Una multinacional de Barcelona es despertava el dijous amb l’aigua al coll, els ordinadors bloquejats i un missatge anònim a les pantalles: o pagaven un rescat de més de mig milió d’euros o abaixaven la persiana. Un virus informàtic els havia agafat per sorpresa i, de cop i volta, totes les dades estaven xifrades. Des d’un xat anònim, algú els reclamava 540.000 euros si volien recuperar-les. 

A la tarda, la companyia va denunciar-ho als Mossos d’Esquadra. En aquest cas, però, feia falta alguna cosa més que la intervenció policial per dissuadir uns criminals d’identitat i parador desconeguts. L’única opció de rescatar les dades passava per seure i negociar amb gent que utilitzava les mateixes tàctiques que els segrestadors de persones. La conversa, però, s’havia de mantenir a través d’un xat anònim i sempre utilitzant Tor, que permet navegar d’incògnit per la Xarxa. 

L’operació va allargar-se quatre dies. Va ser clau la intermediació d’Oleguer Rocafull, analista d’Intel·ligència, i el consultor en ciberseguretat José Nicolás Castellano, que també és el president i organitzador del congrés de ciberseguretat més veterà de l’Estat, el NoConName. “Vam començar a negociar, però vam veure que a l’altra banda no es movien. Sabien que tenien el poder”, recorda Castellano. En aquest cas, la companyia, assistida pel consultor, va atrevir-se a discutir el preu que demanaven per a la informació menys crítica i va dir als hackers ‘Això és el que tenim. No demaneu més. Ho voleu?’. I ho van acceptar. 

No obstant això, l’empresa va veure’s obligada a pagar sense regatejar per les dades vitals. “Era qüestió de vida o mort”, explica Castellano, i afegeix que “la majoria d’empreses que han patit un atac semblant han hagut de tancar”. D’aquesta manera, després de moltes hores de tensió, el rescat va saldar-se amb el pagament de 142.000 euros -lluny dels 540.000 que demanaven al principi- i, això sí, la supervivència de l’empresa.  

Escenes com aquesta no són una excepció a Catalunya, on Castellano detecta una onada creixent d’infeccions per ransomware (de l’anglès ransom, ‘rescat’, i ware, de ‘programari’), que xifra els arxius i infecta els sistemes connectats a la mateixa xarxa. Una vegada instal·lat a l’ordinador, bloqueja l’accés i demana un rescat que oscil·la entre els centenars i els milers d’euros a canvi de les claus de desxifrat. “Aquest darrer mes hem vist moltes, moltes, empreses catalanes afectades. Els atacants van a sac”, assegura. 

A escala mundial, l’últim estudi de la companyia de ciberseguretat Malwarebytes diu que, en comparació amb el primer trimestre del 2018, les incidències registrades per ransomware s’han incrementat un 500% durant els primers tres mesos d’enguany. A Nord-Amèrica, aquests virus ja han bloquejat desenes d’administracions senceres, i alguns Estats i ciutats fins i tot han declarat l’estat d’emergència. A l’Estat espanyol, el Centre Criptològic Nacional (CCN) no atura de plantar cara a una allau d’incidències informàtiques semblants que han deixat víctimes com la Cadena SER o la consultora Everis, entre moltes altres empreses espanyoles. 

‘Malware as a service‘

Segons l’Institut Nacional de Ciberseguretat (INCIBE) de l’Estat espanyol, es tracta d’un atac cada cop més freqüent perquè resulta molt lucratiu pels delinqüents (es calcula que els creadors de WannaCry, un tipus de ransomware que afectà milers d’ordinadors el 2017, guanyaven uns 360.000 dòlars mensuals). A més, cada cop és més fàcil segrestar la informació degut als avenços de la criptografia. Igualment, els hackers poden ocultar la seva identitat i utilitzar sistemes internacionals de pagament anònim i que la Policia no pot rastrejar, com la criptomoneda ‘Bitcoin’.

La majoria d’atacs recents provenen de malwares diferents, tot i que formen part de la família del ransomware. Els hackers funcionen com una empresa amb una organització interna, on cadascú té el seu paper: “s’anomena Malware as a service”, explica Castellano. D’aquesta manera, un primer grup es dedica a fer un estudi de mercat de l’empresa víctima i esbrina el seu poder adquisitiu, els pressupostos que mou, els ordinadors que utilitza, els programes que fa servir i els correus dels directius o dels qui gestionen les finances. I tota aquesta informació s’extreu per mitjà d’Internet. “Ho saben quasi tot”, comenta. Mentrestant, uns altres es fan càrrec de desenvolupar el programari de xifrat, uns altres ho venen a través del Web profund, i uns altres fan l’atac.

El vector d’infecció més típic és un correu amb un document adjunt. Quan algú l’obre per error, el ransomware penetra dins un ordinador i es replica en totes les màquines possibles per mitjà dels anomenats ‘moviments laterals’, que dispersen el virus. Aleshores, es comencen a xifrar les dades utilitzant sovint més d’una clau, cadascuna amb el seu preu. D’aquesta manera, l’empresa víctima ha de pagar certa quantitat per cada paquet d’informació encriptada. 

Punts febles

El ransomware afecta sobretot les grans empreses, més propenses a pagar el rescat per evitar la pèrdua d’informació permanent, la interrupció de l’activitat normal i danys econòmics i reputacionals. Però també són objectius temptadors les petites i mitjanes empreses amb el software desactualitzat -les que utilitzen Microsoft Office 2007 o 2010, per exemple-, que manquen d’antivirus, mesures de seguretat, o disposen de contrasenyes febles. Castellano adverteix que “les empreses no es preparen per uns atacs informàtics cada cop més freqüents, i són aquestes les víctimes”. A més, no n’hi ha prou amb fer còpies de seguretat: “El sistema de còpies d’aquesta empresa no estava pensat per esquivar un atac, perquè el ransomware també ataca les còpies”. Evitar ensurts passa per fer anàlisis de riscos de ciberseguretat, formar el personal i fer proves de penetració, per exemple. “Les companyies s’han de plantejar ja que la ciberseguretat és una inversió i no una despesa”, conclou a Twitter. 

Tor, el programari de codi obert que ens permet navegar anònimament per la xarxa, ja té versió en català. Per això rellegim més avall l’explicació d’aquesta eina que plasma el famós exespia nordamericà, Edward Snowden, al seu llibre Permanent Record (en castellà, Vigilancia Permanente).

Durant la meva temporada a Ginebra, quan un agent de cas em preguntava si hi havia un mode més segur, més ràpid i, en general, més eficient de fer el mateix [navegar a Google de manera anònima], jo els presentava a Tor.

El Tor Project era una creació de l’Estat que s’acabà convertint en un dels pocs escuts eficaços contra la vigilància estatal. Tor és un software gratuït de codi obert que, si s’utilitza amb compte, permet als seus usuaris navegar per Internet amb el més semblant a l’anonimat que es pot assolir a escala pràctica. Els seus protocols els desenvolupà el Laboratori d’Investigació Naval dels Estats Units al llarg de la dècada de 1990, i el 2003 el posà a disposició del públic, o sigui, de la població civil mundial de la qual depèn la seva funcionalitat. El motiu d’aquesta afirmació és que Tor es basa en un model de comunitat cooperativa i depèn de voluntaris experts en tecnologia de tot el món que gestionen els seus propis servidors Tor des dels seus soterranis, golfes i garatges. Enrutant a internet el tràfic dels seus usuaris per aquests servidors, Tor fa el mateix treball de protecció de l’origen d’aquest tràfic que el sistema de “cerca no atribuïble” de la CIA, amb la principal diferència que Tor ho fa millor, o com a mínim, de manera més eficient. Jo ja estava convençut d’això, però convèncer els agents de cas era una altra història.

Amb el protocol Tor, el teu tràfic es distribueix i rebota per rutes generalitzades a l’atzar de servidor Tor en servidor Tor, amb la finalitat de substituir la teva identitat com a font d’una comunicació amb la de l’últim servidor Tor en una cadena que canvia constantment. Gairebé cap dels servidors Tor -anomenats “capes”- coneix la identitat de l’origen del tràfic, ni té cap informació per identificar-lo. A més, en una autèntica jugada mestra, l’únic servidor Tor que coneix aquest origen (el primer de la cadena) no sap on es dirigeix el tràfic. Dit d’una manera més planera: el primer servidor Tor que et connecta amb la xarxa Tor, o porta d’enllaç, sap que ets tu qui envia una sol·licitud, però com que no té permès llegir aquesta sol·licitud, no té ni idea que cerques mems de mascotes o informació sobre una protesta, i el servidor Tor final pel qual passa la teva sol·licitud, o sortida, sap exactament allò que s’està buscant, però no en té ni idea de qui ho està buscant.

Aquest mètode de capes s’anomena “enrutament de ceba”, i d’aquí rep Tor el seu nom: les sigles en anglès d’aquest concepte, The Onion Router; l’acudit confidencial era que intentar vigilar la xarxa Tor feia plorar els espies. I aquí rau la ironia de tot el projecte: una tecnologia desenvolupada per l’Exèrcit dels Estats Units va fer al mateix temps més fàcil i més difícil la ciberintel·ligència, quan va aplicar coneixements de hacker per a protegir l’anonimat dels agents de la Intelligence Community, però només a força de garantir el mateix anonimat als adversaris, i als usuaris de tot el món. En aquest sentit, Tor és gairebé més neutral que Suïssa. A mi, personalment, Tor em canvià la vida, ja que em va tornar l’Internet de la meva infància, en permetre’m tastar lleugerament la llibertat de no sentir-me observat.