Durante el pasado mes de septiembre, la policía holandesa detuvo a los creadores del virus Coinvault. Este virus es uno de tantos pertenecientes al tipo ransomware. Este software malicioso encripta todos los documentos y archivos multimedia y exige después un rescate en bitcoins, la moneda virtual. En este caso concreto, las primeras versiones de CoinVault empezaron a circular en mayo de 2014 y tenía, como rasgo distintivo, que ofrecía desencriptar un solo archivo gratis, como “muestra de buena voluntad”. Sin embargo, como el resto de virus de esta variante, el rescate era de varios cientos de euros.

El ransomware encripta todos los documentos y archivos multimedia y exige después un rescate en “bitcoins”

La Unidad Holandesa Especial de Crímenes de Alta Tecnología, en colaboración con la empresa antivirus Kaspersky Lab, empezaron a analizar el código del virus; tanto para buscar alguna posible solución, como para buscar pistas que permitieran identificar a los autores. Cuando los primeros resultados de esos estudios fueron publicados, el virus pareció desaparecer de repente. Sin embargo, se detectaron dentro del código líneas escritas en perfecto holandés. Dado que el holandés es un idioma difícil y relativamente minoritario en las redes, esto hizo sospechar a Kaspersky que los autores eran de esa nacionalidad.

Casi un año después, la empresa española Panda Antivirus hizo llegar a Kaspersky nuevas muestras de lo que parecía ser el sucesor de Coinvault, llamado BitCryptor. Este nuevo virus compartía casi las mismas líneas de código que CoinVault, sólo que los mensajes de texto mediante los cuales informaba del chantaje ya habían sido traducidos a varios idiomas, lo que indicaba que los autores de la extorsión querían expandir su rango de acción.

Herramienta gratuita para recuperar los archivos

Los policías y los ingenieros de software consiguieron detectar otros programas que el virus creaba para comprobar los pagos y para expandirse, para lo que necesitaban comunicarse con un servidor situado en los Países Bajos. La Unidad de Crímenes de Alta Tecnología obtuvo permiso para hacerse con el control de dicho servidor. Gracias a la observación del tráfico que registraba y a la recopilación de datos, no sólo se pudo detener a los autores de la extorsión, sino recuperar todas las claves necesarias para liberar a los ordenadores “secuestrados”. Kaspersky mantiene una página web donde es posible comprobar si nuestro ordenador ha sido afectado por esos virus y donde ofrece una herramienta gratuita para librarnos de él y recuperar nuestros archivos.

Así, los 14.031 ordenadores afectados por los virus podrán liberarse de la encriptación sin pagar rescate alguno, aunque la policía holandesa ha confirmado que algunos ya lo hicieron, pero sin especificar su número. Hay dos detenidos en Rotterdam, de 18 y 22 años, que están a la espera de juicio y cuyos nombres no han sido revelados. El portavoz de la policía, Thomas Ailingm, declaró: “No sabemos por qué se estaban dedicando a hacer esto. Y uno puede fijarse sólo su edad, pero lo que hacían no era ninguna broma”.

Este ha sido el tercer gran golpe policial contra los “ciberextorsionadores”, junto al de los autores de “Cryptolocker” y los del infame “virus de la Policía”.