Varios millones de usuarios recibieron un email de Correos lleno de faltas de ortografía y con mala gramática. En él, “Correos” amenazaba con una multa por cada día de retraso a la hora de recoger una supuesta carta certificada. La amenaza se expresaba de esta manera: “Correos tendrá derecho a pedir una indemnización de usted para él está manteniendo la cantidad de 7,55 euros por cada día de cumplir”. Pese a la sintaxis horrorosa, a algunos destinatarios el mensaje no le pareció raro. Hicieron click en un enlace que llevaba a una página prácticamente igual a la de Correos, donde se descargaba un virus conocido como Cryptolocker. El virus procedió a codificar todos los documentos y archivos multimedia del disco duro y de servicios en la nube, como Dropbox. Luego, hizo aparecer una advertencia donde se pedía un rescate en Bitcoins para recuperar la información. Con una maldad añadida ya que, una vez realizado el pago, ni siquiera había garantía alguna de que se mandara la clave para descifrar los archivos secuestrados.

Esto pasa en España de manera masiva, con variaciones más peligrosas en la actualidad. Fue precisamente su carácter de ataque masivo (también en otros países) lo que hizo que las empresas de seguridad informática consiguieran aislar el código del virus, identificar a los atacantes y dar sus datos a las autoridades, que los detuvieron en la llamada “operación Tovar”; una operación multinacional donde fuerzas policiales, empresas, universidades y expertos lograron desmantelar una de las estructuras de secuestro de datos (en Europa del Este) y conseguir las claves para recuperar los archivos.

Alianza de "spammers" y "cibercriminales"

Los emails lanzados por la red de spam simulan proceder de agencias de transportes o servicios postales de más de 50 países.

Los supuestos correos electrónicos de “Correos” se enviaban desde una conocida red de envíos de “correos basura” llamada Cutwail, que alquila sus servicios a las insistentes “farmacias online” y a los infames métodos de alargamiento de pene. Sin embargo, dado que el tráfico de spam va descendiendo (“sólo” es un 57% de todos los emails que se envían, en lugar del 90% de hace unos años), los administradores de Cutwail estarían ofreciendo sus servicios a los programadores de software malicioso. Esta red de “spam”, que se cree que está dirigida por el informático ruso Stanislav Kuznetsov (alias “Google”), habría distribuido un número indeterminado de correos con Cryptolocker. Las estimaciones hablan de 234.000 ordenadores infectados en una primera oleada, con un ritmo de 50.000 ordenadores infectados al día después. Los emails lanzados por la red de spam simulan proceder de  agencias de transportes o servicios postales de más de 50 países. Sin embargo, es precisamente gracias a los datos que se consiguen al intervenir Cutwail, como se consigue llegar a los administradores de Cryptolocker. Éstos no sólo infectarían los ordenadores para “secuestrar” nuestros archivos de datos, sino que además usarían el troyano “GameOver ZeuS” para convertir a ordenadores ajenos en “zombis”, que podrían ser controlados a distancia y usados para robar datos bancarios, información personal y  reenviar “spam”.

Botín millonario

Parece, sin embargo, que los responsables de GameOver y Cryptolocker serían diferentes y que los primeros habrían realquilado a los segundos los servicios de “Cutwail” y de su propia red de correos basura y ordenadores “zombis”. Así, “GameOver” se habría especializado en robos bancarios, mientras que Cryptolocker estaría dedicada al secuestro de datos.

Los responsables de la extorsión la tenían tan bien planificada que el virus tenía incorporado un conversor de divisas para calcular el rescate que exige a sus víctimas.

A través de los datos intervenidos, se cree que el 1,5% de las víctimas de Cryptolocker llegaron a pagar el rescate exigido por los extorsionadores; alrededor de unos 2.760.000 euros en total. Los responsables de la extorsión la tenían tan bien planificada que el virus tenía incorporado un conversor de divisas para calcular el rescate que exige a sus víctimas.

Lo malo es cuando el ataque no es masivo. Ahora se hacen a medida para extorsionar a una persona o entidad concreta. Entonces, salvo que se consiga dar con el extorsionador, es poco probable que recuperemos la clave.  Así que uno de los primeros consejos que se pueden dar para asegurarse de que esto no nos pase es: hay que desconfiar de los emails “oficiales” que sean extraños y nunca, nunca, abrir un supuesto PDF con permisos de administrador.

Más información en el informe de Centro Criptológico Nacional.