Ciberextorsión: la nueva moda 'hacker'
El ciberespacio es una tierra muy fértil para cualquier actividad relacionada con el chantaje, ya que todas tienen como objetivo el bien más preciado de la era digital: los datos. Sin gran complejidad técnica, con relativamente poco riesgo, y sin discriminar demasiado a las víctimas, pueden causar daños irreparables.
Todos hemos visto alguna película que trataba de extorsión: el protagonista era amenazado con la difusión de determinada información sensible (normalmente fotos íntimas o pruebas de su infidelidad) en los medios o con el envío a un familiar, o alguna otra acción que destrozaría su vida.
En la actualidad, las técnicas de extorsión se han adaptado a un nuevo medio extraordinariamente versátil: el ciberespacio. En este entorno, los criminales aprovechan la gran variedad de herramientas y recursos existentes en Internet para dar una nueva dimensión a sus actividades de extorsión. De hecho, el ciberespacio es una tierra muy fértil para cualquier actividad relacionada con el chantaje, ya que todas tienen como principal objetivo el bien más preciado de la era digital en la que vivimos: los datos.
El ciberespacio ha modernizado, automatizado y rentabilizado la extorsión, adaptándola a la era digital. En el pasado, el chantaje era personal; ahora, los criminales y los hackers que intentan sembrar el caos tienen la capacidad de lanzar docenas de campañas de ciberextorsión simultáneas.
Sin una gran complejidad técnica, con relativamente poco riesgo, y sin discriminar demasiado a las víctimas, pueden causar daños irreparables. Si comparásemos la práctica con la pesca, la extorsión tradicional sería como la pesca con anzuelo, mientras que la ciberextorsión podría compararse con la pesca de arrastre.
Una de las razones por las que los ataques están proliferando de esta manera es la disponibilidad de divisas como Bitcoin, que son anónimas y difíciles de rastrear. Los criminales ya no tienen que mostrar su rostro para cobrar el dinero, simplemente pueden exigir Bitcoins (¡Y el inocente usuario tiene que aprender a conseguirlos!).
Y si pensamos que nadie va a estar interesado en nuestros datos, nos equivocamos: las víctimas varían enormemente en su naturaleza, desde estudiantes o amas de casa, hasta grandes compañías. Los hackers "plantan" su malware en páginas web inocentes y basta con hacer click en el sitio equivocado para abrirle la puerta de nuestra vida a un hacker, que por supuesto entrará sin que nos demos cuenta.
El ciberchantaje tiene numerosas vertientes, todas ellas enfocadas en los activos digitales. Los principales modus operandi de los hackers-extorsionistas son: robar los datos y amenazar con su difusión o destrucción, denegar el acceso a los datos y a plataformas como páginas web o aplicaciones si no se paga un rescate, o la última moda entre los hackers, el ransomware (literalmente, programa de rescate), encriptar los datos en el equipo del usuario, "secuestrándolos" hasta que no se cumplen sus exigencias.
En algunos de los escenarios más comunes de la ciberextorsión, las páginas web objetivo son atacadas y desconectadas durante alrededor de 15 minutos. Cuando se restaura la conexión, los administradores reciben un email que ofrece parar el ataque a cambio de un rescate. Otro escenario potencialmente devastador es cuando los atacantes exigen el pago de miles de euros por desencriptar datos. Si el rescate no se paga, los datos serán borrados para siempre.
El reciente caso del "secuestro" de los datos de los 37 millones de usuarios del portal de citas para adúlteros Ashley Madison es un buen, y muy público, caso de ciberextorsión. Con aparente facilidad, los hackers accedieron a la base de datos de la compañía, exigiendo su cierre inmediato si no quería que se publicasen los datos personales (incluyendo tarjetas de crédito y fantasías sexuales) de millones de usuarios en todo el mundo. Este ataque "ético" ha fulminado, entre otras cosas, la reputación de la empresa y sus planes de salir a bolsa.
Entonces, ¿qué podemos hacer para evitar ser las víctimas de un ciberchantaje, o al menos mitigar sus efectos? Es esencial hacer copias de seguridad externas de nuestros datos con regularidad y verificar que nuestros sistemas estén actualizados. Asimismo, hay que evitar pagar los rescates: hay muchas posibilidades de que los hackers no cumplan con su parte.