Los Robin Hood en la nueva sociedad digital son numerosos y no siempre están bien considerados. Responden al arquetipo medieval del héroe que lucha fuera de la ley en defensa de los pobres y oprimidos. Sin utilizar arcos ni flechas. sino herramientas tecnológicas bastante más modernas.
Eso es lo que debieron pensar en el grupo autodefinido como CyberWare. Este grupo de ciberactivistas, hace apenas unas semanas, lanzó un ataque de ransomware —MilkmanVictory— a algunas compañías que consideraba scammers, es decir, organizaciones que se dedican a engañar a los usuarios con el fin de robarles su dinero o sus datos personales.
Entre los objetivos de CyberWare estaban ciertas entidades de préstamos que hacían solicitudes de pagos anticipados antes de continuar con los procesos de valoración de riesgos de sus posibles clientes o incluso compañías de soporte que invitaban a llamar a números de teléfono de alta tarificación tras hacer creer a los usuarios que tenían un problema en su ordenador. Para todas ellas el mensaje era el mismo: “Hello!, This computer has been destroyed with the MilkmanVictory Ransomware because we know you are a scammer! – CyberWare Hackers :-)”. Es decir, no pedían rescate por la información que habían cifrado como consecuencia de su contraataque, simplemente la destruyen como represalia por los abusos que afirman sufrir los usuarios.
Índice de temas
¿Son un Robin Hood de la ciberseguridad?
En muchas ocasiones lo que aparece como defensa de los intereses de los más desfavorecidos resulta ser una decisión que puede traer consigo problemas aún mayores. No en vano, si analizamos con detenimiento el ataque de CyberWare encontraremos elementos que hacen aún más pertinente esta afirmación. Uno de ellos es precisamente el ransomware que utiliza — MilkmanVictory— y que tiene su origen en una iniciativa que alguien podría considerar también heroicamente proscrita.
Hace ahora casi cinco años, un ingeniero turco llamado Uktu Sen, otro Robin Hood de la ciberseguridad, ofreció a la comunidad, a modo de utilidad académica, el código fuente de dos aplicaciones de ransomware que personalmente había desarrollado. Su objetivo era dar a conocer el proceso de creación de un ransomware para mostrar los peligros que este tipo de amenazas suponía para los usuarios.
Su publicación en Github dio lugar a un intenso debate sobre la oportunidad de la divulgación. Las críticas fueron numerosas y en ocasiones enconadas. En cualquier caso, y pese a las opiniones en contra, finalmente las aplicaciones —Hidden Tear y EDA2— quedaron accesibles para que el gran público entendiese sus riesgos.
De esta forma, el código se hizo tremendamente popular, si bien no en el sentido que su autor pensaba. En menos de cinco meses ya existían más de 20 variantes de las dos aplicaciones; versiones que no tenían la misma “generosidad de espíritu” de su creador.
Cada una de las nuevas variantes —desarrolladas en ocasiones por la mera compilación del código fuente original con mínimas modificaciones— exigía ahora pagos en bitcoins a las víctimas a cambio de recuperar el contenido que habían cifrado. Fue lo algunos calificaron “como echar gasolina al fuego”.
Publicar el código fuente de herramientas maliciosas, ¿sí o no?
Y es que, a veces, los usuarios de un software malicioso son tan inexpertos que en su afán por sacar provecho de lo que consideran una condición de privilegio cometen errores que resultan irreparables.
Tal fue el caso de Magic, una de las versiones derivadas de EDA2. En su versión original, el software había sido desarrollado para, tras cifrar el contenido del sistema de fichero de sus víctimas, almacenar en un portal web las claves necesarias para la recuperación. Sin embargo, los usuarios de Magic no cayeron en la cuenta de que alojando el referido portal en un servicio público este podría ser borrado —bien por otro ataque, por un error o por decisión de la compañía encargada del alojamiento, como así ocurrió— y con él las claves de todas las víctimas.
Algo parecido ocurrió con otra versión, conocida como RANSOM_CRYPTEAR.B, en la que un desarrollador se “disparó un tiro en el pie” al introducir una modificación dentro del código que cifraba la propia clave de cifrado del sistema, haciendo irrecuperables los ficheros que se encontraban afectados.
Y así podríamos seguir con otros ejemplos similares. La realidad de los casos supera en ocasiones lo imaginable. Al final, podríamos concluir que poner a disposición de usuarios inexpertos herramientas que tienen un serio impacto en el entorno traerá consigo importantes e inesperadas (o esperadas) consecuencias.
Decisión controvertida
Y todo esto pese a que desde el principio el referido ingeniero turco había manifestado que sus aplicaciones tenían errores o “vulnerabilidades” —creadas intencionadamente— que permitían deshacer el daño que causaban. Algo así como puertas traseras a la recuperación de los ficheros. Sin embargo, aquel aviso no fue suficiente.
El éxito resultó de tal proporción, y la competencia fue tan feroz, que el propio UktuSen resultó amenazado por uno de los grupos de delincuentes que utilizaba una de las versiones modificadas de su software para borrar las claves de todas las víctimas que controlaban en ese momento, si este no quitaba del dominio público el código fuente de ambas aplicaciones.
Las negociaciones y los debates en foros fueron intensos hasta que finalmente Uktu Sen accedió a borrar las dos instancias de su experimento académico —e incluso se disculpó por haberlo creado. A cambio los hackers devolvieron las claves de recuperación que tenían de sus víctimas.
Desde entonces, y pese a las sospechas del autor de que había motivaciones políticas tras el chantaje, tanto Hidden Tear como EDA2 dejaron de estar accesibles. Y así acabó la historia de esta bienintencionada iniciativa.
Aplicaciones ransomware con fines educativos
Los hechos que hemos narrado pueden resultar paradójicamente pedagógicos. O quizás no. La divulgación del código fuente de aplicaciones maliciosas con fines educativos aún persiste. Casi todas las que conocemos mencionan que su uso no debe perseguir fines maliciosos, aunque resulta difícil creer.
Algunos dirán que es una forma de aprender a protegerse de las nuevas amenazas. Otros pensarán que “para mostrar el peligro de una bomba atómica no es necesario enseñar cómo fabricarla”. Sea cual sea el caso, la realidad es que las intenciones de una persona cuando ofrece algo en el dominio público no tienen porqué coincidir con los intereses de quien se lo descarga; y en ese interim los resultados pueden ser demoledores.
Justicia poética
Llegados a este punto, podríamos concluir que las intenciones de un grupo de hackers de defender a los usuarios de las amenazas de otros ciberdelincuentes mediante contraataques pueden tener algo de justicia poética. Pero la realidad es bien distinta. Más bien deberíamos asimilar que a los usuarios se los debe defender con la ley —y en este caso en particular con tecnología de ciberseguridad dirigida a la protección y la prevención. Todo lo demás puede llevarnos a caer, esta vez sí, en la trampa de un ransomware con el nombre de Robin Hood que, por cierto, también existe.