La realidad es que si bien el nombre puede sonar “moderno” y que esté vinculado al entorno digital, esta modalidad es tan vieja como la humanidad misma. Hablamos del viejo y (no tan) querido “chantaje” o, por su nombre correcto, extorsión. Lo único que cambia es el medio a través del cuál se lleva a cabo, pero no la acción en sí misma ni las víctimas.
La extorsión es un delito que consiste en obligar a una persona o colectivo, a través de la utilización de violencia, coacción o intimidación, a realizar u omitir un acto o negocio con ánimo de lucro y con la intención de producir un perjuicio de carácter patrimonial o bien del sujeto pasivo y bien normalizado.
En la mayoría de los países es probable que la extorsión constituya un delito penal. El robo es la forma más simple y común de extorsión, aunque hacer amenazas infundadas para obtener una ventaja comercial injusta también es una forma de extorsión.
Esta semana, se hizo muy mediático un caso que afectó al liceo privado Erik Erikson, de Montevideo, por el cual se terminaron exponiendo los datos de los alumnos menores de edad en internet.
Está claro que la tecnología va ganando espacios, y cada vez son más los servicios que las personas utilizamos en linea, es un tema de comodidad y velocidad. Existen una gigantesca oferta de opciones para que las empresas puedan ofrecer sus servicios on-line, muchas veces bajo la presión social y competencia empresarial y publicitaria, usando slogans como “Modernice su empresa”, “aún no permite que sus clientes hagan esto o aquello desde su hogar?, saque a su empresa de la edad de piedra”, “el futuro es digital y globalizado”… y otros tantos argumentos que seguramente, mientras lee este artículo le vengan a la mente.
Pero no todo lo que brilla es oro, y no todos los que venden soluciones mágicas tienen los conocimientos mínimos sobre cómo realmente funciona internet y los riesgos a los que exponen a las personas al publicar un servicio en internet sin las debidas medidas de seguridad.
Porque, seamos claros, cualquiera puede crear una aplicación, contratar un alojamiento web y venderle eso a una empresa… pero que “haga lo que debe y esté lindo” no significa que sea seguro, no significa que los datos que se manejan estén seguros,porque muchas veces esos datos no son de la empresa que da el servicio sino de sus clientes y proveedores. En esos casos, quien brinda el servicio hace de albacea de esa información y no siempre cuentan con la autorización para exponerla en internet, nos explicaron los expertos consultados.
En este caso, los datos pertenecían a alumnos, a menores de edad, pero como se nos explicó antes, no se puede tener certeza del alcance de la filtración. Se hace responsables a quienes perpetraron el ciberataque… lo que está muy bien, ellos son criminales y robaron información y la hicieron pública, pero también debería tener responsabilidad quienes desarrollaron la herramienta que publicó esos datos y evidentemente carecía de los niveles adecuados de seguridad.
Nadie está libre de ser víctima de un ciberataque, pero lo cierto es que la mayoría de las veces, el ataque termina siendo efectivo porque en algún momento, alguien, cede información, divulga una contraseña, hace click dónde no debe, o simplemente se explota una vulnerabilidad de la herramienta que se utiliza en internet por la empresa. Porque una cosa es una página web con información de un servicio, empresa o persona, pero otra muy diferente es un sistema que gestiona información y transacciones de terceros.
En el último mes, los analistas en ciberseguridad advierten que esta nueva modalidad crece y llama la atención. El data extortion, o extorsión de datos en español, es similar al ya conocido ransomware, o secuestro de datos en español, pero tiene una leve diferencia, el atacante no priva el acceso a los datos robados a la víctima.
Significa que los hackers roban datos a las víctimas y los extorsionan para que le paguen dinero a cambio de no hacer públicos esos datos. La principal diferencia que tiene con el ransomware, es que en este caso no se encripta la información y la victima puede seguir trabajando con ella.
Mauro Eldritch, lider de un portal donde se publican todos los hackeos que ha habido en el país en el último tiempo (MeFiltraron), y Pablo Giordano, CTO de Hacknoid, empresa que brinda soluciones de ciberseguridad, han notado un aumento en esta nueva modalidad de ataque.
¿Por qué hay un auge de data extortion?
Según explicó Eldritch el Observador, este tipo de ciberataque crece por los problemas que vienen sufriendo varios grupos de ransomware y la fuerte presión que están teniendo por el FBI y otras agencias alrededor del mundo. Según lo que se conoce sobre su operativa es que funcionan similar a otros carteles, y ante la caída de un grupo no es tan sencillo pasar a integrar otro. Este método no “secuestra” los datos de la víctima, los copia y si la víctima se niega a pagar o vence el plazo establecido la información será publicada en internet y anunciada globalmente.
Esta información en manos de hackers puede tener consecuencias graves para una empresa. Los expertos aseguran que puede afectar la confidencialidad, generar daño a la reputación, además de generar posibles implicaciones legales.
Pero, ¿por qué termina siendo más efectiva la extorsión que el secuestro?
Según los expertos, en el secuestro el cliente ve claramente qué es lo que fue afectado, y puede establecer claramente si eso afecta o no a su trabajo, empresa o persona y decidir como actúa en base a eso. Sin embargo, en el caso de data-extortion a la victima se le avisa que sus datos fueron robados, generalmente con una muestra de algún documento, pero en esos casos la víctima no puede tener certeza del alcance de ese robo, no existe una “huella” del alcance del robo, y por consiguiente le es muy difícil determinar como actuar, y pagar termina siendo la opción elegida.
Pero la realidad es otra mucho más fácil de comprender, y es volúmen de mercado. En lugar de ir contra una gran institución o empresa y obtener digamos USD300 mil, como fue el caso que afectó a la firma legal Guyer y Regules el pasado mes de Setiembre de 2023 en nuestro país, este sistema apunta a los individuos y los “rescates” son menores, pero afectan a cientos de miles a nivel global. Una de las reglas básicas del comercio, bajo precio y alta masa de potenciales compradores.
¿Quién hace data extortion y qué víctimas tuvo?
El grupo que más ha aplicado este ataque en el país es GOD HAND, un grupo cuya actividad principal es publicar en foros y canales de chat especializados datos personales tras sus hackeos.
Según el portal BlackFog, esta “migración” de modalidad comenzó con la organización BABUK en el 2021. Hasta ese entonces, BABUK era bien conocida como la organización ciber-criminal y se auto describía como “best penetration testers [on the] dark net”. Ellos desarrollaban programas de ransomware y lo disponibilizaban a otros ciber-delincuentes a cambio de una parte de las ganancias que estos obtuvieran por el uso de sus programas.
Ellos fueron los primeros en darse cuenta que era “más lucrativo” ir contra los individuos que las grandes corporaciones. La ganancia es doble, primero, el volumen de dinero es infinitamente mayor, en dosis menores, pero un “goteo” constante y masivo. En segundo lugar, la visibilidad y exposición, los grandes organismos, gobiernos, incluso grandes corporaciones, tienen grandes recursos y suelen tener acceso a fuerzas del órden, como el FBI de forma más rápida. Sin embargo, el individuo no lo tiene, es más dificil que pueda llegar a mover ese tipo de estructuras.
El portal MeFiltraron, que recopila los incidentes de ciberseguridad ocurridos en el último tiempo, y claramente en nuestro país estamos pagando las consecuencias de una alta exposición de servicios de internet sin los controles adecuados.
El ataque al Liceo Erik Erikson de Montevideo sucedió el pasado 28 de abril y este grupo puso a la venta en un foro alrededor de 300 archivos académicos de este centro educativo con información personal y académica de menores de edad. No debe hacerse responsable al liceo, claro está, ellos confiaron en una herramienta y también los padres confiaron en ella y aceptaron su utilización, pero no será hora de evaluar el ¿qué y el cómo se publican ciertos servicios en internet?
