El ransomware Ragnar Locker parece tener una eficacia casi quirúrgica. Este software malicioso pertenece a una categoría de programas dañinos conocida como malware de rescate, y su estrategia es bien conocida: cuando infecta un ordenador o toda una red cifra sus archivos para impedir que su legítimo propietario pueda acceder a su contenido. Para recuperar el control de la información y volver a la normalidad la víctima se ve obligada a pagar un «rescate» en una criptomoneda con el propósito de que la transacción no pueda ser rastreada.

Esto es, precisamente, lo que ha sucedido hace solo unos días a CWT, una compañía estadounidense de gestión de viajes de negocios y eventos que ha sido puesta en jaque por uno o varios piratas informáticos que han conseguido infectar con el ransomware Ragnar Locker su red. Conocemos cuánto pedían inicialmente los hackers, cómo ha sido la negociación y cuánto dinero en bitcoines ha pagado finalmente CWT, pero lo más sorprendente es que toda su conversación ha quedado registrada en un chat que finalmente ha sido exhibido en Twitter. Regateo incluido. Y no tiene desperdicio.

La sorprendente negociación, paso a paso

Desafortunadamente todos los días se producen miles de ataques informáticos a las redes de las grandes corporaciones, y también a los ordenadores de los usuarios de a pie. Que una gran compañía se vea afectada por estas prácticas y decida pagar a los hackers responsables para recuperar el control de su información no es noticia, pero que toda la negociación y el consiguiente regateo hayan sido expuestos públicamente, sí lo es.

La extorsión a la que se ha visto sometida CWT está actualmente en manos de las autoridades, pero es difícil que finalmente los investigadores den con los responsables porque los hackers que son capaces de atentar con esta eficacia contra una gran empresa, que posiblemente tendrá unas medidas de protección avanzadas, raramente dejan cabos sueltos. Y el rastreo del pago en bitcoines es prácticamente imposible de llevar a cabo. Más allá de todo esto lo impactante es que toda la negociación entre el representante de CWT y los hackers responsables ha discurrido con una naturalidad insultante. Casi, incluso, con cordialidad.

Nego1

En la captura que acabamos de ver los hackers aseguran a CWT haber infectado 30.000 equipos diseminados por su red mundial, y le proponen el pago de 10 millones de dólares en bitcoines si quieren conseguir el software de descifrado. Además, los piratas les aseguran que si llevan a cabo el pago borrarán de sus servidores toda la información confidencial que han robado a CWT, y, de propina, les recomendarán qué deben hacer para que no vuelvan a verse expuestos de esta manera en el futuro.

Nego2

El representante de CWT responde que los 10 millones de dólares que les piden son excesivos y demanda el precio especial que, al parecer, los hackers les han prometido en su primer mensaje. Y estos últimos argumentan que pagar les resultará más rentable que verse expuestos a la pérdida de reputación que conlleva la publicación de la información robada y a afrontar el coste del procedimiento judicial. Si CWT paga pronto, los hackers le harán un precio especial.

Nego3

Comienza la negociación. CWT sostiene que está pasando un mal momento económico, insinuando que se está viendo afectada por la pandemia de COVID-19, y hace una oferta a los hackers: pagará 3,7 millones de dólares en vez del precio especial de 8 millones que los piratas solicitan. Estos últimos rechazan la oferta y proponen a la compañía estadounidense el pago de 4 millones de dólares inmediatamente para obtener el software de descifrado, y el abono posterior del resto del dinero para conseguir que los hackers eliminen de sus servidores los datos robados.

Nego4

Al parecer, finalmente la negociación se cerró acordando que CWT pagaría 4,5 millones de dólares en bitcoines por el rescate de sus datos. Y el pago llegó a hacerse porque, como podéis ver en la captura anterior, los hackers, como habían prometido, envían a CWT una detallada lista de recomendaciones que puede ayudar a esta compañía a prevenir futuros ataques de esta envergadura en el futuro.

Quizá lo más sorprendente de todo esto es la despedida, en la que ambas partes se dan las gracias con la misma cordialidad que habrían utilizado si hubiesen cerrado un negocio legítimo. De hecho, los hackers llegan a piropear a CWT agradeciendo al responsable de la compañía su profesionalidad. Si no tuviésemos la certeza de la naturaleza delictiva y de la seriedad de todo esto parecería que esta conversación podría haber sido extraída directamente de una película de Billy Wilder.

Nego5

Imagen de portada | Reuters – Raphael Satter
Vía | Reuters