Una condena entre mafias de la ‘dark web’ tumbó al grupo de ciberdelincuentes que atacó el Ayuntamiento de Sevilla y miles de entidades

La dark web, la red oscura oculta a los motores de búsqueda, que encubre las IP (identidad de los dispositivos con los que se trabaja) y accesible solo mediante navegadores específicos, no es un mundo sin reglas, pese a ser la plataforma de las actividades delictivas informáticas, pederastia, trata de personas o venta ilegal de armas y drogas. Como todas las mafias, cuentan con sus normas y la vulneración de ellas conlleva sus castigos. El quebranto de una de estas leyes, la del reparto del dinero obtenido mediante extorsiones, ha sido lo que ha dado al traste con LockBit, la mayor organización de secuestro y chantaje. Entre los muchos delitos atribuidos desde su detección en 2019, tumbó la web del Ayuntamiento de Sevilla, el Puerto de Lisboa, la oficina presupuestaria de California, un hospital infantil de Toronto y miles de empresas. La operación policial internacional contra esta trama, que se ha saldado con dos detenidos en Europa del Este, fue posible después de su condena en la sociedad del crimen. El grupo delictivo intenta ahora resurgir.

La Agencia Nacional contra el Crimen (NCA, por sus siglas en inglés) de Reino Unido anunció el pasado 20 de febrero haber “tomado el control de los servicios de LockBit” tras infiltrarse en la red mafiosa en una operación denominada Cronos. En coordinación con la Europol, dos personas fueron arrestadas en Polonia y Ucrania y se confiscaron 200 cuentas de criptomonedas. Otros cuatro presuntos actores maliciosos fueron acusados judicialmente en Estados Unidos.

“Esta investigación contra el grupo de delitos cibernéticos más dañino del mundo demuestra que ninguna operación delictiva, dondequiera que se encuentre, y por muy avanzada que sea, está fuera del alcance de la agencia y de nuestros socios. Hemos hackeado a los hackers [piratas informáticos]; tomado el control de su infraestructura, obtenido su código fuente y descifrado las claves que ayudarán a las víctimas a descifrar sus sistemas. A partir de hoy [20 de febrero], LockBit está bloqueado”, afirma el director de la NCA, Graeme Biggar.

El director de la agencia federal de investigación (FBI) de Estados Unidos comparte la euforia: “El FBI y nuestros socios han interrumpido con éxito el ecosistema criminal de LockBit, que representa una de las variantes de ransomware [extorsión por el secuestro de sistemas informáticos] más prolíficas en todo el mundo”.

Pero esta operación policial internacional fue el final de un proceso que ya había comenzado en la dark web y que fue el detonante inicial de la desarticulación del equipo criminal. Según describe Sergey Shaykevich, director del Grupo de Amenazas de Check Point durante un encuentro de la multinacional en Viena (CPX), el origen de la caída fue una disputa por los beneficios de una extorsión que se dirimió en un juicio entre delincuentes y una apelación infructuosa que dio lugar a una condena de desaparición. “LockBit fue bloqueado en los foros [de la dark web] y, luego, se derribó. Es un golpe doble”, resume.

LockBit, y otras organizaciones similares, utilizan ransomware como servicio (RaaS). Según la empresa de seguridad Kaspersky, son programas a los que se accede a través de la dark web, como las aplicaciones habituales de entornos de trabajo en la web convencional o limpia. “Las partes interesadas dejan un depósito para usar los programas que se contratan. Los pagos del rescate se dividen entre el equipo de desarrolladores de LockBit y los atacantes, que reciben hasta tres cuartas partes de la extorsión una semana después si se han alcanzado los objetivos”

Shaykevich relata que la disputa que dio lugar al juicio contra LockBit ascendía a 20 millones de euros. “La reputación en ransomware es lo más importante”, comenta el jefe de amenazas de Check Point para explicar cómo un desacuerdo entre delincuentes motivó la caída de un gigante del cibercrimen.

Una de las últimas víctimas del grupo fue el Ayuntamiento de Sevilla, al que LockBit reclamó más de un millón y medio de euros por la recuperación de los sistemas informáticos municipales el pasado septiembre. El concejal de Transformación Digital, Juan Bueno, dijo tras el secuestro que los atacantes eran “de origen holandés”.

El suceso y la primera atribución del concejal, de la que se hicieron eco muchos medios, evidenciaron que el Ayuntamiento carecía de la protección necesaria y que el responsable de Transformación Digital desconocía LockBit, “la organización de ransomware más prolífica del mundo”, según el ministro del Interior británico, James Cleverly.

“¿De Holanda? No, no, no. La mayoría tiene sede en Rusia. Los dos arrestados en Polonia y Ucrania no son los miembros claves, que están en Rusia”, afirma Shaykevich.

Ese falso origen holandés se refería a la localización del último servidor desde el que partió el correo electrónico con el enlace malicioso que dio lugar al secuestro. Estos sistemas de computación para el tráfico de datos, en la dark web, se utilizan para la encriptación sucesiva que evita el rastreo. Según la NCA, la operación Cronos ha supuesto el desmantelamiento de 28 servidores de LockBit.

Posible resurgimiento

Sin embargo, el juicio en la internet oscura y la posterior operación policial internacional no implica el fin de toda la infraestructura de LockBit, que aspira a continuar en el mercado de ataques de secuestro y extorsión porque suponen, según calcula Shaykevich, más de 200 millones de euros de ingresos cada año.

Un presunto responsable del grupo ha afirmado en un comunicado que la intervención policial ha sido posible por una “vulnerabilidad en el lenguaje de programación PHP”. Esta denominación se refiere al sistema de código abierto Hypertext Preprocessor, habitual en el desarrollo de páginas web. “Todos los demás servidores con blogs de respaldo que no tenían PHP instalado no se han visto afectados y continuarán entregando datos robados de las empresas atacadas”, asegura en inglés y ruso el supuesto hacker.

Las empresas de seguridad han detectado ya estos intentos de recomposición, pero cuestionan la viabilidad de continuar con el mismo nombre tras la crisis de reputación criminal generada por la disputa en la dark web y tras haber mostrado una vulnerabilidad aprovechada por la policía internacional. “Mientras las personas no sean arrestadas, lo más probable es que cambien y construyan una nueva organización con un nuevo nombre. Pero el paso que se ha dado es importante y demuestra que las fuerzas del orden operan y que puedes ser castigado”, explica Shaykevich.

Christopher Asher Wray, director del FBI, coincide: “Esta operación [Cronos] demuestra tanto nuestra capacidad como nuestro compromiso para defender la ciberseguridad frente a cualquier actor malicioso que busque afectar nuestra forma de vida. Continuaremos trabajando con nuestros aliados nacionales e internacionales para identificar, interrumpir y disuadir las amenazas cibernéticas, y para responsabilizar a los perpetradores”.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.