Cuando alguien decide emprender una cruzada contra los ricos y poderosos se le suele llamar Robin Hood.
Los Robin Hood en la ciberseguridad no son numerosos y no siempre están bien considerados. Responden al arquetipo medieval del héroe que lucha fuera de la ley en defensa de los pobres y oprimidos. Sin utilizar arcos ni flechas, sino herramientas tecnológicas bastante más modernas.
CyberWare frente a scammers
Eso es lo que debieron pensar en el grupo autodefinido como CyberWare que hace unos meses se convirtió en noticia de actualidad. Este grupo de ciberactivistas lanzó un ataque de ransomware —MilkmanVictory— a algunas compañías que consideraba scammers, es decir, organizaciones dedicadas a engañar a los usuarios con el fin de robarles su dinero o sus datos personales.
Entre los objetivos de CyberWare se encontraban entidades de préstamos que hacían solicitudes de pagos anticipados en los procesos de valoración de riesgos de los clientes. También había compañías que invitaban a llamar a teléfonos de alta tarificación tras hacer creer a los usuarios que tenían un problema en su ordenador. Para todas ellas el mensaje era el mismo: “Hello!, This computer has been destroyed with the MilkmanVictory Ransomware because we know you are a scammer! – CyberWare Hackers :-)”.
No pedían rescate como consecuencia de su contraataque, simplemente destruían la información como represalia por los abusos que afirmaban sufrir los usuarios.
¿Son un Robin Hood de la ciberseguridad?
En muchas ocasiones lo que aparece como defensa de los intereses de los más desfavorecidos resulta ser una decisión que puede traer consigo problemas aún mayores. No en vano, si analizamos con detenimiento el ataque de CyberWare encontraremos elementos que hacen aún más pertinente esta afirmación.
Uno de ellos es precisamente el ransomware que utiliza — MilkmanVictory— y que tiene su origen en una iniciativa que alguien podría considerar también heroicamente proscrita.
La historia de Uktu Sen
Hace ahora cinco años, un ingeniero turco llamado Uktu Sen, otro Robin Hood de la ciberseguridad, ofreció a la comunidad, a modo de utilidad académica, el código fuente de dos aplicaciones de ransomware que personalmente había desarrollado. Su objetivo era dar a conocer el proceso de creación de un ransomware para mostrar los peligros de este tipo de amenazas.
Su publicación en Github dio lugar a un intenso debate sobre la oportunidad de la divulgación. Las críticas fueron numerosas y en ocasiones enconadas.
Pese a las opiniones en contra, Uktu Sen se mantuvo firme. Las aplicaciones —Hidden Tear y EDA2— quedaron accesibles para que el gran público se formara y educara en sus riesgos.
De esta forma, el código se hizo tremendamente popular, si bien no en el sentido que su autor pensaba. En menos de cinco meses ya existían más de 20 variantes de las dos aplicaciones; versiones que no tenían la misma “generosidad de espíritu” de su creador.
Cada una de las nuevas variantes —desarrolladas en ocasiones por la mera compilación del código fuente original con mínimas modificaciones— exigía ahora pagos en bitcoins a las víctimas a cambio de recuperar el contenido que habían cifrado. Fue lo algunos calificaron “como echar gasolina al fuego”.
Publicar el código fuente de herramientas maliciosas, ¿sí o no?
Y es que, a veces, los usuarios de un software malicioso son tan inexpertos que en su afán por sacar provecho de lo que consideran una condición de privilegio cometen errores que resultan irreparables.
Tal fue el caso de Magic, una de las versiones derivadas de EDA2. En su versión original, el software, tras cifrar el contenido del sistema de fichero de sus víctimas, almacenaba en un portal web las claves necesarias para la recuperación.
Sin embargo, los usuarios de Magic no cayeron en la cuenta de que alojando el referido portal en un servicio público este podía ser borrado —bien por otro ataque, por un error o por decisión de la compañía encargada del alojamiento, como así ocurrió— y con él las claves de todas las víctimas.
Algo parecido ocurrió con otra versión, conocida como RANSOM_CRYPTEAR.B. Un desarrollador se “disparó un tiro en el pie” al introducir una modificación dentro del código la propia clave de cifrado del sistema, haciendo irrecuperables los ficheros que se encontraban afectados.
Y así podríamos seguir con otros ejemplos. La realidad de los casos posibles supera en ocasiones lo imaginable. Al final, podríamos concluir que poner a disposición de usuarios inexpertos herramientas que tienen un serio impacto en el entorno trae consigo importantes e inesperadas (o esperadas) consecuencias.
Decisión controvertida
Pero continuemos con la narración. El éxito resultó de tal proporción, y la competencia tan feroz, que el propio Uktu Sen fue amenazado por uno de los grupos de delincuentes que utilizaba una de las versiones modificadas de su software con borrar las claves de todas las víctimas que controlaban en ese momento si este no eliminaba del dominio público el código fuente de ambas aplicaciones.
Las negociaciones y debates en foros fueron intensos hasta que finalmente Uktu Sen accedió a borrar las dos instancias de su experimento académico — y se disculpó por haberlo creado. A cambio los hackers devolvieron a sus víctimas las claves de recuperación que tenían.
Desde entonces, y pese a las sospechas del autor de que había motivaciones políticas tras el chantaje, tanto Hidden Tear como EDA2 dejaron de estar accesibles. Y así acabó la historia de esta bienintencionada iniciativa.
Aplicaciones ransomware con fines educativos
Los hechos que hemos narrado pueden resultar paradójicamente pedagógicos. O quizás no. La divulgación del código fuente de aplicaciones maliciosas con fines educativos aún persiste. Casi todos conocemos aplicaciones que avisan de que su uso no debe perseguir fines maliciosos, aunque resulta difícil creer.
Algunos dirán que es una forma de aprender a protegerse de las nuevas amenazas. Otros pensarán que “para mostrar el peligro de una bomba atómica no es necesario enseñar cómo fabricarla”. La realidad es que las intenciones de una persona cuando ofrece algo en el dominio público no tienen por qué coincidir con los intereses de quien se lo descarga; y en ese interim los resultados pueden ser demoledores.
Justicia poética
Llegados a este punto, podríamos concluir que las intenciones de un grupo de hackers de defender a los usuarios de las amenazas de otros ciberdelincuentes mediante contraataques pueden tener algo de justicia poética. Pero la realidad es bien distinta. Más bien deberíamos asimilar que a los usuarios se los debe defender con la ley —y en este caso en particular con tecnología de ciberseguridad dirigida a la protección y la prevención. Todo lo demás puede llevarnos a caer, esta vez sí, en la trampa de un ransomware con el nombre de Robin Hood que, por cierto, también existe.
