Kernel #157

Las trincheras del Ransomware

Patrocinador: Ya habéis visto los titulares en la prensa sobre la gama Redmi Note 12 Series, ¿no? Unos smartphones increíbles a precios imbatibles. Pantalla AMOLED de 120 Hz, carga de hasta 120 W, y batería de 5000 mAh a estos precios es algo nunca visto. — Pásate por Mi.com para ver todos los detalles.

En este episodio de Kernel, me acompaña Manolo Estévez, de Control IP, para contarme algunos casos curiosos de ataques de ransomware en los que ha tenido que lidiar con clientes nerviosos, hackers de todo el mundo, y el desconocimiento y desconfianza de las fuerzas de seguridad.

El ransomware se ha convertido en una de las amenazas más peligrosas para las empresas en los últimos años. Este tipo de software malicioso bloquea el acceso a los archivos y datos importantes, exigiendo el pago de un rescate para desbloquearlos.

Los ataques de ransomware se han vuelto cada vez más sofisticados y frecuentes, y las empresas de todos los tamaños y sectores son vulnerables a ellos. El coste de recuperación después de un ataque de ransomware puede ser significativo, desde el rescate exigido por los atacantes hasta el tiempo y el costo de recuperación de los datos y la reputación de la empresa.

Kernel es el podcast semanal donde Álex Barredo debate con buenos invitados sobre las plataformas y compañías tecnológicas que afectan a nuestra vida diaria. 

Enlaces:

Transcripción

Bienvenidos a un nuevo episodio de Kernel, el podcast semanal de mixx.io en el que nos adentramos en un tema más en profundidad. En esta ocasión, creo que lo habréis visto ya por el título, vamos a hablar de ransomwares, vamos a hablar de todos estos ataques informáticos en general que están prosperando tanto los últimos años y lo vamos a hacer con un oyente muy especial que llevamos un montón de tiempo diciendo, oye, vamos a hacer este episodio

porque tengo tantas anécdotas que contar y tantas cosas brutales y digo, yo sé más, no sé si podemos hacer un episodio de media hora o uno de 200 horas, pero te tienes que venir a contarlo. Y es Manolo Estevez, de Control IP, Manolo el Desencriptador, te dicen ya, ¿no? O sea, ya estás cansado de luchar.

Es un sobrenombre, un alias, pero bueno, yo soy Manolo, informático y desencriptador, pues bueno, a mí me han ido muchos casos y ahí estamos. Eso es. Entonces, Manolo, pues la verdad es que desde su empresa, los últimos años le ha tocado lidiar y le ha tocado estar en mitad de casos, algunos rocambolescos, otros que yo creo que no me puedes ni contar por la gente y empresas que han estado involucradas, pero yo creo que hay algunos que, joder, es que si tuviéramos que hacer toda la lista

que me has pasado, son 300 horas fácil de episodio. Es decir, varios libros, ¿verdad? Una serie de Netflix. Te da para sacar un podcast con cada uno de estos casos contándolo. O sea que yo te animo a que eso, porque yo creo que a los oyentes les va a gustar mucho. De todas formas, cuéntame lo primero, antes de entrar en algunos casos un poco más particulares, ¿cómo suele ser? Es decir, ¿cómo es cuando una empresa o un particular sufre un ataque

tanto de ransomware como de otros tipos y se da cuenta de que o paga o no lo soluciona o incluso pagando no lo puede solucionar? ¿Cómo se involucran las fuerzas de seguridad? ¿Cómo se suelen desarrollar en general? Aquí hay varios pasos. El primero es ver que no puedes acceder a la información y te pones muy nervioso y buscas ayuda y no sabes con quién contactar.

Hay empresas que a lo mejor tienen su departamento de seguridad y sí que pueden saber qué es lo que está pasando, pero esta gente pues no. Entonces contactan con un informático, con un amigo o con alguien de un antivirus y al final pues en causa hacia mí o hacia otra persona que sea del mismo estilo. Entonces una vez se encuentran con el marrón es como el que bebe.

Primero hay que reconocer qué es lo que está pasando y a partir de ahí pues se va actuando. Eso es. Entonces, normalmente suelen ser empresas de todo tipo. Imagino grandes, pequeñas, gente particular, etcétera. Imagino que en algunas ocasiones pues cientos de servidores o lo que sea en un centro de datos y similares. Pero por ejemplo, cuando te llaman, ¿en alguna ocasión te puede haber, por ejemplo, ya directamente te contactan desde policía para que hagas algún tipo de peritaje o algo? ¿Cómo funciona?

Bueno, el tema de burocracia es que me gusta muy poco. Entonces, el tema de análisis insensital siempre lo derivo a otras empresas. Normalmente primero me llama el cliente o la persona afectada y después esa persona afectada, aparte de que le pueda ayudar o no, pues pone una denuncia y en esa denuncia pues a veces la policía sí que puede o el cuerpo en cuestión pues puede contactar conmigo para preguntarme si sé qué es lo que ha pasado, si yo soy

parte de los que han encriptado y si fuera así no estaría yo aquí, ya estaría en otra parte. Y eso es un poco la circunstancia. Sí que es verdad que ha cambiado durante estos años, pues al principio eran mucho más particulares, luego eran más empresas pequeñas y ahora ya son empresas más grandes y en las empresas más grandes pues poco se puede hacer.

Pero en todo ese bagaje de particulares, pequeñas empresas, medianas empresas, grandes empresas, pues ha habido una evolución muy grande. ¿Y ves a la gente, ves a las empresas más preparadas ahora que hace dos o tres años cuando empezó todo esto yo creo que en masa? A mí me gusta poner mucho el tema de ejemplos y es como cuando ponen multas a la gente que lleve, pues al final ya a todo el que le ponen multa dice hostia ya no tengo que beber.

Aquí con el ransom es un poco parecido, a todo el que le tenía que pasar ya le ha pasado y ahora ya hay menos gente que puedan tener ataques normales de los que habían hace dos o tres años o porque ya están tomando las medidas oportunas. Sí, sobre todo eso, están tomando más medidas y los que no habían tomado medidas ya todos han sido hackeados.

Ya, ya. Sí, porque al final estos son escaneos masivos, indiscriminados, ¿no? Dicen este tiene esta vulnerabilidad, atacamos, listo y ya está. Al final del episodio te voy a pedir una serie de consejos, es en plan, mira, cosas básicas, o sea, dos o tres, vale, dos o tres. Pero me ha hecho mucha gracia una cosa que cuando te contactan la policía, tú estás ahora en Cataluña, Control IP, que es tu empresa, está en Cataluña, te suelen llamar también los Mossos de Escuadra, Guardia Civil, etcétera, dependiendo pues

quién más o menos lleva el caso. Me ha resultado muy curioso lo que dices porque yo no creo que sea pocas veces la que ocurra en la que, digamos, los atacantes son los que se ofrecen para desencriptar como expertos. No sé si es porque, claro, si la policía puede sospechar de gente que trabaja en esto es porque algunos casos ha debido de haber, ¿no? Ya con el tema de detrás te podía plantear, por ejemplo, hay veces que hemos intermediado

en la negociación porque no quedaba otra y en algún caso hemos tenido que intermediar con un hacker en más de una ocasión y al final se establece una relación. Dices, hostia, que tengo este caso y acúrate de mí que voy a solventarlo. Incluso en algún caso así un hacker con el que habíamos hablado dos o tres veces nos propuso, oye, ¿quieres que le diga a más gente que intermedie en contigo? No, no, no, eso no.

O sea, una cosa es que el cliente acuda a mí y otra cosa es que tú le digas a gente porque el problema muchas veces es que la gente no sabe ni cómo realizar el pago y el hacker tiene un problema porque no podía cobrar, no sabía cómo decirle a la gente que le pagaran y quería que le ayudamos y yo, no, no, a ti no te puedo ayudar, a ti lo siento, pero digas una línea roja que no podemos cruzar.

No, claro, es que me parece fascinante porque claro, el incentivo del hacker es llevarse esos bitcoins o esas criptomonedas o lo que sea y me parece mucha gracia porque parece que te está ofreciendo tarifa plana, todos los que vengan por ti y eso sinceramente no me extrañaría que fuera algo común o algo que estableciera menos escrúpulos.

Yo creo que sí, hay empresas y bueno, al final no hay pocas empresas en este sector y entre todas pues yo creo que más o menos nos podemos conocer o saber dónde está posicionado cada uno y yo creo que hay alguna empresa que realmente ya tiene un trato como más directo con estos grupos, sabe cómo tiene que tratarlos y tal, yo siempre me gusta si tengo que hacer un caso nuevo que no puedan recopilar información, decir hostia con este ya hemos trabajado antes, no, prefiero que no.

Sí, exacto y yo creo que ese es un grave problema del tema del ramson werex, que en algunas ocasiones, como dices tú, yo creo que es difícil realmente incluso pagar, incluso muchas veces, y ahora me comentarás, no sé si tiene sentido pagar porque no garantiza realmente nada, tienes que fiarte de la palabra de la persona que te ha atacado, pero bueno, cuéntame.

Hasta la hora de las palabras pienso mucho con la gente que me llama y que quiere realizar el pago, le digo, mi recomendación es no pagar, pero se lo digo explícitamente, no es puede que mi recomendación es no pagar, pero al final la empresa es tuya y tú es el que tiene que definir qué es lo que haces, es como si te secuestran a un hijo, ya te puede decir el rey, el que sea, que no pares, que coño, el hijo es mío y ya decidiré yo si pago o no pago.

Sí, sí, sí, sí. Sí, además siempre se suele, con esto estuve leyendo justo hace poco sobre los secuestros en algunas ciudades y en algunas regiones en América y es en plan, mira, la policía ya se los conoce casi por nombre a los que están secuestrando, entonces es en plan, pues mira, a ti te está afectando porque es la primera vez que te secuestran a un familiar, pero la policía es el décimo secuestro que llevan esa mañana

y saben un poco cuál es lo mejor para vosotros. Tengo aquí, os prometo, el Excel no lo vamos a poder compartir, ni en pantalla, ni en la nota del episodio, ni nada, porque como se filtre, malo este. Pero hay uno, la línea 22, que me ha llamado mucho la atención. Hacker Troleador.

Dice, y ya simplemente por este nombre me has iluminado los ojos. Cuéntame, qué pasó en este caso. Mira, en este caso lo tengo grabado ahí, fue muy bueno. Fue uno típico que después de pagarle no te da la solución. Y ahora, ¿qué hago yo? Y dentro de todo el rancho, pues hay unos que son unas familias, dentro de esas familias hay como diferentes personas que están unas con una pirámide, uno que está más arriba, otro que está más abajo.

Uno compra una herramienta, se la compra al de arriba, el de arriba puede hacer sus casos y el de abajo, el de abajo solo puede hacer los suyos. Y tenía ya una lista de toda esa familia, pero a lo mejor había 150 direcciones entre los que me entraban a mí, entre los que buscaba. A mí me gusta almacenar información. Y tenía toda esa información por ahí.

Entonces el hacker no daba la solución. Y me lo he dicho, ahora. Total, que envíe un correo electrónico a los 150 correos que tenía. Y digo, mira, un amigo vuestro, le he pagado, y le envíe una captura de pantalla y tal, le he pagado y él sin vergüenza os está dejando a la altura del vetura a todos. Porque imaginad que si se pone la voz de que paga alguien y que no se da la herramienta, nadie os va a querer pagar.

Uno de todos esos 150 me dio la herramienta y me dijo, aquí tenéis la herramienta para tu caso. Fue increíble. Pero bueno, eso pasa una vez en un millón. Increíblemente, creo que esa táctica la utilicé más de una vez. Y los animales que se fían de ti, igual ves a la policía, ves no sé qué. En ese caso, tuve suerte y el cliente alucinó.

Lo has conseguido? Sí, sí, ya lo expliqué y quedó alucinado. ¿Y qué te suelen dar? Me dices, te dan el software para explicar un poco a los oyentes cómo funciona el ransomware. Que a lo mejor nos hemos venido arriba asumiendo que todos sabemos. Infectan tu ordenador o tus múltiples ordenadores, incluso servicios administrativos que tengas, etc.

Y los archivos, no todos, pero algunos que ellos detecten que puedan ser importantes, es que ni tocan, yo creo que en la mayoría de casos, ni les importa lo que haya. Lo que hacen es copian el archivo para dejarlo en una copia encriptada y borran el original. Es como si lo metieran en un zip con contraseña. Y si no les pagas una cantidad de bitcoins, a través de una dirección que te pasan, en cuanto ellos ven que lo reciben, te pasan la clave para descifrar esos archivos.

Más o menos, sí. Hay muchas familias. Yo ahí también me pierdo un poco, porque por más que tenga una visión amplia por todos los años y los casos, luego a lo mejor no sé identificar, este es de esta familia o es de esta otra. Y hay otra gente que eso sí que lo puede tener mucho más por la mano que yo.

Entonces, cada familia puede funcionar de una manera. Unos te encriptan todo el disco duro en un archivo zip, con una súper contraseña. Otros, cada archivo te lo encriptan, como has dicho, que renombran y tal. Pero tiene que ser un proceso muy rápido. Ellos hacen un proceso muy rápido, porque para ellos es un esfuerzo muy grande conseguir acceder al sistema de enquesting.

Una vez están en el sistema, tiene que ser algo muy rápido, porque si están cuatro horas encriptando, pues es muy fácil que lo veas, pares y que no obtengan lo que están buscando. Entonces, tienes un proceso que le dan a un botón, un payload a tu programita que ellos tienen, y encriptan, pero de una manera rapidísima. Esta encriptación normalmente suele ser que en el archivo en cuestión ellos tienen su listado, los exter, las bases de datos, los no sé qué, los no sé cuánto, cada programa

o cada familia encriptará unos archivos sí y otros archivos no. Pero normalmente siempre coinciden en los importantes de las empresas, las bases de datos, las máquinas virtuales, los exter, lo que sea. Y este encriptación lo que suele ser es que encriptan el principio y el final del archivo, con eso ya te lo dejan inservible, porque si tuvieran que encriptar un archivo de 400 megas o 20 gigas que tiene, estaría mucho tiempo en ese archivo y podrías

parar el proceso. Con que encripten el principio y el final, ya tienes suficiente para fastidiar y que no puedas hacer uso de esos archivos. Ya, qué locura, qué locura. Sí, porque hemos visto los casos que me cuentas en plan, ves que te están haciendo un ataque, literalmente apagas los plomos, quitas los ordenadores, los desconectas y en principio al menos lo has retenido. Sí, pero también eso a veces puede ser malo, porque imagínate que te está encriptando

un archivo de una base de datos y si en el proceso de encriptar ese archivo de base de datos deshinchufas el ordenador, puedes corromperlo. Y eso es lo peor que te puede pasar, tener un archivo encriptado incorrompido, porque ya ni parando puedes recuperarlo, ni el hunter puede hacer nada.

Pero a veces es mejor apagar, a veces no es mejor apagar. No hay un botón mágico o una manera mágica de hacerlo. Sí, exacto. Y además, como dices tú, es que hay 200 softwares diferentes dando vueltas. Lo que me flipa, y lo hemos comentado en el podcast diario, esto de que la gente que lo revende, es decir, es ya como franquicias.

Un señor se mete en un foro y le dicen, mira, te doy este ransomware y nosotros nos encargamos de recibir el dinero y te damos como un porcentaje de afiliado. Es decir, de todo lo que se infectes tú. Me parece increíble. Y es que no estamos hablando de capos, hackers, no sé qué. Estamos hablando de, yo no sé si de chavales, pero sí de gente completamente sin escrúpulos.

Y este aumento del ransomware ha sido increíble. Y luego, el nivel que tienen, a veces ejecutaban en un celular, no sabían lo que había. Y otras veces sí, a veces hablabas con ellos, oye, mira, que esto es el ordenador mío particular. Y te enviaban la captura de pantalla diciendo, no, no, que esto no es de un particular, que aquí tienes una base de datos de no sé cuántos gigas y por lo tanto, esto no es un particular, es un encapulado. Ya, ya, ya, ya.

Oe, macho, hay que saber tanto de informática casi como de psicología con esto, ¿eh? Totalmente. Madre mía. Bueno, coméntame, más o menos, en general, así a bote pronto, de los que pagan, ¿cuánto se suele solucionar pagando? Vamos a diferenciar aquí entre los que se pueden hacer por laboratorio, que realmente es lo que a mí me ha gustado siempre, que no hay que pagar un resfate y entonces puedes hacer una factura y es un servicio garantizado, los que hacíamos mediante laboratorio, pues

podía ser un 98% de éxito y además siempre yo les decía al cliente, y si no funciona, yo te devuelvo el dinero. Eso lo puedo hacer cuando es por laboratorio, yo tengo un control y sé qué es lo que puede pasar. Pero cuando era negociación con el hacker, ahí ya baja y puede haber un 80% de éxito y claro, yo no puedo garantizarle al cliente, muchas veces el cliente me dice, ¿y esto quién me lo ha garantizado?

Y yo digo, es que yo no te puedo garantizar nada, yo te puedo ayudar a solventar, te puedo llevar de la mano explicándote qué es lo que tienes que hacer, pero yo no te puedo dar una garantía. Claro, ¿sabes lo que te va a dar una garantía? El patrocinador de esta semana que me parece que antes te he visto con un Xiaomi por la webcam pero, y es que justo, es Xiaomi el patrocinador de este episodio con la cama

Redmi Note 12 series, que me gusta decirlo a mí, oye, ¿ya habéis visto los titulares de prensa de los medios tecnológicos lo bien que lo han puesto entonces? Y es que la verdad que impresionan, la pantalla AMOLED, literalmente AMOLED de 120 hercios es una absoluta locura y todos los modelos de la gama Redmi Note 12 series vienen con una batería gigante de 5000 mAh, hora que ya sabéis que dura, que dura, que dura y

que dura y además si elegís el modelo Pro Plus lo tenéis con carga de 120W, lo cual se traduce en que lo puedes cargar de 0 a 100% en menos de 20 minutos y además la triple cámara con 200 megapíxeles que lo tiene todo, OIS, la apertura f1.65, lente de 7 elementos, en general la verdad que un móvil increíble o mejor dicho una gama de móviles increíble y no os insisto más, tenéis el enlace en las notas del episodio para poder entrar y

visitar mi.com y ver todas las funciones de estos teléfonos. Pero bueno, siguiendo con el capítulo, imagínate Manolo, yo mañana te llamo, me han hecho un ataque ransomware, tienen todos los capítulos, todos los guiones, absolutamente todo cifrado, ¿qué hago? ¿qué me recomiendas? Aquí también vamos a contar una pequeña anécdota y lo primero que te diría es, lo siento mucho Alex, lo siguiente que te diría

es, Alex, ¿tenías copia de seguridad? Y yo te diré... te pondré cualquier excusa pero lo siguiente que te diría es, le verás como a partir de hoy la tiene. Esa es mi pregunta, ¿cuánta gente te estás encontrando que tiene copia de seguridad? Porque entiendo que la mayoría de los que tienen copia de seguridad pues dicen pos venga.

No tienen problema, o sea los que tienen copia de seguridad o alguna buena copia de seguridad a lo mejor pierden una semana de trabajo pero no es lo mismo perder una semana de trabajo que perder toda la empresa y la información en la empresa muchas veces es lo más importante. Si no sabes qué es lo que tienes que fabricar, lo que te deben, si sabes incluso lo que te deben y no te lo pagan, si no sabes lo que te deben no te lo van a pagar nunca.

El daño es grande, hemos visto hospitales recientemente con casos de eso, estar una semana parado sin sistemas informáticos, poco a poco recuperando universidades y empresas. Y empresas que muchas veces, porque esto yo no sé si las empresas por ley, en España me refiero, en otras legislaciones, tienen que comunicárselo o a sus clientes o a sus proveedores o digamos a las fuerzas de seguridad. En teoría no, por la edad que tengo, a nivel burocrático me pierdo.

Yo sé que tienen que, en la agencia de protección de datos, tienen que poner como una especie de denuncia que han tenido una incidencia y luego tener que hacérselo saber a todas las personas que han podido tener en los datos. Imagínate que han sacado información de tu empresa o que han podido acceder, que tengas usuarios, direcciones, contraseñas de cosas de tus clientes, pues tendrán que saberlo para que ellos luego decidan si cambiar o no cambiar.

Ya, y mucha gente yo creo que esto se lo calla. Sí, pero a veces es mejor callar. Bueno, no es que sea mejor, pero nuestra manera de ser a veces es, hostia, que no se sepa y meto la cabeza en el agujero de la vestura y es como si no hubiera pasado nada, pero realmente ha pasado.

Eso es. Ya, ya, ya, ya, ya, ya. Cuéntame otra anécdota, porque me has abierto ya. Estoy ahí con el apetito abierto. Tengo aquí otra, otra, otra en el Excel que pone Hacker Toxic. Dice envía un email con copia a todos los afectados. Cuéntame eso, por favor. Ellos para poder contactar suelen poner una dirección de correo electrónico. Supongo que la CIA, el FBI o el estamento que toque, si obtiene denuncias que esa persona es un hacker, pues pueden ir a Yahoo, a Gmail o lo que sea y decir oye, bloquea esta cuenta

y supongo que podrán hacerlo. Pues un hacker que estaba en, tenía varios casos abiertos. Yo estaba en negociación con uno. Se lo había parado. Había enviado una herramienta y esa herramienta no funcionaba bien. Se encriptaba algunos sí, algunos no. Irían a enviarle correos electrónicos y el tío que se hacía el conto.

Y envía un correo electrónico a mí y a copia a todos los que estábamos ahí y éramos a lo mejor 50 personas que teníamos casos abiertos. Oye, que ha cambiado la dirección de correo electrónico y ahora es esta otra. Y esta es la mía. Envío un correo a todos, pues igual con la captura de pantalla.

No le paguéis, que es un sinvergüenza, que aunque le paguéis no os va a dar la herramienta, que mirad a mí, me ha pagado, yo no he pagado, me ha enviado una herramienta, no desencripta y no me paguéis. Pero el hacker dijo hostia, y con capturas y conversación y tal, y acto seguido me envió una herramienta buena. Y yo como buena persona que soy, envío otra vez otro correo a todos y digo bueno, que sepáis que ahora sí que me han dado una herramienta buena y que cada uno haga lo que crea conveniente.

Claro, claro. O sea que en vez de poneros en copia oculta, os puso... ¡Oy, oy, oy, qué desastre! Claro, si es que es lo que te decía, pensamos que estos son gente rollo Mister Robot. Hay de todo. Y tiene que haber, bueno, gente que empezó a tocar los ordenadores la semana pasada casi y que ha dicho, ¿cómo? Que dinero gratis, dinero rápido.

Sí, es un dinero muy fácil y muy rápido de cobrarlo. Y ese es el problema, que como ellos se sienten totalmente protegidos, sin impunidad, a través de la red, no hay manera de saber quién son. Incluso aunque sepas quién te ha robado, tú vas a la policía y dices, mira, esta persona me ha metido la mano en el bolsillo y se ha llevado la cartera.

Y sabes que tardan menos que ellos en salir que tú en poner una denuncia. Pues tú imagínate ahora que pones una denuncia de alguien que imagínate que es ruso, que no sabe si es ruso o es chino o lo que sea, pones la denuncia, ¿qué me ha pasado? Se sienten totalmente impunes. Sí, exacto.

¿Cuál es el porcentaje, cuál es tu impresión? ¿Suelen ser casos, los atacantes suelen estar a nivel nacional? Es decir, los franceses atacan en Francia, los alemanes en Alemania, los argentinos en Argentina, o es en plan… Casi todos los correos que recibo tienen carácteres cirílicos. O son argentinos que se ponen el idioma en ruso para despistar, o son rusos que están… bueno, rusos de toda Europa del Este. Sí, sí.

No, pero sí es cierto que la industria, que allí ya es una industria, y lo he escuchado muchos oyentes de Kernel, directamente cuando hemos hablado con mi hermano, por ejemplo, desde allí, pues eso está ya. Igual que en España hay una industria del turismo con gente especializada en sus cadenas hoteleras, en sus chiringuitos, no sé qué, pues allí tienen esto.

Incluso, para saber si son de allí o no, pues usas el Google Translator, les escribes en inglés, ves que ellos también han usado el traductor porque son frases que no son del todo en inglés, y hay veces que cojo para saber si son rusos o no, escribo un texto, lo traduzco a ruso, pero en vez de enviarle el texto, que si son de cualquier otro sitio pueden traducirlo, le haces una captura de pantalla, le envías la captura de pantalla, y te contestan conforme lo han podido leer

correctamente. Que bueno, Mancho. Si es que ya te las sabes todas. Madre mía. Madre mía. ¿Cómo suele ser, así ya después de tu experiencia, cómo suele ser el método de entrada, digamos, de ellos? Es decir, vulnerabilidades de red, los típicos adjuntos de un correo...

Ha pasado mucho, ha evolucionado mucho. Los primeros, yo empecé con esto en el 2015 más o menos, y allí fue el famoso virus Endesa y virus Dropbox, y el virus de la policía. Esos venían por un fichero adjunto, el antivirus no te lo detectaban, te venía un enlace de Dropbox, el enlace de Dropbox lleva HTTPS y por lo tanto, hasta que no lo descargas, nadie puede saber qué es lo que hay, pero eso ya pasó.

Esto es como la pesca, es como una pesca de arrastre, que tiraban y cogían lo que fuera. No sabían a quién iba directamente, no sabían si era una empresa en particular, y por eso también pedían cantidades irrazonables. Luego vieron que estaban dos RDPs en el escritor de remoto, que mucha gente utilizaba el 3389, o cualquier otro puerto, y ahí fue el siguiente paso y eso fue un boom bestial.

Ellos hacían ataques totalmente descentralizados, de coquinar una base de datos, te metían, y a lo mejor tenían mil equipos analizando todas las IPs del mundo y probando usuarios y contraseñas, no tenían ninguna prisa. Entonces tú podías tener un bloqueador y decir, aquí me están bloqueando, bloqueo esta IP, pero es que luego continuaban con otra IP, y luego con otra IP, porque es un ataque descentralizado, tenían una base de datos con las IPs que tenían que atacar, los usuarios y las contraseñas,

y iban probando. Al principio era relativamente fácil, y conseguían con diccionarios o lo que fuera entrar, y una vez entraban, hacían lo que les daba la gana. Hoy en día ya esos ataques no suelen tener mucho éxito, y por lo tanto ya lo han descartado, lo siguen haciendo, pero están con otros objetivos.

Los objetivos hoy en día es que entran en tu red, a cada vez que te ponen una especie de TeamViewer o cualquier cosa, y ahí no hay escáner de antivirus que te detecte, si tú pones un TeamViewer, cualquier programa de estos de control remoto, te escanean la red, te estudian toda la red, y una vez han estudiado toda la red, te ganan el rezonazo de qué es lo que tengan que hacer. Claro, es decir, entran como cuando entras en una joyería físicamente, y tienen un

rato para ir mirando todo a su gusto. ¿Más historietas? Cuéntame, cuéntame, cuéntame. ¡Ay, Dios mío! ¿Alguna buena? ¿Alguna cierta? No sé si decirte alguna grande y sin dar nombres. Bueno, grandes sí que he llegado a hablar, alguna grande a lo mejor sí que podía hacer por laboratorio, y hasta eso fue un caso de éxito rotundo y tremendo, porque, claro, no se habían capacitado, si tú llegas allí,

incluso en algún momento tenía algún laboratorio que te saltabas todos los hackes y hablabas con la persona en cuestión, te daba la herramienta, pero en cuestión de minutos. Eso fueron días que no volverán, ojalá, porque eso era uno tras otro, uno tras otro. Te entraban y ya en cuestión de 20 minutos estaba ya desencriptando.

Que bueno, que bueno. Claro, esto es un poco el gato y el ratón, ¿no? Lo hemos visto a veces. La Fuerza de Seguridad de no sé qué país ha conseguido hackear a los hackers y ha conseguido la clave maestra que sirve para descifrar todo lo cifrado con este tipo de software o con estas ramas y estas versiones diferentes, pero pues no todo sirve.

No, que va, que va. Aquí muchas veces la gente quiere el botón mágico, pero es que no existe un botón mágico. Hay más de mil encriptadores, algunos muy antiguos, otros más modernos, pero es que incluso los modernos, aunque tú consiguieras una herramienta para desencriptar, ellos solo tienen que apretar un botoncito, girar un poco y ya están en otro nivel.

Ya todo lo que habías conseguido para desencriptar ya no te vale. Sí. Qué locura, tío. A ver, de las cosas que tengo aquí, no sé si me tengo en mente más de Estados Unidos y cosas así, pero lo de, por ejemplo, que tienes aquí apuntado, dice llamadas a cualquier hora, dice de Turquía, de México, es decir, no solo te llaman desde España, sino que te...

En la época que esto era el boom, mi teléfono, pues imagínate, tienes una tarifa plana y saltarte la tarifa plana y decir, oye, que este mes tienes que pagar porque te has pasado todos los minutos que tenían de tarifa plana. Bueno, pues se paga, no hay problema, porque era una llamada tras otra y tenías ya la cabeza como un bombón que no sabías con quién tenías que hablar, qué tenías que hacer.

Claro, pero ha sido un tema muy internacionalizado. No sé muy bien cómo decirlo, por ejemplo, ¿hay algún tipo de consejo en las negociaciones? Es decir, más allá de pagar, no pagar. ¿Algún tipo de, cómo digamos, de truco psicológico o de recomendación que puedas dar tú para tratar con el calco medio? Sí, algo siempre se puede hacer.

O se puede intentar, lo que pasa es que ellos también saben que ya estás haciendo algo y ya no vale. Igual al principio podrías poner, mira que mi abuela está en el hospital, que no sé qué. Ellos tienen un corazón de liebra que cualquier cosa que le digas no les vale. Ellos solo quieren tu dinero, solo quieren eso.

Entonces a veces si notan que estás muy nervioso porque estás muy precipitado y le envías un correo y otro correo y otro correo y dices uy, este tío está preocupado y todo, le vamos a pinchar. Me acuerdo también una vez, uno, trata de decir, me llamo a una de Cali, un huelecito, Villajoyuso hay en Tomoso. No sé si existe Villajoyuso, espero que no.

Me llama, sí, porque yo soy el alcalde, y luego te dice, sí, porque el hacker pidió un alcalde del pueblo y me tenía en su escenario. ¿Cómo le vas a decir eso? No me digas eso. Pero si el hacker no sabía que era un ayuntamiento, no me ha dicho que era un ayuntamiento. Entonces hay veces que cuanta menos información le digas, mejor. Pasar desapercibido, pasar como que no tiene importancia.

No escribirle tres veces seguido. Escribes hoy y escribes, si aguantas dentro de cinco días, pues eso es como para decirle, mis datos no son importantes, pero bueno, si quieres, vamos a negociar. El hacker, lo típico es, si pagas hoy uno y si pagas mañana dos. Es lo típico que te suelen decir. Pero si luego pasan cinco días, dices, bueno, hoy en vez de uno, medio.

Entonces ahí es una cuestión de decir, vamos a jugar de que veas que no tengo una necesidad. Claro, porque hay que entrar en esa... ¿Cómo es? La teoría de juegos está de que también se nota que tienes prisa, pero al hacker al final prefiere cobrar, aunque sea una décima parte de lo que pedía originalmente, que cobrar cero.

Con lo cual tiene un incentivo para dejarte un poco la puerta abierta siempre, porque si acabas o pasa, dices lo que dices tú, o remontando a la empresa desde cero o tirando de copias de seguridad, o lo que sea, pero lo solucionas sin él, es ataque a perdición. Correcto, y hay una frase que se dice mucho, si no pagara nadie, no existiría el ransom.

Exacto, exacto, exacto. Lo que suelen decir en las películas los estadounidenses, ¿no? Dicen, no negociamos con los estadounidenses. Sí, sí, como decía antes, cuando el hijo es tuyo, vas a ver que si negocias. Sí, no, el romano paga a traidores, bueno, depende de qué traidor, ¿no? Habrá por ahí.

Vaya tela, vaya tela. ¿Hay algún caso imposible de estos que digas tú? Mira, chico, lo siento mucho, o sea, aquí no hay nada. Yo me he encontrado casos con, a lo mejor, una triple encriptación. O sea, un archivo, habría hackers que te guardan el nombre original, te cambia luego una extensión, no sé qué, y dices, pero si es que este archivo lo han encriptado tres hackers diferentes.

Esto es que ni pagando la posibilidad de desencriptar esto es cero, porque no sabes lo que te vas a encontrar y que a veces desencriptas un archivo y te das cuenta que luego adentro está encriptado otra vez porque en original no le cambiaba el nombre. Uf, esto es una caja de sorpresas. Madre mía, claro, es que si te entra uno, pero si te entran así todos a... Esto solía pasar con el tema de los escritorios remotos, que entraba un hacker y ponía un programita y encriptaba.

Entraba otro hacker y decía, ah, pues yo también me lo he dado el mío. Entonces luego volvía el primero y decía, pues como ha cambiado, le vuelvo a encriptar yo también, o porque estaba el archivo ahí y estaba continuamente encriptando. Madre mía, o sea, increíble. Me ha dejado muy curioso lo que decías, dices, si nadie pagara, pero claro.

Yo siempre lo recomiendo, cualquier persona que me llame le digo, te recomiendo no pagar. Ya, ya, pero lo que dices tú, si el hijo fuera mío. ¿Cómo ves la cosa? ¿2023 crees que la gente ya tiene tanto las propias de seguridad como el software más protegido, más actualizado? Ha cambiado mucho.

¿Ya saben un poco más por dónde van las cosas? Ha cambiado mucho. Tú cuentas que hace unos años aquí nadie pagaba absolutamente nada, ni el Office, ni el Windows. Ya cada vez es mucho más normal que la gente pague por las licencias. Entonces por ahí ya es un agujero de seguridad que ya está un poquito más cerrado porque la gente siempre tenía que buscar un cracker, un crack, un hacker, un número de serie, navegaba por aquí y por allí y eso era un agujero de seguridad.

Aún así sigue habiendo el que no quiere pagar. Bueno, ya, ya. O sea que, bueno, el mítico, ¿no? Lo que pasa es que antes te ponías un, ah, me he bajado el Photoshop y venía con un virus. Y dices, bueno, pues vale. Pero es que ahora, en vez del virus, es ese ransomware y cambian los incentivos porque un virus lo podías hacer simplemente por molestar y con esto vas a ganar dinero. Y, ostras tú.

¿Cómo van las luchas? Es decir, ¿es más fácil ahora, es más difícil luchar a nivel técnico? Porque ya hemos comentado que casi con las fuerzas de seguridad, con las policías de Tetra, que no puedes luchar. No, y está el INCIBE, que es el Instituto Nacional de Ciberseguridad, tú le puedes enviar el caso, pero es que ellos al final tampoco tienen herramientas.

A lo mejor en algún momento tenían algún acuerdo con alguna laboratoria, lo enviabas, te ayudaban, pero es que cada vez es más difícil. Todos los casos que me están entrando últimamente, ya les digo a los clientes, es que la única opción que hay es pagar el rescate. Puedes hablar con quien quieras, pero a día de hoy solo se puede pagar el rescate y cualquier empresa que te diga lo contrario te va a estar mareando.

Ya, ya. Qué movidas, tío. Pues nada, compadres de seguridad, todos. O sea, yo creo que después de escuchar este episodio, voy a poner el enlace de las notas del episodio, enlace de afiliados a Amazon a discos duros, para que la gente… Bueno, mira, es bueno que también con esto los discos duros te caigas. Otra anécdota es que no sé si estaba por ahí o no, pero una muy buena.

Me llamo un día a un hotel, me llamo a un hotel, hostia, mira que hemos sufrido un ataque y tal. Y la pregunta, ¿copia? Sí, sí, tenía copia. ¿Y qué ha pasado? Pues claro, es que yo he llegado el lunes y claro, nadie me ha dicho nada y he cogido, he sacado el disco duro de la semana anterior, he conectado el disco duro de esta semana y se ha encriptado.

Porque a veces haces trabajos que no estás comprobando cada semana si te han encriptado. Y la gente del hotel sabía que había pasado algo, pero no le habían dicho nada a él y el pobrecito sacó el disco antiguo encriptado, usó el nuevo y se encriptó. Y se cifró también. Este, mira, de los pocos que tenía una copia de seguridad que podrían haberse salvado y tampoco se salvó. Sí.

Oh, bueno. Aparte de copias de seguridad, aparte de tener las... De copias de seguridad, no solo tenerlas, tener múltiples, tenerlas en diferentes porque no solo es el ransomware, sino que se te incendia la oficina y los discos duros se van a la mierda. ¿Cómo te iba a decir? Probar que las copias de seguridad se estén haciendo bien y que puedas recuperar. Porque estos trabajos, mira, todas las empresas pueden tener una empresa de limpieza.

Y día de todos los días te limpian la oficina y eso lo pagas muy a gusto. Pero el tema de la informática y el tema de la copia de seguridad es como si se lo doy a alguien, hablo de empresas pequeñas, ¿eh? Como si se lo doy a alguien como si me estuviera rebajando. Y a veces no hay que tomarlo así.

Es una ayuda que te tiene que brindar otra empresa porque no todo el mundo... Llegamos a todos los sitios y tienes que pagar por estos servicios que te controlan. Lo que pasa es que a veces también pagas y no te lo hacen y dices, pues para eso no pago. Pero si pagas a alguien que te revise las copias, que te haga las copias, que sea el encargado de ese trabajo, pues tienes mucho ganado. Ya.

Y a nivel de seguros, yo sí he visto, de hecho creo que tenemos un patrocinador dentro de unas semanas o algo así, que aparte de seguros laborales en plan, bueno mira tus empleados se ponen enfermos o tienen accidentes laborales, etcétera, aparte de todo ese tipo de cláusulas y de pólizas, ya tienen pues todo esto estandarizado en plan, mira, oye, tienes un ataque y hay que pagar multa de protección de datos.

Pues aquí estamos nosotros para pagar por ti porque tú nos has estado pagando las cuotas. O tienes un ataque de ransomware, nos has estado pagando las cuotas. Pero no sé si llegaran a pagar, a hacer el pago o no. Entre tú y yo, esto de los seguros, es que al final el seguro, hay una frase también que digo yo mucho que es, el seguro te cubre todo menos lo que te pase a ti.

Si no tienes seguro, te dirían, si hubieras tenido seguro te hubiera cubierto y tal. Ahora es el seguro y de nuevo por Cristo no. Hostia, es que no sabes qué hacer. Claro, claro, no, es que no cogiste esta póliza. O la empresa te va a meter al papacito. No, no, no, no, absolutamente esto lo hemos podido ver todos con nuestras cosas de la casa, con nuestras cosas del coche. Oye, mira, se me ha roto el coche.

Ay, es que justo está a 10 kilómetros más de donde está tu sala de cobertura. Bueno, bueno, bueno, qué locura. Algún consejillo más, hemos dicho. El tema de la copia, Alex, el tema de la copia, y esto no sé si es verídico o es una anécdota que se cuenta, cuando el tema de las torres temelas, pues se ve que había alguna empresa que hacía copia de seguridad en la otra torre.

Y se decía, pues si cae un avión, pues tenemos la copia, pero coño, no pensaron que iban a caer dos aviones. No sé si eso fue verdad o es un burro, pero es que por más que tengas dos copias, siempre puede pasar que se estropeen las dos. Es muy difícil. Sí, es cierto.

Es como una moraleja, una fábula de estas. Qué bueno, qué bueno. Sí, es cierto. Al final, las copias de seguridad siempre se suelen decir. Múltiples localizaciones, lo más posible con mayor tipo de distancias, múltiples tipos, etcétera. Bueno, Manolo, yo te animo a que hagas el podcast, de verdad. Episodio 1, el hacker tonto. Episodio 2, el FBI.

Sí, yo del FBI y tal. Otra cosa que pasa, yo no sé si podría ir a Estados Unidos, porque esta gente, como son tan raras, llegas allí y te dicen, ¿y usted qué se dedica? Yo soy atlante de ataques de Rassnauer. Usted va para adentro. Sí, sí, sí. Usted por lo menos se queda aquí un ratito, que vamos a pasarle un ratito en aduanas aquí en el aeropuerto.

Bueno. Yo me quiero morir, eh. Mira, veo Walt Disney, lo que sé, lo veo por la peli y ya está. Y ya está, ¿no? No, más cosas. En fin. A ver si también estoy buena, eh. El tema de casi todos los hackers te suelen pedir que le cañes en bitcoins, pero yo he visto un hacker que te pedía monedas hasta raras.

Bueno, monedo pues es bastante habitual. Monedos, eh. Me he visto varios tipos de intentar cobrarlo. Hay hackers que tienen un nivel hasta de criptomonedas bastante bueno. Claro. Claro, eso es. No, si es que más o menos ya suelen tener todo... Es eso. Ellos al final pueden tener más o menos profesionalidad, pero van por lo menos un paso más adelantado que tú, etcétera.

En fin, Manolo. Por cierto, en controlip.net, que lo vamos a dejar en la nota del episodio, que es tu empresa y la que lleva todos estos casos, y los que no se pueden contar, que vuelvo a insistir en lo del podcast. Yo como oyente, yo como oyente, querría escucharlos. Aunque solo sea...

Ya te digo, usa pseudónimos, cambias nombres, etcétera, pero yo creo que tendrías ahí para unas buenas anécdotas. Espero que a los siguientes os haya gustado. Al menos que sirvamos, o que este episodio sirva para deciros, chicos, esto es una cosa grave, es una cosa que ocurre, es una cosa que va a seguir ocurriendo, no solo por ransomware, sino por múltiples otros motivos.

Hay que estar preparados. Y lo de los consejos, pues no hay un consejo maravilloso, pero hay muchos consejos buenos, el tener una buena copia de seguridad, el tener un buen equipo informático, una empresa informática, y no lo digo por mí, porque yo ni soy mejor ni peor que nadie, pero dejarse censurar por empresas que lo hagan bien. Absolutamente yo creo que es lo básico.

Si eres una empresa ya grande, tienes que confiar en tu propio departamento de IT, tener gente buena, tener gente bien pagada, bien externa o bien dentro. Las cosas de informática hay algunos jefes que lo suelen entender siempre mal, como algo secundario, terciario, etc. No solo son por ataques externos. Siempre puede haber gente que, oye, mira, es que se me han borrado los datos, y al final es lo mismo.

Bueno, peor incluso, porque no tienes a nadie que pagar para que te dé la clave y recuperarlos, ¿no? Y bueno, en fin, es decir, que tanto errores voluntarios o involuntarios, como ataques externos, yo creo que el tema de las copias de seguridad es algo completamente básico y tener una muy buena infraestructura y que hay múltiples opciones. Podéis tener tanto cosas locales como cosas externalizadas, etc. Vamos a dejar muchísimos enlaces en las notas del episodio, ¿vale? Para que podáis estar

más atentos. No esperéis a que os ocurra o a que le ocurra a algún amigo, ¿vale? O algún conocido. No es por meteros miedo, pero todos pensamos que a mí me pasa. Bueno, venga, ya la semana que viene me pongo a hacer las copias de seguridad. Bueno, no sé qué. Se nos olvida, lo dejamos, no sé qué.

En fin, muchas gracias por venirte, Manolo Estevez, de controlip.net. Y muchas gracias a los oyentes por escucharnos. Esperamos que eso no habéis metido miedo, pero sí habéis metido un poco esa sensación de precaución. Cuando empezamos a hablar Manolo y yo de grabar este episodio, yo se me estaba poniendo el culo cerrado. Digo, madre mía, qué mal lo voy a pasar.

Y tú que al final, pues, yo hago podcast y cosas así. No tengo datos de nadie, pero todos tenemos ficheros, fotografías, cosas personales, vídeos grabados, no sé qué. He perdido mi clave. Google me ha cerrado mi Google Photos. He perdido mi acceso a los iPhotos, al iCloud, no sé qué. Patapum, fuera.

Así que ya sabéis todas las opciones que tenéis. Con esto nos despedimos. Muchísimas gracias a todos y nos vemos en otro episodio. Gracias, adiós.