El Padrino, muerte entre las flores o uno de los nuestros son películas que seguro por edad no han disfrutado los integrantes de DarkSide y eso a pesar que se identificarían como almas gemelas de Michael Corleone o del personaje inspirado en historia real de Henry Hill, el mafioso arrepentido que a finales de los años 70 facilitó al FBI la información necesaria para descabezar a los sindicatos del crimen más poderosos de la Gran Manzana, las familias Lucchese y Gambino.

Sé identificarían, seguro, desde la primera frase en OFF que se escucha en el film <<uno de los nuestros>>: «Desde que puedo recordar, siempre quise ser un gánster

¿Cómo funciona DarkSide?

DarkSide, es una de las más pujantes bandas de ciberdelincuentes. Todo apunta a que provienen de Europa del este, concretamente de Rusia. Utilizan un ransomware del mismo nombre que su grupo para atacar a empresas y organizaciones.
El grupo da nombre a una variedad de ransomware relativamente nueva que hizo su primera aparición en agosto de 2020. Sigue el modelo RaaS (ransomware-as-a-service), que es cuando los desarrolladores ransomware se asocian con lo que denominan «afiliados» (proporcionándoles capacidades de ransomware a los delincuentes que no tienen las habilidades o los recursos para desarrollar su propio malware). El modelo de negocio RaaS, es similar al de las franquicias, donde los «afiliados» no son sino otros grupos de ciberdelincuentes, responsables de obtener acceso a una red víctima, a sus dispositivos y a sus datos para posteriormente cifrarlos, mientras que el franquiciador les aporta los medios comunes; software, técnicas y tácticas, soporte, publicidad, así como la realización de la negociación. Todo ello a cambio de un porcentaje del beneficio. Este modelo de negocio basado en Ransomware sigue la tendencia de la doble extorsión, lo que significa que los actores de amenazas no solo cifran los datos del usuario, sino que primero exfiltran los datos y amenazan con hacerlos públicos si no se paga la demanda de rescate.
En su web, en la darkweb, el grupo ha publicado datos robados de más de 40 víctimas, que se estima que son solo una fracción del número total. Sus demandas de rescate oscilan entre los 200.000 y los 5 millones de dólares (con una media recaudatoria de 1,9 M$) y, a pesar de ser un grupo nuevo, el equipo de DarkSide ya se ha ganado una gran reputación.

Darkside se comportan como grandes corporaciones multinacionales, al ya citado modelo de franquiciado, se une su gabinete de prensa. A las pocas horas de consumarse el delito emitieron un comunicado, en él que afirmaron que la gente no tenía qué preocuparse porque «no es terrorismo, no es político, solo es dinero«. Como dice Michael Corleone en el Padrino: No es nada personal solo son negocios.

Tienen incluso sus acciones de responsabilidad social corporativa pues sirva como ejemplo que Darkside el 13 de Octubre del 2020 donó aproximadamente 10.000 dólares a Children International, cuya misión es combatir la pobreza extrema que afecta a niños y jóvenes a través de donaciones y el apadrinamiento, y The Water Project, una organización que tiene como objetivo proveer de agua de calidad en los países de África Subsahariana.

¿Qué es Ransomware?

El ransomware no es sólo una extorsión financiera; es un delito que trasciende las fronteras empresariales, gubernamentales y geográficas. Pongamos como ejemplo la información aportada por Microsoft en relación a una nueva campaña de Nobelium (Solarwinds) sobre 150 empresas y organizaciones de 24 países.Estos ataques han afectado de forma desproporcionada al sector sanitario durante la pandemia de COVID, y ha cerrado empresas, escuelas, hospitales, comisarías de policía, ayuntamientos, redes de oleductos e incluso instalaciones militares estadounidenses. También es un delito que canaliza fondos privados y dinero público proveniente de los impuestos hacia organizaciones criminales globales. Las ganancias robadas a las víctimas pueden financiar actividades ilícitas que van desde nuevos ciberataques , pasando por el tráfico de personas hasta el desarrollo y la proliferación de armas de destrucción masiva.

A pesar de la gravedad de sus delitos, la mayoría de los delincuentes que se dedican al ransomware operan con casi total impunidad, desde jurisdicciones que no pueden o no quieren llevarlos ante la justicia y no es tan fácil como decir que siempre hay un estado detrás. Jay Healey en Spectrum of National Responsibility identifica en dicho espectro diez posturas diferentes de los estados; yendo de los países que persiguen a los grupos ciberatacantes a los que los integran totalmente en sus estructuras y pasando por ocho posicionamientos intermedios.

Un informe reciente del ‘broker’ de seguros Aon cifra en un 400% el incremento global de estos ataques desde 2018 hasta finales de 2020. Aseguradoras y ‘brokers’ ofrecen desde hace tiempo pólizas qué cubren los daños causados por estos ciberataques, incluido el pago del rescate para liberar los datos secuestrados. En algunos países, como Reino Unido o Francia, estas pólizas son legales, mientras que, en España, este tipo de pólizas son ilegales. Las aseguradoras pueden cubrir los daños causados por un ciberataque, pero no los pagos de un rescate. El artículo 518 del Código Penal establece penas de prisión, multas e inhabilitación para quienes favorezcan la «fundación, organización o actividad» de bandas criminales mediante su «cooperación económica». Sin embargo, que oficialmente no se puedan realizar los pagos no quiere decir que no se usen.

Hay una serie de factores que pueden influir en que las víctimas accedan a pagar la petición de rescate, entre ellos si tienen un ciberseguro que permita cubrir el rescate como gastos de recuperación (mediante terceros), la calidad de sus copias de seguridad de los datos, la complejidad de la red y los esfuerzos de corrección de las debilidades, el riesgo de sanciones o incluso el reputacional (si aún no es de dominio público la intrusión o se puede «difuminar» la extensión de la brecha) o los costes estimados de la interrupción del sistema. Las consideraciones legales, la titularidad pública o privada o de rendición de cuentas ante terceros, también entran en juego.

Como conclusión y cambiando de género cinematográfico me viene a la memoria una frase (muy simple) de TIBURÓN pero que aplicada a este contexto nos puede transportar a una idea compleja (los medios y el cambio necesario): «Vamos a necesitar un barco más grande».

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de Autelsi.