Ellos también se 'queman': todo lo que desvela la filtración de los chats de una de las mafias de ciberdelincuentes rusos más temidas de la red

La ciberguerra fruto de la invasión de Ucrania está abriendo varios frentes. Uno de las más singulares se dio a principios de marzo, cuando un hacker anónimo filtró en redes sociales más de 200.000 mensajes que compartieron entre sí más de 450 criminales informáticos que trabajaron en Trickbot, una de las cibermafias de presunto origen ruso que más temidas fueron en 2020.

La filtración se compartió por primera vez en Twitter el pasado 27 de febrero. El 2 de marzo, el mismo investigador anónimo compartió otra publicación, según detalla The Wall Street Journal. "¡Ucrania se levantará!", escribió.

Los más de 200.000 mensajes ahora accesibles revelan cómo Trickbot tenía una engrasada organización propia de un sindicato del crimen, e incluso desvelan posibles conexiones con los servicios de inteligencia rusos, según incide el propio periódico estadounidense. Destacan, por ejemplo, la capacidad de resiliencia del colectivo para responder a ataques de autoridades internacionales.

O incluso sus ideas para diversificar su propio negocio creando incluso una criptomoneda propia.

En resumen, la vida dentro de una de las mafias de ciberdelincuentes más grandes del mundo era entre bizarra y mundana: las animosas charlas entre los criminales podían variar desde conflictos entre 'trabajadores' a peticiones de días de vacaciones o de asuntos propios, así como ideas un tanto extravagantes como abrir una división de espionaje en favor de Rusia.

Una red de 'vigías' para alertar a todo el país de ataques informáticos, prioridad en el Plan Nacional de Ciberseguridad de más de 1.000 millones de euros

Los cibercriminales, a fin de cuentas, también pueden sufrir el síndrome del trabajador quemado o considerar que sus emolumentos no son los suficientes. Lo que trasciende de estas conversaciones es además que los salarios de los 'trabajadores' en Trickbot oscilaba los 1.300 y 1.800 euros, según ha contado también elDiario.es.

Dos personas que conocen al investigador anónimo que ha liberado toda esta información han confirmado a The Wall Street Journal que la hazaña es suya, mientras que el propio hacker ha declinado hacer comentarios, al igual que el FBI. Las autoridades estadounidenses todavía no han anunciado la veracidad de este material, pero expertos consideran que es aparentemente auténtico.

Como organización criminal, Trickbot ha operado distintas herramientas de ataque, desde una botnet a un ransomware que se conoció como Conti y que estuvo activo también en 2021. Pero si por algo es conocida esta entidad es por su amenaza de impactar sobre hospitales estadounidenses en 2020, en el peor momento de la pandemia.

Algunos de los mensajes interceptados son de los propios ciberdelincuentes asegurando que va "a cundir el pánico" en Estados Unidos. Afortunadamente, el FBI detectó las intenciones de los criminales y alertó a los centros hospitalarios y sanitarios del país, con lo que no hubo que lamentar males mayores. En plena pandemia, un ataque informático a un hospital puede cobrarse vidas.

En su momento, que el FBI desbaratara sus planes no pareció importar mucho en el seno de este Trickbot Group. Algunos de sus criminales resumían en sus chats internos que veían "divertido" cómo había acabado su amenaza en ese contexto.

La guerra obliga al Gobierno a agilizar la creación del Centro de Operaciones de Ciberseguridad que se lleva prometiendo desde 2017

El ransomware ha sido en los últimos años uno de los ciberataques que más ha preocupado a la comunidad internacional. De ser una rara excepción que afectaba a grandes corporaciones, muchos colectivos de ciberdelincuentes siguen lucrándose a día de hoy de infectar ordenadores de pequeños y medianos negocios y bloquearlos.

Un ransomware cifra los archivos de todo un sistema o de toda una red para después exigir a su víctima un rescate económico a pagar si quiere recobrar la normalidad. En 2020, muchos de estos ciberataques integraron exfiltraciones de datos, es decir, robo de información sensible con la que los criminales podían mejorar sus campañas de chantaje y extorsión a sus víctimas.

En 2021 uno de estos ciberataques provocó un apagón en un oleoducto estadounidense, por un ataque que sufrió su propietario, la empresa Colonial Pipelines. Puso en riesgo el suministro de carburante en parte del país y obligó al presidente de Estados Unidos a decretar un estado de alarma. Desde entonces, EEUU ha convocado varias cumbres internacionales para tratar este tema.

A esas cumbres nunca ha invitado a España, por otro lado.

Fruto de esas reuniones multilaterales, EEUU ha redoblado su ofensiva ante lo que entiende como una "tolerancia" por parte de la Federación Rusa a este tipo de ciberataques. La mayor parte de los crímenes relacionados con ransomware los ejecutan ciberdelincuentes asentados en suelo ruso. Estas 'bandas' ya son una de las prioridades para la seguridad nacional estadounidense.

Europa anuncia el tercer acuerdo con EEUU para transferir datos allí: por qué cayeron los dos anteriores y por qué no es seguro que a la tercera vaya la vencida

El ransomware que opera Trickbot es Conti, y ha cobrado un especial protagonismo durante el conflicto bélico que asola ahora a Ucrania. Aunque no es el único actor clave. Check Point, una firma de ciberseguridad de origen israelí, cifra la escalada de amenazas cibernéticas en datos muy concretos.

Según su último reporte de amenazas, la semana pasada la media de ataques semanales por empresa en Ucrania fue de 1.697, un 39% más que antes de que estallara la guerra. En Rusia fue de 1.550, un 22% superior al período previo al conflicto.

Eusebio Nieva, director técnico de esta firma para España y Portugal, explica que los ciberataques siguen aumentando "a medida que avanza el conflicto". 

"Parece que los ciberdelincuentes están incrementando sus esfuerzos para aprovecharse de la situación. La tendencia es visible no solo en los dos países implicados, sino a nivel mundial, donde vemos que el promedio de ataques semanales por entidad fue la semana pasada un 16% más alto que antes del comienzo del conflicto", incide.

Y zanja: "Están tratando de aprovechar el bombo y el interés en torno a la guerra siempre que pueden, ya que buscan atacar a organizaciones que abarcan tanto al sector público, ya sea una ONG, una entidad sin ánimo de lucro o gubernamental, como al sector privado".