DarkSide, los ‘hackers’ con canal de atención al cliente que pretenden ser Robin Hood | Tecnología


DarkSide apareció en las profundidades de la red a mediados de agosto del año pasado. “No queremos matar tu empresa”, afirmaban en su manifiesto original. El grupo de cibercriminales especializados en secuestros informáticos responsable, según el comunicado emitido el lunes por el FBI, del ataque a Colonial ―una de las principales redes de oleoductos de Estados Unidos― se presentaba en su página del internet oscuro ­―parte de la web solo accesible desde navegadores específicos­― como una suerte de Robin Hood. Solo atacaría aquellas empresas capaces de asumir el pago del rescate de sus datos y evitaría dirigir sus programas de secuestro informático a hospitales, colegios, empresas sin ánimo de lucro o agencias gubernamentales.

A esta promesa se sumaban acciones pretendidamente altruistas, como la donación de parte de sus beneficios a proyectos solidarios. Según proclamó la banda en un comunicado difundido en octubre de 2020, su intención era entregar parte de los rescates a organizaciones benéficas. “No importa lo malos que pienses que somos, nos satisface saber que ayudamos a cambiar la vida de alguien”, afirmaban en el anuncio de sendas donaciones de 10.000 dólares a Children International y The Water Project. José Rosell, socio director de la empresa de ciberseguridad especializada en infraestructuras críticas S2Grupo, se muestra especialmente escéptico con estas proclamas: “Mentira podrida. Esto es puro negocio. No olvidemos que son delincuentes como la copa de un pino”.

Más información

¿Quiénes son? “Todo apunta a que provienen de Europa del este con algunas ramificaciones en Rusia, pero no hay evidencias que permitan asegurarlo”, señala Hervé Lambert, responsable de operaciones globales de consumidores de la firma de ciberseguridad Panda Security. Su nombre, DarkSide, podría ser una referencia al lado oscuro de la saga de La guerra de las galaxias. En su carta de presentación se describen como expertos con cosechas de millones de dólares en rescates: “Creamos Darkside porque no encontrábamos el producto perfecto para nosotros”. Antes de cumplir su primer mes de vida ya podían presumir de haber recaudado grandes sumas en ataques lanzados bajo el nuevo estandarte, a través de pagos que oscilan entre los 200.000 y los 2 millones de dólares.

Sistema de moderación y chequeo

Tras el ataque a Colonial, Darkside ha hecho público un comunicado en el que insisten en su naturaleza apolítica. Además, conscientes del perjuicio causado a miles de ciudadanos ―el ataque afectó al abastecimiento de crudo del sur y este de EE UU― se comprometen a introducir un sistema de moderación y chequeo de cada compañía que sus socios quieran atacar para evitar posibles consecuencias en el futuro. “Nuestro objetivo es hacer dinero, no crear problemas para la sociedad”, aseguran. Para Lambert, el corto plazo en que se han consolidado en la cima del lado oscuro de internet no es tan sorprendente: “Es gente muy hábil para esto. Tienen grandes ventajas a la hora de lanzar sus acciones de marketing. Pueden hacer mucho ruido en muy poco tiempo”.

En sus inicios a DarkSide se le asoció con REvil, otro conocido operador de secuestros informáticos, dadas las similitudes en el código empleado por los atacantes de ambos colectivos y, especialmente, en la estructura y contenidos de la nota de rescate con que acompañan sus ofensivas. Además, coinciden con REvil en su activa intención de evitar infectar a víctimas de países de las antiguas repúblicas soviéticas.

Entre sus primeras víctimas estuvo la inmobiliaria estadounidense Brookfield Residential, cuya infección hicieron pública en su sitio web. El anuncio, encabezado con el nombre del portal, detallaba los contenidos de los 200 gigas de información robada en el ataque: “Hemos descargado un montón de datos interesantes de vuestra web”. En el mismo comunicado se ofrecían a enviar pruebas y ―en lo que luego se convirtió en una práctica habitual― advertían que los datos se subirían automáticamente a la red en caso de que la compañía no pagase el rescate. La posterior publicación de los datos sugiere que la inmobiliaria no accedió al chantaje.

En noviembre de 2020, la banda comenzó a anunciar una nueva línea de servicios para terceros en los principales foros de cibercrimen. En el marco de su programa de afiliados, ofrecen las últimas versiones de su software de secuestro informático a socios con los que luego comparten los beneficios obtenidos en el rescate. De acuerdo con la firma de ciberseguridad Ke-la, la parte del pastel reservada a los afiliados oscila entre un 15 y un 25% de la suma, es decir, en un hipotético rescate de 2 millones de dólares Darkside se embolsaría un mínimo de 1,5 millones y sus socios, un máximo de 500.000. La práctica también forma parte de la cartera de servicios de REvil, que se compromete a pagar un 30% de cada rescate y sube la apuesta al 40% si el cliente consigue supera los tres rescates cobrados con éxito. “Hay una presencia cada vez mayor de grupos muy profesionalizados. No hay que olvidar que la ciberdelincuencia mueve muchísimo dinero”, puntualiza Lambert.

Este modelo de negocio permite a los cibercriminales centrarse en el desarrollo de sus programas maliciosos, mientras que los afiliados obtienen sus virus listos para lanzar la infección. La desventaja ­para estas bandas es que su reputación se ve dañada si los clientes se saltan su código ético, como parece haber ocurrido en el caso de los oleoductos, y que sus vías de actividad están más expuestas a la potencial infiltración de investigadores y fuerzas de seguridad.

Una organización compleja

Sin embargo, el ascenso al olimpo del cibercrimen no ha sido un camino de rosas para DarkSide. A principios de 2021, la firma de ciberseguridad Bitdefender lanzó una herramienta gratuita para ayudar a las víctimas del colectivo a recuperar el acceso a los archivos cifrados en el secuestro, evitando así la necesidad de pagar rescate alguno. La banda se recuperó de este revés en marzo, con el lanzamiento de DarkSide 2.0. Una versión mejorada a de su sus servicios que además incluyen un cifrado más rápido de los archivos infectados y permite a los afiliados comunicarse con sus víctimas a través de una llamada de voz.

El llamativo enfoque corporativo con el que se conduce DarkSide, que ofrece canales de atención al cliente, envía notas de prensa y hace donaciones a proyectos solidarios, no es exclusivo de la banda. “Son organizaciones complejas con muchas capacidades. Invierten en investigación y desarrollo, equipos de marketing… En la dark web hay catálogos enteros con el precio de cada base de datos”, comenta Rosell. De acuerdo con un análisis de Karspersky las prácticas de este colectivo son una muestra más de cómo se está consolidando la industria del secuestro informático.

Ante el crecimiento de este sector, Lambert prescribe un mayor respeto por la seguridad en el entorno de las grandes infraestructuras. “¿Realmente ha sido tan fácil entrar en una infraestructura tan sensible?”, se pregunta. Además, el éxito de ataques como este le lleva a augurar un largo tiempo de vida al DarkSide. Y la amplia superficie de ataque que supone el funcionamiento cada vez más digital de diferentes entidades tampoco invita a la esperanza. “¿Tú sabes la de puntos débiles que hay para atacar en una infraestructura como un oleoducto? Son miles de proveedores, usuarios… La falta de conciencia de la sociedad es de tal calibre que nos pueden dar por todas partes. Y esto que ha pasado es el inicio”, advierte Rosell.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter.

Lo más vendido de tecnología informática

RebajasBestseller No. 1
HP Chromebook X360 14a-ca0003ns - Ordenador portátil de 14" FullHD Convertible táctil (Celeron N4020, 4GB RAM, 64GB Emmc, Gráficos Intel UHD, Chrome OS ) Plata - teclado QWERTY Español
  • Pantalla FHD (1920 x 1080) de 14" (35,6 cm) en diagonal, táctil, IPS, bisel micro-edge, antirreflectante, 250 nits, 45 % NTSC
  • Procesador Intel Celeron N4020 (2 núcleos, 1,1 GH/ 2,8 GHz, 4 MB)
  • Memoria RAM de 4 GB LPDDR4-3733 MHz
  • Almacenamiento de 64 GB eMMC
  • Tarjeta gráfica integrada Intel UHD 600
Bestseller No. 2
Law & Order: Special Victims Unit - Season 11
  • Amazon Prime Video (Video on Demand)
  • Mariska Hargitay, Christopher Meloni, Richard Belzer (Actors)
RebajasBestseller No. 3
Bestseller No. 4
VASAGLE Escritorio de la Computadora Blanco Mesa de Ordenador en Forma de Z Escritorio para hogar o Oficina LCD811W
  • ¿QUIERES CAMBIAR TU LUGAR DE TRABAJO? ¡Este escritorio está equipado con 4 ruedas para moverlo de la oficina a la sala de estar o incluso al balcón! 2 ruedas están equipadas con frenos para mantener el escritorio en su lugar
  • ESPACIO PEQUEÑO: Este escritorio compacto, de 60 x 48 x 73 cm, cabe en espacios reducidos y ofrece espacio para tu PC o portátil. La unidad central y la impresora se pueden colocar en el estante inferior
  • ESTRUCTURA EN FORMA DE Z ESTABLE: Está hecho de tubos de acero y tablero de aglomerado de 15 mm de espesor. La parte superior soporta hasta 30 kg. El enchapado en melamina es resistente al desgaste y a la decoloración. Se puede limpiar con un paño húmedo
  • CON SOPORTE DE TECLADO: El soporte de 54 x 26 cm está equipado con rieles silenciosos para crear un ambiente de trabajo tranquilo. El teclado no ocupa espacio en la parte superior, así que hay más espacio para mirar las notas
  • QUÉ HAY EN LA CAJA: Instrucciones ilustradas, piezas numeradas, agujeros pre-perforados en el lugar correcto, la herramienta necesaria para el montaje y lo más importante. Este compacto escritorio de VASAGLE se puede montar en pocos minutos
Bestseller No. 5
NITROPC - PC Gamer Nitro AMZ 2021 *Rebajas* (CPU AMD 2/4N x 3,50 GHz, T. Gráfica 2 GB, HDD 1 TB, Ram 16 GB, W10) + WiFi de Regalo. pc Gamer, pc Gaming, Ordenador para Juegos (actualizado Julio 2021)
  • CPU: AMD 3000G 3,50 GHZ (Turbo) x 2/4 núcleos / Placa base Chip AM4 A320 DDR4
  • GRÁFICA: AMD VEGA 3 2GB (integrada CPU)
  • RAM: 16 Gb (8 GB X 2) 2400 MHZ
  • HDD: 1 TB SATA 6 GB/S
  • Producto 100% Español* Windows 10 Pro de 64 bits activado, 100% testeado, 2 años de garantía Premium incluida.

Fuente original