Informática

Españoles a la caza de ladrones de bitcoins

Un virus secuestra todos los archivos del ordenador. Sólo hay una forma de recuperarlos: pagar un rescate de un mínimo de 300 euros en moneda virtual.

De izquierda a derecha, Pablo Burgueño, Alberto Gómez Toribio y Jorge Ordovás, en el depacho de abogados Abanlex
De izquierda a derecha, Pablo Burgueño, Alberto Gómez Toribio y Jorge Ordovás, en el depacho de abogados Abanlexlarazon

Un virus secuestra todos los archivos del ordenador. Sólo hay una forma de recuperarlos: pagar un rescate de un mínimo de 300 euros en moneda virtual.

Hay quien adopta como «hobby» el aeromodelismo, el coleccionismo de monedas o la restauración de relojes antiguos. El pasatiempo de Pablo Burgueño, Jorge Ordovás y Alberto Gómez Toribio era estudiar transacciones de bitcoins, la moneda virtual creada en 2009 de la cual ya circulan en la red cerca de 16 millones de unidades, lo que, al cambio, suponen 9.500 millones de euros. Sin embargo, el «hobby» devino en toda una investigación.

Todo empezó cuando Burgueño, abogado experto en nuevas tecnologías de Abanlex, despacho especializado en informática e internet, empezó a tener consultas de clientes –particulares y empresas– que estaban siendo víctimas del virus Cryptolocker. Su modus operandi es tan sencillo como perverso. En las bandejas de entrada de los correos electrónicos llega un mail, con los logotipos de Correos o de una compañía eléctrica, en los que se adjunta un archivo pdf, que, según se dice en el mensaje, es simplemente un justificante para ir a recoger un paquete o una inofensiva factura de la luz. En el momento en que el usuario hace «click» para abrirlo, puede dar por perdido el contenido de su disco duro. «Hemos cifrado sus archivos con el virus Cryptolocker», reza un mensaje en la pantalla. La víctima ya no podrá abrirlos jamás. Sólo hay una salida. Los «hackers» lanzan un órdago al usuario: si quiere recuperarlos, debe pagar un «rescate» de 299 euros en 24 horas. Si no, el precio se dobla. Sólo así recibirá un software y una clave que le permitirán recuperar su ordenador. Este rapto es lo que se conoce como «ransomware». Pero no se paga en dinero físico. Deja demasiada huella. Tiene que ser a través de bitcoins, moneda invisible.

España es uno de los países más infectados por este virus. Y de eso daban fe en Abanlex. Burgueño contactó entonces con los ingenieros informáticos Jorge Ordovás, cofundador de NevTrace, laboratorio que estudia la tecnología del bitcoin, y Alberto Gómez Toribio, director de Tecnología del Grupo Barrabés. Sabemos cómo se infectaban los ordenadores, pero, ¿qué hacían entonces las víctimas? «La gente infectada, al no tener otra forma más fácil de obtener estas monedas virtuales, acudían a un cajero de bitcoins, cambiaban 299 euros en moneda virtual, y lo enviaban a la cuenta de bitcoins del delincuente», afirma Burgueño. Cuentas que, a diferencia de las bancarias, en el universo de las monedas virtuales son anónimas. Los delincuentes sólo las utilizaban para una oleada de ataques. En sólo una avalancha de secuestros, la cantidad estafada superó los 660.000 euros tras cientos de infecciones. «Analizamos las cuentas del cajero de bitcoins que se encuentra en el centro comercial ABC Serrano, en Madrid», continúa Burgueño. «Había varias transacciones extrañas, de 299 euros cada una, justo el pago que exige Cryptolocker», añade. Para cerciorarse decidieron infectar uno de sus propios ordenadores con el virus y seguir los mismos pasos que las víctimas.

Hay que apuntar que los ciberdelincuentes ponen todo tipo de facilidades al usuario a la hora de realizar los pagos. Tras la infección, mandan al usuario tutoriales y vídeos explicativos en los que, en un perfecto castellano, detallan cómo deben pagar el rescate. Previamente, los «hackers» han cuidado mucho los detalles. Los mails están excelentemente redactados. No en vano, contratan a nativos para escribirlos. Así ha sido en varios de los casos atendidos por Abanlex: una empresa dedicada a la fotografía que, por consejo de la Policía Nacional, no pagó el rescate; una clínica de estétitca que, al ver perdidos todos los datos de sus clientes, accedió al pago; un despacho que también pagó, pero al que los ciberdelincuentes no facilitaron el software para liberar el ordenador; un medio de comunicación que vio encriptados sus archivos antiguos... Incluso la Administración pública también se ha visto afectada. Es importante reseñar que los todopoderosos Mac también están sufriendo los ataques. Y también que no siempre son 300 euros de rescate: si el delincuente descubre que su víctima es una gran empresa o alguien pudiente, puede elevarlo a miles de euros.

Ante este panorama, Burgueño, Ordovás y Gómez Toribio desarrollaron un programa para detectar a qué lugares concretos iban esas transacciones. Aunque son anónimas, sí que tenían acceso a lo que se conoce como «cadena de bloques», el listado de transacciones de bitcoins. Primero, filtraron todos los pagos de 299 euros en moneda virtual. Pero éso era sólo el principio. Para ir borrando el rastro, los «hackers» van fraccionando ese dinero en otras cuentas –decenas, cientos de veces– de forma sucesiva. Después, vieron cuentas concretas de bitcoin a las que llegaron esos pagos. Posteriormente, el programa rastreó en internet, chat, foros e incluso en la «deep web» –lo que se conoce como el «mercado negro» de internet– información que relacionaba esas ristras de números que conforman la cuenta de bitcoins con personas o empresas concretas. ¿Resultado? La meta de esos pagos ya tiene nombre. Son dos empresas, una afincada en Reino Unido y otra en EE UU. Ahora bien: ¿estamos ante los verdaderos «malos»?

«La de EE UU es una empresa que garantiza rentabilidad a todos aquellos que inviertan bitcoins en ella, algo que no tiene sentido en el mundo de la moneda virtual, porque su precio sube y baja de forma abismal», explica Burgueño. La de Reino Unido se dedica también al negocio de la criptomoneda. En su caso, a lo que se conoce como «minería» de bitcoins. Y es que la red colectiva de la moneda, en la que se realizan las transacciones, y que recibe el nombre de «Blockchain», se mantiene gracias a los usuarios que se denominan «mineros», que son los que deben verificar la fiabilidad de las operaciones. Un trabajo por el que cobran en divisa virtual.

Así, caben dos opciones: una, que sean esas empresas las beneficiarias directas del virus Cryptolocker; la otra, «que los ciberdelincuentes estén lavando dinero a través de estas empresas, que tienen una fachada de legalidad. Redirigen el dinero a ellas, que tienen un volumen de transacciones muy elevado», explica Jorge Ordovás. Cada pago de 299 euros, tras ser fraccionado en múltiples ocasiones, se ha quedado en un 10%. ¿Y el resto? «Puede que lo sigan manteniendo en bitcoins. Se puede convertir en dinero físico, a través de cajeros de bitcoins, y también en algunos convencionales, que ya permiten hacerlo. Pero corren el riesgo de ser identificados», añade. En su opinión, cree que parte del rescate acaba yendo para la banda que perpetra el rapto –redacta los mails, los distribuye, etc– y otra para el desarrollador de Cryptolocker que, por cada infectado, recibe un porcentaje.

Burgueño, Ordovás y Gómez Toribio han llegado hasta aquí. Dilucidar si estas empresas forman parte de la trama de forma directa o se han utilizado en una labor de lavado es más complejo. En todo caso, les consta que, a día de hoy, ambas siguen recibiendo pagos... a pesar de que una de ellas ha suspendido su actividad. Pusieron toda esta información a disposición de la Policía. Europol ya se ha interesado por sus indagaciones. También los servicios secretos norteamericanos, aunque las autoridades españolas les han dicho que, de momento, no compartan sus descubrimientos. Mientras, los cibercriminales siguen haciendo caja.