Kernel #167
Historias de los Maestros del Ransomware
Estrategias ingeniosas y los desafíos enfrentados al combatir esta amenaza digital
00:00
/46:11
Patrocinador: Si no tienes aún instalado miBP en tu Android o iPhone estás perdiendo dinero. Puedes ahorrar hasta 20 céntimos por litro repostando carburante BP Ultimate con tecnología Active, cada vez que bepeas con tu móvil. Es fácil: muestras tu app gratuita al pagar y recibes el ahorro al instante. — Porque ahora la tarjeta de miBP es mucho mejor, todos a Bepear al máximo este otoño.
En este rollo de Kernel, me acompaña el compa Manolo Estévez de Control IP, para contarme unos casos bien curiosos de ataques de ransomware. Aquí ha tenido que aguantar a clientes nerviosillos, hackers de todos los rincones del mundo y la desconfianza de las fuerzas de seguridad.
El ransomware se ha vuelto como el vecino pesado de las empresas últimamente. Este software malicioso bloquea el acceso a tus archivos VIP y luego te suelta el rollo de que tienes que pagar un rescate para recuperarlos.
Los ataques de ransomware son como el invitado no deseado que nunca se va. Cada vez más astutos y frecuentes, están al acecho de empresas de todos los tamaños. El costo de ponerle freno a esta fiesta va desde el dinero que te piden los atacantes hasta el tiempo y la plata que te toca invertir para recuperar datos y devolverle la buena onda a la reputación de la empresa.
Kernel es el podcast semanal donde Álex Barredo debate con buenos invitados sobre las plataformas y compañías tecnológicas que afectan a nuestra vida diaria.
Enlaces:
- Newsletter diaria: https://newsletter.mixx.io
- Twitter: https://twitter.com/mixx_io
- o sigue a Álex directamente en: https://twitter.com/somospostpc
- Envíame un email: alex@barredo.es
- Telegram: https://t.me/mixx_io
- Web: https://mixx.io
Transcripción
Bienvenidos a un nuevo episodio de Kernelly, podcast semanal de micción, en el que nos adentramos en un tema más en profundidad. En esta de todos estos ataques informáticos en general que están prosperando tanto los últimos años, y lo vamos a hacer con un oyente muy especial, que llevamos un montón de tiempo diciendo, oye, vamos a hacer este episodio porque tengo tantas anécdotas que contar y tantas cosas brutales, y digo, yo sé, va, no sé si podemos hacer un episodio de media hora o uno de doscientas horas, pero te tienes que venir a a contarlo. Y es Manolo Estévez, de control IP, Manolo el desencriptador, te dicen ya, ¿no? O sea, ya estás cansado de luchar.
Pues es un sobrenombre, un alias, pero, bueno, yo soy Manolo, el informático, y lo de ese invitado, pues bueno, a mí he leído muchos casos y ahí estamos.
Eso es. Entonces, Manolo, pues la verdad es que desde desde su empresa, los últimos años le ha tocado lidiar y le ha tocado estar en mitad de casos. Algunos rocanbolescos, otros que yo creo que no me puedes ni contar por la gente y y empresas que han estado involucradas, pero yo creo que algunos que, joda, es que aquí me si si tuviéramos que hacer toda la lista que me has pasado, son trescientas horas fácil Y
varios libros, ¿verdad? Una serie de de Netflix. Te da para sacar un podcast con cada uno
de estos casos contándolo, O sea, que yo te animo a que eso, porque yo creo que a los oyentes les va a gustar mucho. De todas formas, cuéntame lo primero, antes de entrar en algunos casos un poco más particulares, ¿cómo suele ser? Es decir, ¿cómo es cuando una empresa o un particular sufre un ataque, tanto de ransomware como de otros tipos, y se da cuenta de que o paga o no lo soluciona, o incluso pagando no lo puede solucionar. ¿Cómo se involucran las fuerzas de seguridad, cómo se suelen desarrollar en general.
Aquí hay varios pasos. El primero es ver que no puedes acceder a la información y te pones muy nervioso y buscas ayuda y no sabes con quién contactar. Hay empresas que a lo mejor tienen su departamento de de seguridad y sí que pueden saber qué es lo que está pasando, pero esta gente, pues, no. Entonces, contactan, pues, con un informático, con una con un amigo, con un alguien de un antivirus, y al final, pues, sin causa hacia mí o hacia otra persona que sea, pues, de la de la misma del mismo estilo. Ajá.
Entonces, una vez se encuentran con el marrón, es como el que bebe. Primero hay que reconocer qué es lo que está pasando y a partir de ahí, pues, se se va actuando.
Eso es. Entonces, normalmente suelen ser empresas, bueno, de todo tipo, imagino, grandes, pequeñas, gente particular, etcétera. Imagino que en algunas ocasiones, pues cientos de servidores o lo que sea en un centro de datos y y y similares, pero, por ejemplo, cuando te llaman, ¿en alguna ocasión te puede haber, por ejemplo, ya directamente te contactan desde policía para que hagas algún tipo de peritaje o algo, o cómo funciona?
Yo, el tema de burocracia es que me gusta muy poco, entonces, el tema de análisis y tal, siempre lo derivo a otras empresas. Normalmente, primero me llama el cliente o la persona es afectada, y después esa persona afectada, aparte de que le pueda ayudar o no, pues pone una denuncia y en esa denuncia, pues, a veces la policía sí que puede, o la el cuerpo en cuestión, pues, puede contactar conmigo para preguntarme qué es, si sé qué es lo que ha pasado, si yo soy parte de los que ha encriptado, digo, si si fuera así, no estaría yo aquí, ya estaría en otra parte. Y eso es un poco la la circunstancia. Sí que es verdad que ha cambiado durante estos años, pues al principio eran mucho más particulares, luego eran más empresas pequeñas ahora ya son empresas más más grandes y en las empresas más buyerlander, pues poco se puede hacer. Pero entonces, para dárselo desde particulares, pequeñas empresas, medianas empresas, grandes empresas, o sea, hay una evolución muy grande.
¿Y ves a la gente, ves a las empresas más preparadas ahora que hace dos o tres años, cuando empezó todo esto, yo creo que en masa?
A mí me gusta poner mucho tema de ejemplos, y es como cuando ponen multas a la gente que que lleve, pues, al final ya a todo el que pone multa dice, hostia, ya no tengo que beber. Aquí con el ransom es un poco parecido a todo el que le tenía que pasar, ya le ha pasado y ahora ya hay menos gente que puedan tener ataques normales de los que habían hace dos, tres años. O porque ya están tomando las medidas oportunas. Sí, sobre todo eso, están tomando más medidas y los que no habían tomado medidas, ya todos han sido hackeados.
Ya, ya. Sí, porque al final estos son escaneos masivos indiscriminados, ¿no? Dicen este tiene esta vulnerabilidad, atacamos, listo y ya está, ¿vale? Al final del episodio, te voy a pedir una serie de consejos, es en plan, mira, cosas básicas, o sea, dos o tres, ¿vale? Dos o tres.
Pero me ha hecho mucha gracia una cosa que cuando te contactan la policía, tú estás ahora en Cataluña, Control IP, que es tu empresa, está en en Cataluña, te suelen llamar también los Mossos de escuadra, guardia civil, etcétera, dependiendo, pues, quién más o menos lleve el caso. Me ha resultado muy curioso lo que dices, porque yo no creo que sea pocas veces la que ocurra en la que, digamos, los atacantes son los que se ofrecen para desencriptar como gente que gente que trabaja en en esto es porque algunos casos ha debido de haber, ¿no?
Pues yo ya con el tema de te podría preguntar profundo, Hay veces que hemos intermediado la negociación, porque no quedaba otra y, en algún caso, hemos tenido que intermediar con un hacker en más de una ocasión y, al final, se establece una relación. Dices, Hostia, que tengo este caso y acuérdate de mí que voy a solventarlo. Incluso, en algún caso así, un hacker con el que habíamos hablado dos o tres veces nos propuso, oye, ¿quieres que le diga a más gente intermediien contigo? Digo, no, no, no, eso no. O sea, una cosa es que el cliente acuda a mí, y otra cosa es que tú le digas a a gente, porque el problema muchas veces es que la gente no sabe ni cómo realizar el pago, o sea, que él tiene un problema porque no podía cobrar.
No lo no sabía cómo decirle a la gente que que que le pagaran y querían que le ayudaban y yo no no, a ti no te puedo ayudar, aquí lo siento que hoy ya es una línea roja que no podemos cruzar.
No, claro, es que me parece fascinante porque claro, el incentivo del del del hacker es llevarse esos bitcoin, esas criptomonedas o lo que sea, y y y y me parece mucha gracia porque parece que te está ofreciendo, mira, tarifa plana. Sí, sí, sí. Todo lo que vengan por ti, y y eso de eso, sinceramente, no me extrañaría que fuera algo común o algo que estableciera con menos escrúpulos, como que
Yo creo que sí, hay empresas y, bueno, al final hay pocas empresas en este sector y, entre todos, pues, yo creo que más o menos nos podemos conocer o saberlo dónde está posicionado cada uno. Y yo creo que hay alguna empresa que realmente ya tiene un trato como más directo con con estos grupos y sabe cómo tiene que tratarlos y tal. Yo siempre me gusta, si tengo que hacer yo un caso nuevo, que no puedan recopilar información, decir, hostia, con esto ya hemos trabajado antes, no, ahora no, prefiero que no.
Sí, exacto, y y y yo creo que esas un un grave problema del del tema del Ramtionware, que es, en algunas ocasiones, como dices tú, yo creo que es difícil realmente incluso pagar. Incluso, muchas veces, y ahora me comentarás, no sé si tiene sentido pagar, porque no garantiza realmente nada.
Correcto.
Tienes que fiarte de la palabra, de la persona que te ha atacado, pero bueno, cuéntame.
Hasta la de las palabras pienso mucho con la gente que me llama y que quiere realizar el pago, le digo, mi recomendación es no pagar. Pero se lo digo explícitamente, no es puede que, digo, mi recomendación es no pagar, Pero al final la empresa es tuya y tú es el que tiene que definir qué es lo que hace. Es como si te secuestran a un hijo, ya te puede decir el rey, el que sea, que no pague y el coño, el hijo es mío, y ya decidir yo si pago o no pago.
Sí, sí, sí, sí. Además siempre se suele con esto estuve leyendo justo hace poco sobre los secuestros en algunas ciudades y en algunas regiones en en América, y ese plan, mira, la policía ya es que se los conoce casi por nombre a los que están secuestrando. Entonces, es en plan, pues mira, a ti te está afectando porque es la primera vez que te secuestran a un familiar, pero la policía es el décimo secuestro que lleva en esa mañana, y saben un poco cuál es lo mejor para vosotros. Tengo aquí, de todos los casos, os os prometo, el Excel no lo vamos a poder compartir ni en pantalla ni en la nota del episodio ni nada, porque, bueno, como se filtre, mal, güeyte. Pero hay uno, la línea veintidós, que me ha llamado mucho la atención.
Sí.
Hacker troleador. Dice, y y ya simplemente por este nombre me has iluminado los ojos. Cuéntame, ¿qué pasó en este caso?
Mira, en este caso lo tengo grabado ahí, es fue muy bueno. Fue uno típico que no, después de pagarle, no te da la solución. Oh. ¿Y ahora qué hago yo? Y dentro de todo el ransomware, pues hay unos que son familias, dentro de esa familia hay como diferentes o personas que están unas una pirámide, uno que está más arriba, otro que está más abajo.
Uno compra una herramienta, se la compra al de arriba, el de arriba puede hacer sus casos sin de abajo, pero el de abajo solo puede hacer unos suyos. Y tenía ya una lista de toda esa familia, pero, este, a lo mejor había ciento cincuenta direcciones entre los que me entraban a mí, entre los que buscaba, y a mí me gusta almacenar información. Y tenía toda esa información por ahí. Entonces, el hacker no daba la la solución y me dijo, ¿y tragón ahora? Total, que envié un correo electrónico a los ciento cincuenta correos que tenía.
Digo, mira, un amigo vuestro, me sepa, le he pagado y le envié la captura de pantalla y tal, le he pagado y el sinvergüenza os está dejando a la altura del vetur a todos. Porque imaginad que si se pone la voz de que paga alguien y que no se da la herramienta, nadie os va a querer pagar. Ajá. Uno. Un bebé todos esos cientos cincuenta me dio la herramienta, y Gotana, aquí tienes la herramienta para tu caso.
Pero bueno, eso pasa una vez en un millón. Ya. Posiblemente, creo que esa táctica en Albert la utilicemos alguna vez. Vale, es que se fían de ti. Vale, pues ves a la policía,
¿Y qué te suelen dar? Es decir, me dices, te dan el software, es, porque claro, para explicar un poco a los oyentes cómo funciona el ransomware, que a lo mejor nos hemos venido arriba asumiendo que no lo sabemos. Infectan tu ordenador o tus múltiples ordenadores, incluso servicios administrativos que tengas, etcétera, y los archivos, no todos, pero algunos que ellos detecten que puedan ser importantes, es que ni tocan, yo creo que en la mayoría de casos, ni les importa lo que haya ni nada, simplemente lo que hacen es copian el archivo para dejándolo en una copia encriptada y borran el original, ¿vale? Es decir, es como si lo metieran en un zip con contraseña, por decirlo así, y si no les pagas una cantidad de bitcoin a través de una dirección que te pasan, en cuanto ellos ven que lo reciben, te pasan la clave para descifrar esos archivos, ¿sí?
Sí, más o menos, sí. Nosotros que hay muchas, como decíamos, muchas familias. Yo ahí también me pierdo un poco, porque por más que tenga una visión amplia por todos los años y los casos, luego, pues, a lo mejor no sé identificar, este es de esta familia o es de esta otra, y hay otra gente que eso sí que lo puede tener mucho más por la mano que yo. Entonces, cada familia puede funcionar de una manera. Unos te encriptan todo el disco duro en un archivo zip con una súper contraseña, otros te cada archivo te lo encriptan, como has dicho, que renombran y tal, pero tiene que ser un proceso muy rápido.
Ellos hacen un proceso muy rápido porque si Ajá. Para ellos es un esfuerzo muy grande conseguir ascender al sistema de en cuestión. Una vez están en el sistema, tiene que ser algo muy rápido, porque si están cuatro horas encriptando, pues es muy fácil que lo veas, pares y que no no obtengan lo que están buscando. Entonces, tienes un proceso que le dan a un botón, un pailo, a tu programita que ellos tienen, y encriptamtelo de una manera rapidísima. Esta encriptación, normalmente, suele ser que en el archivo en cuestión ellos tienen su listado, los Excel, las bases de datos, los no sé qué, los no sé cuánto, cada problema o cada familia encriptará unos archivos sí y otros archivos no.
Pero normalmente siempre coinciden en los importantes de las empresas. Las bases de datos, las máquinas virtuales, lo de los Excel, lo que sea. Y este encriptación, lo que suele ser es que encriptan el principio y el final del archivo, con eso ya te lo dejan inservible, porque si tuvieran que encriptar un archivo de cuatrocientos megas o veinte gigas que tiene, estaría mucho tiempo en ese archivo y podrías parar el proceso. Con que Kriter en principio y en el final ya tienes suficiente para fastidiar y que no puedas hacer uso de esos archivos.
Ya, qué locura, qué locura. Sí, porque hemos visto los casos que me cuentas en plan, ves que te están haciendo un ataque, literalmente desconectas el, apagas los plomos, quitas los ordenadores, los desconectas y y y en principio, al menos lo has retenido.
Pero también eso a veces puede ser malo, porque imagínate que te está encriptando un archivo de una base de datos, y si en el proceso de encriptar ese archivo de base de datos desenchufas en ordenador, puedes corromperlo. Eso es lo peor que te puede pasar. Te leo el archivo encriptado y corrompido, porque ya ni pagando puedes recuperarlo, ni el hunter puede hacer nada.
Claro.
Pero a veces es mejor apagar, a veces no es mejor apagar. No hay un botón mágico o una manera mágica de hacerlo.
Sí, exacto, y además, como dices tú, es que hay doscientos softwares diferentes dando vueltas. Lo que me flipa, y lo hemos comentado en el podcast diario, esto de que la gente que lo revende, es decir, es ya como franquicias,
es decir,
un señor se mete en un foro y le dicen mira, te doy este ransomware y de la y nosotros nos encargamos de recibir el dinero y te te damos como un un un porcentaje de afiliado. Correcto, es increíble. De todo lo que se infectes tú. O sea, es que me parece increíble, y es que no estamos hablando de un plan, yo creo, ¿no? Capos, hackers, no sé qué, o sea, estamos hablando de de de de de de de, yo no sé si de chavales, pero sí de gentes completamente sin escrúpulos
Sí.
Y este aumento del ransomware ha sido increíble.
Y luego el el crimen que tienen, a veces se ejecutaban en una en un celular, no sabían lo que había y otras veces sí, a veces hablamos con ellos, oye, que mira que esto es de un ordenador mío particular, y te enviabas la captura de pantalla diciendo, no, no, que esto no es un particular, que aquí tienes una base de datos de no sé cuántos gigas y, por lo tanto, esto no es un particular, es una tabla nostalgia.
Ajá. Ya, ya, ya, ya, ya. O a ver, macho, hay que saber tanto de informática casi como de psicología con esto, ¿no?
Totalmente.
Madre mía. Bueno, coméntame, más o menos, en general de la, así a a bote pronto. De los que pagan, ¿cuánto se suele solucionar pagando?
Vamos a diferenciar aquí entre los que se pueden hacer por laboratorio, que realmente es lo que a mí me me ha gustado siempre, que no hay que pagar un rescate y entonces puedes hacer una factura y es un servicio garantizado. Los que hacíamos mediante laboratorio, pues, podía ser un noventa Eso lo puedo hacer cuando fue el laboratorio, yo tengo un control y si no funciona, yo te devuelvo el dinero. Eso lo puedo hacer cuando fue el laboratorio, yo tengo un control y sé qué es lo que puede pasar. Pero cuando era negociación con el hacker, ahí ya baja y puede haber un ochenta por ciento de éxito y, claro, yo no puedo garantizarle al cliente. Muchas veces el cliente me dice, oye, ¿y esto quién me lo garantiza?
Y digo, yo no te puedo garantizar nada, yo te puedo ayudar a solventar, te puedo llevar de la mano explicándote qué es lo que tienes que hacer, pero yo no te puedo dar una garantía.
Claro. Y ahora vamos a hablar de nuestro patrocinador, porque ya sabéis, la mayoría de los oyentes, las grandísimas ventajas de la tarjeta MiVP, con la que seguro que habéis ahorrado muchísimo dinero todos estos meses, estos últimos dos años, gracias a sus ofertas y más que os vais a ahorrar, sobre todo los que aún no hayáis empezado porque es hora de instalársela ya por fin en vuestro iPhone, en vuestro Android, simplemente entráis en mi DP punto es, porque BPR es muy, muy, muy sencillo. BPR es sinónimo de hacer las cosas más sencillas, de ahorrar más, de obtener más ventajas y sacar lo mejor del programa, mi BP del programa Mi BP en todo momento. ¿Nunca ha sido un mal momento para BPar? Abres tu aplicación Mi BP en tu móvil y al repostar BPA, y consigues grandes ventajas, como ahorrar hasta veinte céntimos por litro, repostando carburante BP Ultimate con tecnología Active, lo mejor para tu motor y para tu bolsillo.
Así que si no tienes aún la aplicación, descárgatela gratis buscando Mi BP y descubre toda la información en Mi BP punto es. Siguiendo con el capítulo, imagínate, Manolo, yo mañana te llamo, me han hecho un ataque de ransomware, tienen todos los capítulos, todos los guiones, todo, absolutamente todo cifrado. ¿Qué hago? ¿Qué me recomiendas?
Aquí también vamos a contar una pequeña anécdota y lo primero que te diría es, lo siento mucho, Álex. Lo siguiente que te diría es, Álex, ¿tenías copia de seguridad?
Y yo te diré, vueve que Te pondré cualquier excusa, pero Lo
siguiente que te diría es, debes de las como a partir de hoy la tienes.
Esa es mi pregunta, ¿cuánta gente te estás encontrando que tiene copia de seguridad? Porque entiendo que la mayoría de los que tienen copia de seguridad, pues dicen, posbe.
No tienen problema. O sea, los que tienen copia de seguridad, alguna buena copia de seguridad, a lo mejor pierden una semana de trabajo, pero no es lo mismo perder una semana de trabajo que perder toda la empresa y la información en la empresa, muchas veces es lo más importante. Si no sabes qué es lo que tienes que fabricar, lo que te deben, si sabes incluso lo que te debe y no te lo pagan, si no sabes lo que te debe, no te lo van a pagar nunca.
Es que es el el daño es grande. Hemos visto hospitales recientemente con con casos de eso, estar una semana parados, sin sistemas informáticos, poco a poco recuperando, universidades y empresas, y empresas que muchas veces, porque esto yo no sé si las empresas lo, por ley, en España me refiero, no sé, en otras legislaciones, tienen que comunicárselo o a sus clientes o a sus proveedores o a las o o digamos a las a las puertas de seguridad.
No, en teoría no, por la vez que te digo, no sé, ya te digo, a nivel burocrático, me me pierdo, yo sé que tienen, que la agencia de protección de datos, tienen que poner CubasTC denuncia que han tenido su una incidencia y luego tienen que hacérselo saber, pues, a todas las personas que han podido tener los datos, pues, accesorios. Mira, imagínate que han sacado tu información de tu empresa o que han podido acceder, que tengas usuarios, direcciones, contraseñas de de de de cosas de tus clientes, pues, tendrás que saberlo para que ellos luego decidan si cambiar o no cambiar.
Ya. Y mucha gente, yo creo que esto se lo calla, ¿no?
Sí, en primera de veces esté mejor callado, bueno, no, no es que sea mejor. Pero nuestra manera de ser a veces es, hostia, que no se sepa y meto la cabeza en el agujero de un avestruz y es como si no hubiera pasado nada, pero realmente ha pasado.
Eso es. Ya. Ya, ya, ya, ya, ya, ya, ya. Cuéntame otra anécdota, porque me has abierto ya, digo, estoy ahí con el ampetito abierto, y tengo aquí otra otra otra en el Excel que pone hacker touch. Sí.
Dice, envía un email con copia a todos los afectados. Cuéntame eso, por favor.
Claro, ellos, para poder contactar, suelen poner una dirección de correo electrónico. Pero supongo que la CIA, el FBI o el estamento que toque, si obtiene denuncias que esa persona es Walker, pues pueden ir a a Yahoo, a Gemmairo o lo que sea, decir, oye, bloquea esta cuenta y supongo que podrán hacerlo. Pues su hacker, que estaba en tenía varios casos abiertos, yo estaba en negociación con uno, si lo había parado, había enviado una herramienta y esa herramienta no funcionaba bien. Des encriptaba algunos sí, algunos no, y venga a enviarle correos electrónicos, si el tío les hacía el tonto. Y envié un correo electrónico a mí y a copias a todos los que estábamos ahí, y éramos a lo mejor cincuenta personas que tenían los casos abiertos, oye, que ha cambiado la dirección de correo electrónico y ahora es esta otra.
Y me estás bien. Envío un correo a todos, pues igual, con la captura de pantalla. ¿Dónde pagué? Que es un sinvergüenza que, aunque le paguéis, nos van a dar la herramienta, que miran a mí, me ha, yo no he pagado, me ha enviado una herramienta, no desencripta y no le paguéis. Claro, el hacker y costia, Y con capturas y conversación y tal, y acto seguido me envió la herramienta buena.
Y yo, como buena persona que soy, envié otra vez otro correo a todo y digo, bueno, que sepáis que ahora sí que he mandado una herramienta buena y que cada uno haga lo que crea conveniente.
Claro, claro. O sea, que en vez de poneros en copia oculta, os puso a qué desastre. Claro, sí es que, no, es lo es lo que te decía, ¿no? Pensamos que estos son gente rollo Mister Robot
Hay hay de todo.
Y y tiene que haber, bueno, bueno, gente que empezó a tocar los ordenadores la semana pasada casi, y que ha dicho, ¿cómo? Que dinero gratis, dinero rápido, pues
Es un dinero muy frágil, muy rápido de de cobrarlo. Sí. Y ese es el problema, que y como hay una, ellos se sienten normalmente protegidos e impunidad a través de la red de que no es más mía de saber quién son. Incluso, aunque sepas quién te ha robado, tú vas a la policía y dices, mira, que esta persona me ha metido la mano y negocié y se ha llamado a la cartera, sabes que tardan menos ellos en salir que tú en poner la denuncia. Pues tú imagínate ahora que pones una denuncia, tener alguien que imagínate que es ruso, que no sabes si es ruso o es chino, lo que sea.
Pones la denuncia, ¿qué qué me ha pasado? No, se sienten totalmente impunes.
Sí, exacto. ¿Cuál es el porcentaje? ¿Cuál es tu impresión de que? Suelen ser casos los atacantes suelen estar a nivel nacional, es decir, los franceses atacan en Francia, los alemanes en Alemania, los argentinos en Argentina, o es en plan
Casi todos los correos que recibo tienen caracteres fíílicos. Oh, bueno. Y, o una de dos, o son epientinos que se ponen y dieron uso para despistar, o son rusos que que están extinguiendo, bueno, viven ruso o de de de todo lo que parece.
Pero sí es cierto que la industria, que allí ya es una industria, y lo lo lo he escuchado muchos oyentes de Kernel, directamente cuando hemos hablado con mi hermano, por ejemplo, desde allí, pues eso está allá, o sea, quiero decir, igual que en España, pues hay una industria del turismo con gente especializada en sus cadenas hoteleras, en su chiringuito, no sé qué, pues allí tienen eso.
Incluso, para para saber si son de allí o no, pues son frases en Google Transflector, donde escribes en inglés, Ves que ellos también han usado el traductor porque son frases que no son del todo inglés. Claro. Y hay veces que Coco, para saber si son rusos o no, escribo texto, lo traduzco a ruso, pero en vez de enviarle texto, que si son de otro para cualquier otro sitio pueden traducirlo, le haces una captura de pantalla, le envías la captura de pantalla y te contestan con conforme lo han podido leer correctamente.
Qué bueno, Ancho, si es que atrás sabes todas, madre mía. Madre mía. ¿Cómo suele ser, así ya después de tu experiencia, cómo suele ser el método de entrada, digamos, de ellos? Es decir, vulnerabilidades de redes, los típicos adjuntos de un corredor.
Ha pasado mucho, ha ha evolucionado mucho. Los primeros Yo empecé con esto en el dos mil quince, más o menos, y allí fue el famoso virus Endesa y virus Dropbox, el virus de la policía. A ver, esos venían por un fichero adjunto, el antivirus no te lo detectaba, no, te venía un enlace de de Dropbox. En el enlace de Dropbox iba a HTTPS y, por lo tanto, hasta que no lo descargas, nadie puede saber qué es lo que hay. Pero eso ya pasó, esto es como la pesca, eso no era como una pesca de arrastre, que tiraban y cogían lo que fuera.
No sabían a quién iba directamente, no sabían si era una empresa en particular, y por eso también, pues, pedían cantidades muy razonables. Luego vieron que estaban los RDPs en el en el escritorio remoto que mucha gente utilizaba el tres tres ocho nueve o cualquier otro puerto, y ahí fue la el siguiente paso, y eso fue un boom bestial. Ellos hacían ataques totalmente descentralizados, de con quién era una base de datos, te metían y, a lo mejor, tenían mil equipos analizando todas las IPs del mundo y probando usuarios y contraseñas, no tenían ninguna prisa. Entonces, tú podías tener un bloqueador y decía, ah, pues, aquí me están bloqueando, bloqueo esta IP. Pero es que luego continuaban con otra IP y luego con otra IP, porque es un ataque descentralizado, tenía una base de datos con las IPs que tenían que atacar, los usuarios y las contraseñas, y la han probando.
Al principio era relativamente fácil y conseguían con diccionarios o lo que fuera en Tran y una vez entraban, hacían lo que les daba la gana. Hoy en día ya esos ataques no suelen tener mucho éxito y, por lo tanto, ya lo han lo han descartado o lo siguen haciendo, pero están con otros objetivos. Los objetivos hoy en día es que entran en tu red, aquellas de que te ponen una especie de Team Viewer o cualquier cosa, y ahí lo hay, no hay escáner de antivirus que que te detecte. Si tú pones un un TeamViewer, una Nidez, cualquier problema de estos, de escritorio de de control remoto, te escanean la red, te te estudian toda la red y una vez han estudiado toda la red, pegan el rejonazo de qué es lo que tengan que hacer.
Claro. Claro, es decir, entran como cuando entras en una joyería físicamente y tienen un rato para ir mirando todo a su a su gusto. Más historietas. Cuéntame, cuéntame, cuéntame, ¿qué más? Ay, dios mío.
Alguna buena, alguna siempre. No sé si decirte alguna grande que no, y sin dar nombres.
Bueno, el grande sí que he llegado a hablar. Alguna grande, a lo mejor, sí que podía hacer por por laboratorio. Y hasta eso fue un caso de éxito rotundo y tremendo, porque, claro, no se habían capacitados y tú llegas allí. Incluso, en algún momento tenía algún laboratorio que te saltabas todos los hackers y hablabas con la persona en cuestión, te daba la herramienta, pero en cuestión de minutos. Eso eso fueron días que no vuelven a ver, ojalá, porque eso eso era uno tras otro, uno tras otro.
Intentaban y ya en cuestión de veinte minutos estaba ya desencriptando.
Qué bueno, qué bueno. Claro, esto es un poco el gato y el ratón, ¿no? Y lo hemos visto a veces que en plan, la fuerza de seguridad de no sé qué país ha conseguido hackear a los hackers y ha conseguido la clave maestra, que sirve para descifrar todo lo cifrado con ese tipo de software o con estas ramas y estas versiones diferentes. Pero, pues, no todos sirven
No, que va, que va. Aquí muchas veces la gente quiere el botón mágico, pero que no existe un botón mágico. Hay más de mil encriptadores, algunos muy antiguos, otros más modernos, pero es que incluso los modernos, aunque tú consiguieras una herramienta para desencriptar, ellos solo tienen que apretar un botoncito, girar un poco y ya están en otro nivel. Ya todo lo que habías conseguido para desencriptar, ya no te vale.
Sí. Qué locura, tío. A ver, de las cosas que tengo aquí, no sé si meterme en temas de de Estados Unidos y cosas así, pero lo de lo de, por ejemplo, que tienes aquí apuntado dice, llamadas a cualquier hora, dice, de Turquía,
de Turquía.
Es decir, no no solo te llaman desde España, sino que te
Más época que esto era el boom, mi teléfono. O sea, imagínate, tienes una tarifa plana y saltarte la tarifa plana, decir, oye, que este mes tienes que pagar porque te has pasado todos los minutos que tenían de tarifa plana. Y yo, bueno, pues, se para, no hay problema, ¿vale? Porque era una llamada tras otra y yo tenía ya la cabeza como un bombón que no se ha liado con quién tenía que hablar, qué tenía que hacer.
Claro, pero, o sea, que es ha sido un tema muy muy internacionalizado, ¿no? Pero el No sé muy bien cómo cómo decirlo, por ejemplo, suelen hacer, ¿hay algún tipo de de consejo en las negociaciones? Es decir, más allá de pagar, no pagar, algún tipo de de, ¿cómo digamos? De truco psicológico o de recomendación que puedas dar tú para para tratar con con el sapo? Sí,
sí, algo algo siempre se puede hacer, o se puede intentar. Lo que pasa es que ellos también saben que ya estás haciendo algo y ya no valen. Lo hace al principio lo podrías poner, mira que mi abuela está en el hospital, que no sé qué. Ellos tienen un corazón de liebre que cualquier cosa que le digas, les les bala, ¿vale? Que si mi hijo no sé qué, les les da, ellos solo quieren tu dinero, solo quieren eso.
Entonces, a veces si notan que estás muy nervioso porque estás muy precipitado, le envías un correo y otro correo y otro correo, dice, este este tiene está preocupado y todo lo Nevamos a pinchar. Me acuerdo también una vez puro te dice, sí, sí, porque el hacker pidió un alcalde de Polly y meteré a resolucionario, pero ¿cómo le vas a decir eso? Por dios, no me vengas eso. Bueno, si el hacker no sabía que eras una que era un ayuntamiento, ¿cómo ha dicho que eres un ayuntamiento? Entonces, hay veces que cuanta menos información le digas, mejor.
Pasar desapercibido, pasar como que no tiene importancia y no escribirles tres veces seguido. Escribes hoy y escríbelo. Si aguantas dentro de cinco días, pues, eso es como para decirle, mis datos no son importantes, pero bueno, si quieres vamos a negociar. En jaque, en jaque una notítico es, si pagas hoy uno y si pagas mañana dos. Es lo típico que te suelen decir.
Pero si luego pasan cinco días, dices, bueno, hoy me dice uno, medio. Sí. Entonces, ahí es una cuestión de decir, vamos a jugar, de que vea que no tengo una necesidad.
Claro, porque hay que entrar en esa, ¿cómo es? La teoría de juegos esta de que, también se nota que tienes prisa, pero al hacker al final prefiere cobrar aunque sea una décima parte de lo que pedía originalmente que cobra cero,
con lo cual
tiene un incentivo para dejarte un poco la puerta abierta siempre, porque si acabas o pasa, dices lo que dices tú, o remontando la empresa desde cero, o tirando de copias de seguridad, o lo que sea, pero lo solucionas sin él, ese ataque a perder el dinero.
Correcto, correcto. Y hay una frase que se dice mucho, si no pagara nadie, no existiría el rancho.
Exacto, exacto, exacto, ¿no? Lo de lo que suena lo que suelen decir en las películas los estadounidenses, ¿no? Sí,
no, el Roma no
paga traidores, bueno, depende de qué traidor, ¿no? Habrá por ahí. Vaya tela, vaya tela. ¿Hay algún caso imposible que de estos que digas tú? Sí, con los
entonces,
o sea, aquí no hay nada de los casos.
Yo me he encontrado casos con, a lo mejor, la triple encriptación. O sea, un archivo, habría ataques que te guardan el nombre original, te puede cambiar luego una extensión, te no sé qué. Y dices, oye, pero si es que este archivo lo han encriptado tres hackers diferentes. Esto es que ni pagando las la la la posibilidad de de de desencritar esto es es cero, porque no sabes lo que te vas a encontrar y y que a veces desencritas un archivo y te das cuenta que luego adentro está encriptado otra vez porque en original no le cambiaba el nombre. Uf, estos son una caja de sorpresas.
Madre mía. Claro, es que si te entra uno, pero si te entran así todos a.
Esto solía pasar con el tema de los escritorios remotos, que entraba un hacker y ponía un programita y entritama. Entraba otro hacker y decía, ah, pues, yo también me lo alto el mío. Entonces, luego volví al primero y decía, ah, pues, ¿cómo ha cambiado? Le vuelvo a quitar yo también. O porque estaba el archiva ahí y estaba continuamente encriptando.
Madre mía. O sea, increíble. Me ha dejado muy curioso lo que decías, dices, si nadie pagara, pero claro.
Yo siempre lo recomiendo, cualquier persona que me llame, le digo,
te recomiendo no pagar. Ya, ya. Ya, pero lo que dices tú, ¿no? Si el hijo fuera fuera mío, ¿cómo ves la cosa? ¿Dos mil veintitrés crees que la gente ya tiene tanto los las copias de seguridad como el software más protegido, más actualizado
Ha cambiado mucho.
Ya saben un poco más por dónde van las cosas
Ha cambiado mucho en los últimos años. Tú cuenta que hace unos años aquí nadie pagaba absolutamente nada, ni el Office ni el Windows. Ya cada vez es mucho más normal que la gente pague por las licencias, Entonces, por ahí ya es un agujero de seguridad que ya está un poquito más cerrado, porque la gente siempre tenía que buscar un un cracker, un crack, un hacker, un número de serie, navegaba por aquí y por allí, y eso era un agujero de seguridad. Aún así, sigue habiendo el que no quiere pagar. Bueno.
Ya, ya. Qué válido.
Ya. O sea que, bueno, el mítico, ¿no? Lo que pasa es que antes te ponías un, ah, me he bajado el Photoshop y venía con un virus. Y dices bueno, pues vale, pero es que ahora en vez del virus es ese ransomware y cambian los incentivos, porque un virus lo podías hacer simplemente por molestar, y con esto vas a ganar dinero, y ostras tú. ¿Cómo van las luchas?
Es decir, ¿es más policías de
no pueden No, y está el INCIBE, que es el Instituto Nacional de Ciberseguridad, tú le puedes enviar el caso, pero es que ellos al final tampoco tienen herramientas. A lo mejor, en algún momento tenían algún acuerdo con alguna laboratoria, lo enviabas, te ayudaban, pero es que cada vez es más dicho. Todos los casos que me están entrando últimamente, ya le digo a los clientes, digo, es que la única opción que hay es pagar en rescate. Puedes hablar con quien quiera. Pero a día de hoy, solo se puede pagar el rescate y cualquier empresa que te diga lo contrario, te va a estar mareando.
Ya, ya. Qué movidas, tío. Pues nada, copias de seguridad todos. O sea, yo creo que después de escuchar este episodio, vamos a voy a voy a poner el enlace de las notas del episodio, enlace de afiliados a Amazon a Dish Futuro, para que la gente
Hostia, mira, que hemos sufrido un ataque y tal. Te voy a preguntar, copia. Sí, sí, tenía copia. ¿Y qué ha pasado? Porque, claro, es que yo he llegado el lunes y, claro, nadie me ha dicho nana y he cogido, he sacado el disco duro de la semana anterior, he conectado el disco duro de esta semana y se ha encriptado.
No, porque a veces haces trabajos que que no no estás comprobando cada semana si te han concretado. Y la gente del hotel sabía que había pasado algo, pero no le habían dicho nada a él y el pobre Tito Sapfredy Squatevo encriptaba, puso el nuevo y se encrischó, dice. Ya y Y
se cifró.
Este, mira que el de los focus, que tenía una copia de seguridad que podrían haberse salvado y tampoco se salvó.
Sí. Bueno, aparte de copias de seguridad, aparte de tener las de copias de seguridad, no solo tenerlas, tener múltiples, tenerlas en diferentes, porque no solo es el ransomware, sino que se te incendie en la oficina y los discos duros se vayan a la mierda. ¿Cómo te iba a decir? Probar que las copias de seguridad se estén haciendo bien y que puedas recuperar, es decir,
de poco sirve. Mira, todas las empresas puede tener una empresa de limpieza. Idea todos los días, te limpian la oficina, y eso lo pagas muy a gusto. Pero el tema de la informática y el tema de la copia de seguridad es como si se lo doy a alguien, hablo de empresas pequeñas, como si se lo doy a alguien como si me estuviera rebajando. Y a veces no hay que tomarlo así, es una ayuda que te lo tiene que brindar otra empresa, porque no todo el mundo llegamos a todos los sitios, y tienes que pagar por estos servicios que te control.
Lo que pasa es que a veces también pagas y no te lo hacen y dices, oye, pues para eso no pago. Pero si pagas a Olga y que te revise las copias, que te haga las copias, que sea el encargado de de de ese trabajo, pues tienes mucho ganado.
Ya. Y a nivel de seguros, yo sí he visto, de hecho creo que tenemos un patrocinador dentro de unas semanas, algo así, que que aparte de seguros laborales en plan, bueno, mira, tus empleados se ponen enfermos o tienen accidentes laborales, etcétera, aparte de todo ese tipo de cláusulas y de pólizas, ya tienen, pues, esto estandarizado en plan, mira, oye, tienes un ataque y hay que pagar multa de protección de datos, pues aquí estamos nosotros para pagar por ti, porque tú nos has estado pagando las cuotas. O tienes un ataque de ransomware, nos has estado pagando las cuotas.
Esto, pero está terminada, pero no sé si llegarán a pagar a a hacer el pago o no. ¿Vale? En entre tú y yo, esto de los seguros, es que al final el seguro hay una frase también que digo yo mucho que es, el seguro te cubre todo menos lo que te pase a ti.
Sí, sí, sí, sí.
Porque si no tienes si no tienes seguro, te diría, sí, pero si hubieras tenido seguro, te hubiera cubierto y tal. Agarras el seguro y dices, no, porque esto no, entonces, ya es que no sabes qué hacer. Claro, Claro, claro, no, es que no cogiste esta póliza. O la empresa de vayas a, que te haya algo así, ¿verdad? Sí.
No, no, no, no, absolutamente, esto lo hemos podido ver todos, con nuestras cosas de la casa, con nuestras cosas del coche. Oye, mira, se me ha roto el coche. Ay, es que justo está a diez kilómetros más, ¿de dónde está el problema de cobertura? Digo, chicos vale que. Bueno, bueno, bueno, bueno, qué locura.
¿Algún consejillo más? Hemos dicho.
Y esto no sé si es verídico o es una anécdota que que se cuenta. Cuando el tema de las torres temelas, pues en el que había alguna empresa que hacía copia de seguridad en la otra torre. Entonces, claro, donde decía, pues, esto pues, si cae un avión, pues, tenemos la copia, pero con ellos no pensaron que iban a caer dos aviones. No sé si eso fue verdad o es un gurú, Pero, entonces, hostia, es que, por más que tengas dos copias, siempre puede pasar que se estropeen las dos. Es muy difícil.
Sí, es cierto, no es como una bola deja, ¿no? Una fábula de estas. Qué bueno, qué bueno. Sí es cierto, al final las copias de seguridad siempre se suelen decir, múltiples localizaciones, lo más posible con mayor tipo de distancias, múltiples tipos, etcétera. Bueno Manolo, yo te animo a que hagas el podcast, de verdad, o sea, episodio uno, el hacker tonto, episodio dos, el FBI.
Sí, yo yo del FBI y tal. Otra cosa que me pasa, yo no sé si podría ir a Estados Unidos, porque esta gente como son tan raras, llegas allí y te dicen, ¿y usted a qué se dedica? Yo soy ayudante de de la Tapias Terrage o bueno, usted va para adentro.
Sí, sí, sí, usted por lo menos se queda aquí un ratito que vamos a a hacer pasarle un ratito en aduanas aquí en en el aeropuerto. Bueno.
Yo prefiero no ir, Yo mi amigo Waldine, que sé lo mismo por la tele y ya está. Hackers te suele pedir que le pagues en Bitcoins.
Ajá.
Pero yo he visto hackers que te pedían monedas hasta raras. Bueno, Monero, pues, es bastante habitual. Con tablas. Ajá. Lo he visto, de Terrell, he visto varios tipos de de de intentar cobrarlo.
O sea, hay gente que tiene un nivel hasta de criptomonedas bastante bueno.
Claro, claro, eso es. No, sí es que, más o menos, ya suelen tener todo es eso, ellos al final pueden tener más o menos profesionalidad, pero van por lo menos un paso más adelantado que tú, etcétera. En fin, Manolo, por cierto, en control IP punto net, que lo vamos a dejar en la nota del episodio, que es tu empresa y la que llevo todos estos casos, y y los que no se pueden contar que que que vuelvo a insistir lo del podcast. Yo como oyente, yo como oyente querría escucharlos, quería escucharlos, aunque solo sea, ya te digo, usa seudónimos, usa cambias nombres, etcétera, pero yo creo que tendrías ahí para para una buena unas buenas anécdotas. Espero que lo siento y os haya gustado.
Al menos que sirvamos o que este episodio sirva para deciros chicos, esto es una cosa grave, es una cosa que ocurre, es una cosa que va a seguir ocurriendo, no solo por ransomware, sino por múltiples otros motivos, hay que estar preparados. Y
Y lo de los consejos, pues, no hay un consejo maravilloso, pero hay muchos consejos buenos, el tener una copia de seguridad, el tener un buen equipo informático, una una empresa informática. Y no lo digo por mí, porque yo ni soy mejor ni peor que nadie, pero te falta asesorar por empresas que te hacen, que lo hagan bien.
Absolutamente yo creo que es lo lo básico. Si eres una empresa ya grande, tienes que confiar en tu propio departamento de IT, tener gente buena, tener gente bien pagada, bien externa o bien dentro. Las cosas de informática hay algunos jefes que lo suelen entender siempre mal, como algo secundario o terciario, etcétera. No sólo son por ataques externos, siempre puede haber gente que oye mira, es que se me han borrado los datos y al final es
lo mismo,
porque bueno peor incluso porque no tienes a nadie que pagar para que para que te dé la clave y recuperarlos ¿no? Y bueno en fin, es decir que tanto errores voluntarios o involuntarios ¿no? Como como ataques externos, yo creo que el tema de las copias de seguridad es algo completamente básico, y tener una muy buena infraestructura y que hay múltiples opciones. Podéis tener tanto cosas locales como cosas externalizadas, etcétera. Vamos a dejar muchísimos enlaces en las notas del episodio, ¿vale?
Para que podáis estar más atentos. No esperéis a que os ocurra o a que le ocurra a algún amigo, ¿vale? O algún conocido. No es por meteros miedo, pero todos pensamos que A mí me pasa. Bueno venga, ya la semana que viene me pongo a hacer las copias de seguridad, bueno no sé qué tal.
Se nos olvida, lo dejamos, no sé qué, pero bueno. En fin, muchas gracias A
ti Alex.
Por por venirte, Manolo este vez de Control IP punto net, y muchas gracias a los oyentes por escucharnos, esperamos que eso, no haberos metido miedo, pero sí haberos metido un poco esa sensación de precaución, que yo cuando empezamos a hablar Manuel y yo de grabar este episodio, yo se me estaba poniendo el culo cerrado, tío, digo, vaya, qué mal lo voy a pasar, y tú que al final, pues, yo hago podcast y cosas así, y no tengo datos de nadie, pero pero todos tenemos ficheros, fotografías, cosas personales, vídeos, grabados de no sé qué. He perdido mi clave, Google me ha cerrado mi Google Fotos, he perdido mi acceso al a los iFotos, al iCloud, no sé qué Pata, pum, fuera. Así que ya sabéis todas las opciones que tenéis. Con esto nos despedimos, muchísimas gracias a todos y nos vemos en otro episodio de Keeping.
Gracias, adiós.
