinado, digamos nueve meses, empezará a añadir todas las bandas de ransomware a su lista de nacionales especialmente designados (SDN).
Cuando la OFAC designa a una organización como SDN, se convierte en ilegal para un ciudadano estadounidense hacer negocios con ella. Así que pagar un rescate a cualquier banda de la lista de la OFAC estaría prohibido. Las empresas y las agencias pasarían rápidamente al equilibrio ideal de «no pagar». Y, al agotarse los ingresos, las bandas de ransomware abandonarían el negocio.
El anuncio previo de una política de inclusión de bandas en la lista SDN daría suficiente tiempo a las empresas y agencias para construir sus líneas de defensa de TI. Después de todo, una vez que las bandas estén en la lista SDN, las organizaciones que sean atacadas por estas bandas no tendrán la salida fácil del pago del rescate.
Esto es sólo un esbozo de una posible solución, por supuesto. Un embargo bien diseñado requeriría mucha más atención a los detalles. Pero, con la OFAC como timonel, un embargo podría lograr todo lo que promete una prohibición de la criptomoneda sin privar a los especuladores, forasteros y aficionados de un producto que utilizan. También sería más eficaz que el statu quo, que no es capaz de detener a los delincuentes que operan impunemente desde jurisdicciones no cumplidoras.
Traducido por el Equipo de Somos Innovación
