"Me pagan por negociar con cibercriminales". El trabajo en auge que nadie reconoce hacer

"Si hace un tiempo me hubieran dicho que iba a acabar en esto, no habría sabido ni describir el trabajo". Bryce Webster-Jacobsen es con solo 29 años uno de esos empleados por el que se pelean todas las empresas, aunque ninguna lo va a reconocer. Bryce es negociador de rescates de secuestros, pero no de personas, sino de compañías. Durante los últimos años, los ataques por 'ransomware' se han convertido en una plaga preocupante. Son aquellos en los que los cibercriminales roban datos corporativos y piden un rescate millonario para liberar los sistemas. Pueden paralizar por completo a una organización, como les ha ocurrido en España a Glovo, Everis, Grupo Prisa o al Servicio Público de Empleo Estatal (SEPE). Nadie quiere reconocer haber sido atacado, nadie admitirá haber pagado un rescate, pero la realidad es que negociadores como Bryce están más ocupados que nunca.

"Nos llegan casos constantemente, también de Europa, y eso que no es nuestra actividad central", explica Bryce a El Confidencial desde Washington, donde trabaja. Él es uno de los tres negociadores que emplea la compañía estadounidense GroupSense, especializada en ciberseguridad. Y es uno de los pocos que acceden a hablar entre los múltiples que ha contactado este diario en España y EEUU. Esta actividad se mueve entre la alegalidad y la ilegalidad en medio mundo y nadie va a admitir haber pagado un ciberrescate millonario. Por si acaso.

TE PUEDE INTERESAR

"Llame al seguro y envíe 8 millones": La gasolina que alimenta el alud de cibersecuestros

Manuel Ángel Méndez

En EEUU, negociar el pago de un secuestro es legal siempre y cuando los cibercriminales detrás no aparezcan en la lista OFAC que elabora el Departamento del Tesoro. La lista incluye terroristas, narcotraficantes y delincuentes con financiación estatal. Pero encasillar ahí a la mayoría de cibercriminales es imposible, nadie sabe quiénes son ni cómo se financian. Es como perseguir a una sombra. El resultado es que proliferan empresas que ofrecen estos servicios, como GroupSense, Coveware o Kivu, pero muy pocas lo hacen de forma transparente.

En España, el Código Penal prohíbe directamente favorecer la "fundación, organización o actividad" de bandas criminales mediante su "cooperación económica". Sin embargo, consultores independientes y aseguradoras ofrecen estos servicios de manera extraoficial para evitar problemas. "Ningún negociador en España querrá hablar contigo, ni siquiera de forma anónima. Ninguna empresa admitirá haber pagado un rescate, pero la verdad es que lo hacen casi cada día", explica un especialista en ciberseguridad consultado.

"Ahora mismo tenemos unos 12-15 casos al mes, a mí me pagan por trabajar en varios de forma simultánea. Son negociaciones siempre tensas, situaciones que pueden acabar forzando a las empresas a cerrar. Hablamos de peticiones millonarias de rescates, empresas que de repente no pueden seguir operando, se paran los ingresos, hay un daño reputacional enorme... Al otro lado tienes a unos cibercriminales que les da igual todo esto y lo único que quieren es cobrar", explica Webster-Jacobsen.

La forma en que arrancan estas conversaciones suele ser siempre la misma. Una empresa sufre un ciberataque masivo, le roban miles de documentos, le instalan un 'ransomware' que cifra e inutiliza parte de los sistemas y le dejan una nota. "En esa nota suelen indicar dos cosas: la cantidad que piden por el rescate para liberar todos los archivos, y una URL a un chat en la 'dark web' para empezar a negociar", señala Bryce. Aquí es cuando los directivos de las empresas afectadas entran en pánico. ¿Qué hacer? ¿Pagar o no pagar? ¿Tenemos una copia de seguridad de los datos? ¿Podemos seguir funcionando? ¿Qué pasa si los cibercriminales publican toda la información que han robado? ¿Se han hecho con datos de clientes? ¿Cuánto dinero estamos dejando de ingresar cada día?

Son preguntas que se hacen todas las organizaciones que han pasado por esto. En España, Adif, The Phone House, Media Markt, Meliá Hoteles, varios hospitales como el Central de Asturias o el de Torrejón en Madrid son solo algunos de los casos conocidos. La mayoría ni siquiera salen a la luz. Las empresas llaman a su aseguradora y empieza la rueda. "La aseguradora suele tener acuerdos con firmas internacionales de negociación con cibercriminales. Hay alguna española, pero suelen ser siempre de fuera. Es más sencillo. Esto al final hay que maquillarlo contablemente para que no se pueda rastrear. Imagina que pagas dos millones de rescate. Fichas a una consultora para otra cosa y a ese contrato le añades un 25% para sumar la cantidad del pago. Se suele hacer así", explica el especialista en ciberseguridad Román Ramírez.

"Esto al final hay que maquillarlo contablemente para que no se pueda rastrear"

Una vez identificado el negociador, empieza un periodo crítico que suele durar entre una y dos semanas hasta que todo se resuelve. Para bien o para mal. "Primero hablamos con la empresa afectada y desarrollamos una estrategia de negociación. ¿Cuál es la gravedad del ataque? ¿Cuánto dinero están perdiendo y qué daño les puede hacer? Eso nos ayuda a establecer una cantidad máxima a pagar, un tope. Los cibercriminales suelen pedir entre un 40% y un 50% más de lo que al final se acaba acordando, hay mucho margen", explica Kurtis Minder, creador de GroupSense y otro de los negociadores de la empresa. Acordados la estrategia y los límites, llega el momento de la verdad: hablar con los ciberdelincuentes.

"Esto se hace siempre a través de chats que ellos crean específicamente para cada caso. Entras a través del navegador Tor y lo primero que te sueles encontrar es un reloj con una cuenta atrás y un mensaje: si no pagas X cantidad antes de que termine el tiempo, publicaremos toda la información robada. Es una técnica intimidatoria, pero casi siempre se puede lograr que aumenten el tiempo de ese reloj", detalla Bryce. Para las grandes empresas, la cifra que exigen de rescate no suele bajar del millón. De ahí hacia arriba. Para empresas medianas y pequeñas, el precio de salida suele rondar el medio millón de dólares/euros. Siempre a abonar en alguna criptomoneda para no dejar rastro.

Lo que ocurre en esta negociación es un ir y venir de mensajes calculados por ambas partes. Entre un intercambio y otro pueden pasar horas e incluso días. El negociador es el que está a los mandos, pero no se encuentra solo. Le acompañan un analista, que comprueba información, se comunica con la empresa y supervisa el frente técnico, y un asistente que registra y toma notas de todo. La labor del negociador es ir, poco a poco, convenciendo a los cibercriminales de bajar el precio inicial. Y hay una regla de oro no escrita: decir la verdad... siempre que se pueda.

"Generalmente, suelen robar información financiera de la empresa, así que lo saben todo, cuánto ingresan, qué beneficios tienen, etc. Si mientes sobre esos datos, lo sabrán y eso tensará aún más la situación", explica Bryce, quien nunca se identifica como negociador. "Es otra regla no escrita. Si nos preguntan y no hay más remedio, lo diremos, pero hay muchos cibercriminales que se niegan a hablar con intermediarios".

El acuerdo no suele tardar en cerrarse, les interesa a ambas partes. Los atacantes solo quieren cobrar y la empresa recuperar la normalidad cuanto antes. No es una negociación peliculera a vida o muerte con 'hackers' encapuchados. "Se lo toman como una transacción de negocio más. Tal cual. Hubo una ocasión en la que unos cibercriminales se dieron cuenta de que se acercaba el fin de semana y no íbamos a cerrar el asunto antes, así que nos dijeron: 'Venga, tomaros el finde libre, seguimos el lunes'. Tendrían algún plan que no querían posponer", dice Bryce entre risas. "Esto demuestra hasta qué punto se toman esto como un trabajo de nueve a cinco".

El año 2021 ha sido descrito por el Departamento de Justicia (DoJ) de EEUU como el "peor año" en el frente de los ataques de 'ransomware'. Vimos cómo el grupo de cibercriminales REvil atacó a la tecnológica Kaseya, lo que afectó a 1.500 empresas en todo el mundo, y por lo que pidió un pago de 70 millones de dólares. O el ataque a la petrolera Colonial Pipeline, que se saldó con un pago de 4,4 millones a los cibersecuestradores.

La situación es tan delicada que el DoJ ha creado una unidad de Ransomware y Extorsión Digital que logró anotarse algún tanto, como recuperar casi el 50% del dinero que Colonial Pipeline pagó en bitcoins o arrestar a varios individuos relacionados con estas extorsiones, entre ellos un ucraniano de 22 años asociado al grupo REvil. Es un avance, pero es una gota en un océano. Ataques como estos se producen casi cada día en todos los países y muchos de ellos, como España, no han puesto en marcha ninguna medida para detenerlos. Eso ha generado también un peculiar 'salvaje oeste' en el lado de los negociadores.

Kurtis Minder ha denunciado en varios medios, entre ellos 'The New Yorker', que empresas como Coveware o Kivu en realidad se benefician de las víctimas. "Aseguran que pueden conseguir los descifradores para liberar los sistemas sin negociar con los cibercriminales. Es mentira. Hablan con ellos a escondidas, les pagan el rescate y luego añaden un margen extra que es lo que cobran al cliente. Por eso nosotros decidimos cobrar una tarifa plana: 25.000 dólares. Da igual que seas una multinacional o una tienda de la esquina. Da igual que nos lleve una hora o dos semanas", explica al otro lado del teléfono. Para especialistas como Román Ramírez, acudir a un negociador, uno solvente, es muchas veces la única salida. "Si está en peligro la continuidad de la empresa, mi recomendación es contratar a un negociador y pagar. A ver quién es el guapo que explica a tus 4.000 empleados que no vas a poder ingresar la nómina del mes siguiente. Cuando el enemigo ha hecho bien los deberes, estás totalmente jodido".