"Nos han contratado, ahora negociemos": así intentó chantajear un ciberdelincuente a una web de reseñas española

Ciberdelincuente, hacker.

REUTERS/Kacper Pempel

Una página web especializada en reseñas de servicios descubrió recientemente, casi sin pretenderlo, a un estafador. Se dieron cuenta cuando varios de sus usuarios habían colgado varias capturas de pantalla y críticas contra un servicio concreto, en el que advertían al resto de la comunidad de que lo que en realidad se ofertaba no era más que un fraude.

De repente, hace apenas unos días, la página de reseñas española dejó de funcionar. Los usuarios no podían acceder a la misma. Sus responsables no entendían qué estaba pasando hasta que recibieron un misterioso correo electrónico en inglés.

"Nos han contratado. Ahora negociemos". El remitente era un ciberdelincuente que exigía retirar de la página web atacada el contenido que acusaba a su 'cliente'. El estafador había recurrido a los servicios de criminales informáticos para lanzar un ataque de denegación de servicios (DDoS) que la dejara inactiva. Un tipo de ataque que ha llegado a bloquear a países como Andorra.

Pero esta página de reseñas, cuya marca prefiere no ser revelada por razones evidentes, tenía un as en la manga. Ese as se llama Doro García, el fundador de SysAdminOK, la empresa que provee al portal de reseñas de la infraestructura de red necesaria para funcionar. Doro, en cuanto tuvo noticia de la amenaza y chantaje que sus clientes estaban sufriendo, se puso manos a la obra.

Estos hackers españoles están instalando una red de balizas digitales para estudiar cómo es la ciberguerra que se está librando de forma invisible a tus ojos

Lo hizo con premura. Aunque el primer ataque había durado tan solo unas horas, los criminales advertían que cargarían con todo a partir del miércoles de la semana pasada. "Con todo" quiere decir con todos sus recursos. Los ataques de denegación de servicios tienen un fundamento muy sencillo, envían repetidamente miles o millones de peticiones a una web para colapsarla y que se caiga.

Para tal efecto, las bandas de ciberdelincuentes cuentan en su poder con un ejército de dispositivos zombi, las llamadas botnet. Tu cámara web, tu ordenador, tu impresora o incluso una bombilla inteligente que se conecta a internet pueden ser parte de este ejército de bots que, por culpa de su falta de seguridad, pueden ser controlados remotamente por los criminales.

De esta manera, con la botnet activa, cada integrante del enjambre es capaz de enviar peticiones al servidor web de la víctima para que lo procese. Cuando son miles de dispositivos y miles de peticiones por minuto las que debe atender, el servidor suele caer.

"Cuando se quema un edificio no se pueden poner medidas antiincendios"

No es ni mucho menos un caso aislado. Pero sí es un caso real que Business Insider España reproduce por su interés, ya que, como explica el propio Doro García, fundador de SysAdminOK, su divulgación puede ayudar a entender a muchos empresarios de internet y a muchas pymes que ellas también pueden ser las siguientes víctimas y que deben estar preparados.

"Este cliente hace reseñas, en este caso de servicios. Lo que hacen esas reseñas es que identifican muchas veces a páginas web que son estafas. Cuando son webs estafa, los afectados se quejan y publican sus experiencias y capturas de pantalla. Eso posiciona en Google y cuando mucha gente busca 'servicio X opiniones' sale el contenido de este portal", confirma García.

Ese estafador "contrató a un tío o a varios tíos" para que chantajearan al portal de reseñas. "El chantaje comenzó tirando la web unas horas. Mandaron un correo. "O me quitas la reseña o te olvidas de la web", venían a decir", asevera Doro García. "Además, quiero que nos pongáis como servicio recomendado".

Este portal ofrece a marcas y servicios aparecer como servicio recomendado a cambio de un pago. Los ciberdelincuentes contratados por el estafador estaban dispuestos a pagar únicamente 10 dólares, bien lejos de la cifra real de esa utilidad.

Los ciberdelincuentes han empezado a traficar con tu conexión a internet: así ganan dinero ofreciendo el acceso a tu red

No es el primer ciberataque del estilo —con chantaje incluido— del que tiene noticia Doro. Le ha pasado a otros clientes con los que ha trabajado. Uno era una página web de contenido adulto cuyos ingresos provenían fundamentalmente de la publicidad. En aquella ocasión, los ciberdelincuentes exigieron que la web alojase su publicidad a cambio de dejar de atacar.

La mayoría del tráfico que se da en la red lo hacen máquinas, de hecho. El tráfico humano, algunos años, ha representado menos de la mitad de la información que viaja por internet. Los bots están a la orden del día y no son malos per se: hay bots que sirven para indexar contenidos en grandes buscadores, o para comparar precios.

Lo que sucede es que muchas veces esos bots representan un tráfico basura que empresas como la de Doro García ayudan a limitar. Por eso, cuando se amenaza con ciberataques que involucran a miles de estos bots en esos enjambres conocidos como botnet, en SysAdminOK son capaces de prevenirlos y frenarlos.

"Suele ser habitual que haya bots, pero es menos habitual que haya alguien que haga este tipo de chantajes". Explica Doro García que esto suele suceder una vez "cada 2 o 3 años". Pero cuando sucede, "puede dañar" seriamente a la empresa víctima. "El problema es que hay gente que cree que cuando te están atacando todavía puedes tomar medidas".

"Si se te incendia un edificio, mientras está todo en llamas no puedes poner medidas contra incendios. Puedes intentar apagarlo, pero la ruina está garantizada. En cambio, si construyes un edificio con un sistema antiincendios bien pesado, el día que se produzca uno, el daño será menor". La analogía con ciberseguridad es clara, a juicio de García.

Así chantajearon los ciberdelincuentes: "Nuestros ataques son extremadamente fuertes, hermano"

Una vez comienza el ataque contra los clientes de SysAdminOK, se pone en marcha una contrarreloj en el que los especialistas a las órdenes de Doro García se ponen en marcha. Las víctimas reciben un segundo correo, también íntegro en un rudimentario inglés.

Nuestros ataques son extremadamente fuertes, hermano. Necesito una respuesta. No queremos que caigas por tan poco. Tú mismo te lo has dicho: tienes que ser listo. Somos buenos en una cosa y tú eres bueno en otra. Podemos trabajar juntos a largo plazo. Debes decidir rápido, ya que cuanto más tiempo esté vuestra web caída, más vulnerable se vuelve. Hay muchos errores en las bases de datos. (...) No solo hacemos DDOS. Tenemos todo un arsenal. ¡Venga, colaboremos! Somos un grupo de hackers especialistas en reputación en línea. Y nos han contratado. Negociemos.

"Números, que es lo que interesa", destaca Doro. "Llegamos a recibir casi 90 millones de peticiones por hora, con una transferencia de datos de 1,5 teras en menos de una hora. El 58% de las peticiones provenían de Europa, el 36% de Estados Unidos, el 8% de Sudamérica".

Continúa. "El 42% del ataque estuvo dirigido a la página donde se recomendaba a empresas destacadas. El 15% a servicios en los que el cliente también tiene ingresos. Y el 10% del tráfico directamente a la página donde estaba la mala reseña del presunto estafador que les había contratado".

Así se reflejó el ciberataque en el gráfico del ancho de banda de la web.

Una ventaja es que "ellos tampoco pueden sostener un ataque indefinidamente". "También tienen costes. Hackear ordenadores no es gratis. Cuando tienes una botnet con miles de bots, si tú atacas generas una actividad sospechosa en un equipo. Cuando muchos antivirus en distintos sistemas reportan que están sufriendo una actividad sospechosa, eso ayuda a detectarlo y eliminarlo".

"Cada ataque provoca que muchos antivirus les quiten bots. También provoca que muchos usuarios con un ordenador secuestrado detecten que su equipo funciona mal y lo lleve a reparar. Es como una guerra de desgaste. Ellos usan los mínimos recursos para generar la mayor pérdida posible".

"Mucha gente piensa que solo se ataca a CocaCola o a Google. Cuanto menos facturas, más probabilidad hay de que te ataquen. Normalmente CocaCola, Google o Santander gastan millones de euros en ciberseguridad. Pero en empresas como esta, el presupuesto de ciberseguridad puede ser cero. Por eso García confía en que historias como esta "calen en la gente".

"Es como pensar que solo van a robar a los bancos".

Los criminales, tras ver que su ataque ya no surtía efecto: "Estás haciendo que las cosas vayan a peor"

García, en una entrevista telefónica con Business Insider España, reconoce que proteger páginas de lectura como las de este caso real es sencillo, cuando se trata de un comercio electrónico las cosas se pueden complicar más. Con todo, en SysAdminOK proveen de servicios para eliminar tráfico no deseado de bots a ese tipo de servicios.

Cuando las páginas de la web de reseñas volvieron a estar operativas, los criminales informáticos que habían sido contratados por el estafador volvieron a la carga con un nuevo correo, este tan conciliador como amenazador.

"Hola amigo. Seguro que te sientes protegido y que por eso haces comentarios como esos. Pensaba que habíamos alcanzado ya un acuerdo. He echado un vistazo y todavía tienes vulnerabilidades en tu servidor para las que Cloudfare no te va a ayudar". "Sé que te estás protegiendo de estos ataques pero estás haciendo que la situación vaya a peor".

Un hacker enseña cómo atacó a Corea del Norte decepcionado porque su país no respondiera a sus ciberataques: por qué la seguridad de internet es una cuestión nacional

"Los ataques DDoS son la primera, la más rápida y la más sencilla técnica que usamos, pero tenemos otras técnicas avanzadas que usamos cuando estamos dispuestos a invertir tiempo. La cosa más sana que puedes hacer es quitar el contenido, os ayudaremos con consejos y una reseña semanal de seguridad. Eso es todo".

"Así todo el mundo está contento. Si decidís rechazar este acuerdo, no hay problema. Al fin y al cabo, este es mi trabajo".

Doro García fundó SysAdminOK en 2012 tras dar "el salto" de trabajar "en grandes empresas" a montar un proyecto propio. Vio nicho en empresas que no pueden permitirse grandes infraestructuras. "Se cubre poco esa cuota de mercado". Comenzaron ofreciendo un servicio de administración de servidores.

Primero con servicios externos, con la nube de Google Cloud o AWS. "En 2017 decidimos montar nuestra propia plataforma cloud de alto rendimiento, porque Amazon está muy bien, pero es una máquina de hacer churros y los hace todos iguales. Nosotros damos un servicio más a medida, analizamos los proyectos y les damos un entallado perfecto".

Que no tengan el renombre de un gigante no quiere decir que su plataforma sea menos segura, sino que sus servicios, reivindica, están "más optimizados para clientes". Incluso cuando estos clientes se las ven con un grupo de ciberdelincuentes dispuestos a chantajearles con ataques de denegación de servicios masivos.

Otros artículos interesantes:

La guerra obliga al Gobierno a agilizar la creación del Centro de Operaciones de Ciberseguridad que se lleva prometiendo desde 2017

La urgencia en la tramitación de la ley de ciberseguridad 5G obliga a las telecos a acelerar su adaptación para el despliegue de sus redes

Una red de 'vigías' para alertar a todo el país de ataques informáticos, prioridad en el Plan Nacional de Ciberseguridad de más de 1.000 millones de euros

Te recomendamos