"Llame al seguro y envíe 8 millones": La gasolina que alimenta el alud de cibersecuestros

"Lo que pedimos es inferior a la cobertura de su póliza de 10 millones. Creo que es momento de llamar a su aseguradora". Si alguna vez se ha preguntado cómo se las gasta un cibercriminal que ha secuestrado una empresa y pide un rescate millonario por liberar todos sus datos, esta es una situación real.

Se trata de la negociación por chat filtrada entre el grupo de cibercriminales rusos Wizard Spider y la cadena británica de ropa FatFace, que tuvo que cerrar más de 200 tiendas el pasado marzo en todo el país tras sufrir un ciberataque con 'ransomware'. Le pidieron 8 millones de dólares. Al final no tuvo opción, pagó menos, 2 millones, pero pagó. En España, decenas de empresas y organismos, desde Adif a The Phone House, pasando por Glovo o el Servicio Público de Empleo Estatal (SEPE), se han visto en una situación similar. Los ciberataques se han disparado y hay un factor que está contribuyendo al efecto llamada: el secretismo del negocio en torno al pago de rescates millonarios.

TE PUEDE INTERESAR

Así se descubrió el ciberataque al Gobierno que tiene en vilo al CNI y a la Guardia Civil

Manuel Ángel Méndez C. Otto

El 'ransomware' usado por los rusos Wizard Spider para atacar FatFace se denomina Conti y es el mismo con el que acaban de tumbar el sistema de salud irlandés, en una acción por la que piden 20 millones de dólares de rescate, que ha obligado a cancelar o retrasar miles de consultas e intervenciones médicas y que se ha convertido ya en un asunto de seguridad nacional. "Es posiblemente el mayor ciberataque realizado al estado Irlandés", ha dicho el ministro de Estado y Gasto Público, Ossian Smyth. El primer ministro del país, Micheál Martin, ha confirmado también dos cosas: que no hay ningún gobierno detrás, son puros cibercriminales en busca de dinero, y que no van a pagar el rescate. La primera consecuencia de la negativa era esperable: los datos médicos de miles de irlandeses han comenzado a publicarse en internet.

La británica FatFace también dijo al principio que no pagaría y acabó desembolsando 2 millones. Colonial Pipeline envió 5 millones de dólares al grupo Dark Side tras el ciberataque que paralizó uno de los mayores oleoductos de EEUU. CNA Financial, una de las principales aseguradoras de EEUU, a la que exigieron 60 millones en marzo, pagó 40. Es la punta del iceberg. Solo trascienden los nombres de un puñado de empresas que pagan, pero la realidad es que bajo la superficie hay miles de compañías afectadas por esta nueva forma de extorsión que no para de crecer. El motivo apunta precisamente a los rescates, son la gasolina que alimenta todo el sistema. Si hay dinero sobre la mesa, hay delito. Las autoridades de varios países quieren cortar el grifo y ya han señalado a las aseguradoras como uno de los principales culpables de que la rueda no pare de girar.

Aseguradoras y 'brokers' ofrecen desde hace tiempo pólizas que cubren los daños causados por estos ciberataques, incluido el pago del rescate para liberar los datos secuestrados. En algunos países, como Reino Unido o Francia, estas pólizas son legales pero, según las autoridades, suponen un 'efecto llamada' para los cibercriminales. Un informe reciente del 'broker' Aon cifra en un 400% el incremento global de estos ataques desde 2018 hasta finales de 2020. Axa ha sido la primera gran aseguradora en anunciar que cancelaba estas pólizas en Francia, cediendo a las presiones de las autoridades por eliminarlas. La razón oficial es desincentivar a los cibercriminales. La realidad es que el aumento de estos ataques es tan descomunal que a las aseguradoras comienzan a no salirles los números.

En España, este tipo de pólizas son ilegales. Las aseguradoras pueden cubrir los daños causados por un ciberataque, pero no los pagos de un rescate. El artículo 518 del Código Penal establece penas de prisión, multas e inhabilitación para quienes favorezcan la "fundación, organización o actividad" de bandas criminales mediante su "cooperación económica". Sin embargo, que oficialmente no se puedan firmar no quiere decir que no se usen.

"Aquí hay dos discursos, el institucional y el real. El primero dice que si pagas un rescate te arriesgas a que te encausen por colaboración criminal. Te dicen que no hay que financiar a los cibercriminales porque alimentas al monstruo. En el mundo real, las empresas afectadas por un 'ransomware' se enfrentan a un potencial cierre y hacen un simple cálculo de riesgos y costes. ¿Cuánto te cuesta estar parado varias semanas, que te denuncien miles de clientes por revelar sus datos y las multas posteriores frente a pagar el rescate? Al final muchas acaban pagando", explica a El Confidencial Román Ramírez, especialista en ciberseguridad que ha asesorado a varias empresas españolas en estos cibersecuestros. "Es un tema sobre el que impera la ley del silencio, nadie quiere reconocer que ha pagado para evitar problemas legales".

Otras fuentes consultadas del sector de ciberseguridad y seguros reconocen que al menos una docena de empresas españolas, varias del Ibex 35, han pagado recientemente algún tipo de rescate tras haber sufrido un cibersecuestro con 'ransomware'. En su mayoría lo han hecho a través de pólizas contratadas con aseguradoras, en otros casos, los menos, tirando de pequeñas empresas especializadas o profesionales que negocian directamente con los cibercriminales.

"Estas pólizas existen en España, por supuesto, pero son cláusulas confidenciales negociadas caso a caso. No se puede ir diciendo alegremente que se paga un cibersecuestro. Las aseguradoras, oficialmente, nunca pagan, pero al final ofrecen el servicio bien a través de un intermediario de otro país, que es el que figura, o bien en forma de reembolso a la empresa. De esta forma no se saltan la ley, pero el 'efecto llamada' para los cibercriminales es el mismo", explica a Teknautas un empleado del sector seguros con conocimiento directo de estos acuerdos.

Contactados por este diario, aseguradoras como Mapfre señalan que no ofrecen estas pólizas de cobertura de pago por rescates al estar prohibidas por ley, pese a vender productos que sí cubren las pérdidas por ciberataques. Lo mismo aseguran el resto de empresas e intermediarios del sector. Sin embargo, por debajo de la línea de flotación, el mecanismo de respuesta y pago a los cibercriminales se activa siempre que se necesita.

La prueba está en las cifras de ganancias de grupos de cibercriminales como Dark Side, autores del 'hackeo' al oleoducto estadounidense: 90 millones de dólares de 47 víctimas en solo nueve meses. Otro grupo, Revil, asegura haberse embolsado 100 millones. Son solo dos de las decenas de bandas que están extorsionando activamente a empresas en todo el mundo. "Los cibercriminales evalúan cuánto factura la empresa y suelen pedir entre un 5% y un 10% de esa cantidad. Al final siempre se negocia a la baja pero, aun así, sus ganancias son enormes", explica Ramírez.

Este especialista señala que la decisión tomada por Axa en Francia puede tener un peligroso efecto arrastre. "Han lanzado un globo sonda a ver cómo reacciona el sector, pero creo que es un giro negativo. Si las empresas al final no pueden tirar del seguro, van a tener que pagar igual. Hay veces que no te queda más remedio que ceder al chantaje". Fuentes del sector seguros señalan que el gran drama para las empresas no es tanto el pago de rescate, sino las pérdidas que puede ocasionar el ciberataque. El tiempo medio de recuperación de un 'ransomware' no suele bajar de las dos o tres semanas. Y su nivel de sofisticación va en aumento.

"Imagina que acceden a los documentos de una empresa de infraestructuras o de arquitectura y manipulan sutilmente algunos parámetros de construcción de una autopista por la que pasan 10.000 coches al día o un rascacielos para 2.000 personas. Aquí el chantaje sería otro. O me pagas 10 millones o no te digo qué parámetros he manipulado. Obligaría a las empresas a unos costes brutales de auditoría", dice Ramírez. Son pistas de lo que está por llegar: cibercriminales tomando como rehenes no solo a las mayores empresas del mundo, también a países enteros como EEUU o Irlanda.