miércoles, 21 de diciembre de 2016

¿En qué consiste el fraude del “ransomware”?

El ransomware es un acrónimo anglosajón que se ha creado al fusionar las voces “ransom” (rescate) y “software” (entendido éste como el conjunto de programas, instrucciones y reglas informáticas para ejecutar ciertas tareas en una computadora, según la RAE). La Oficina de Seguridad del Internauta (OSI), perteneciente al Instituto Nacional de Ciberseguridad de España (INCIBE) lo define como un tipo de malware [es decir, un programa informático cuya característica principal es que se ejecuta sin el conocimiento ni autorización del propietario o usuario del equipo infectado y realiza funciones en el sistema que son perjudiciales para el usuario y/o para el sistema] que “secuestra” el ordenador, smartphone o los ficheros que contiene, pidiendo un “rescate” para permitirnos usar de nuevo el dispositivo o que podamos recuperar los ficheros. En ese contexto, la OSI diferencia dos tipos de ransomware, atendiendo a su funcionalidad:
  1. El secuestro del dispositivo: bloquea el ordenador o smartphone mostrando una pantalla que “simula” ser de alguna entidad con un mensaje alarmante. En España hemos tenido el “virus de la SGAE” y el “Virus de la Policía”. Este último nos informa que debido a acceder a páginas con contenidos ilegales, nuestro equipo estará bloqueado hasta que paguemos una sanción. En el caso de la SGAE informan sobre contenidos con copyright. En muchos casos por el miedo a que se hiciera público, las víctimas pagaban (siempre mediante empresas de envío de efectivo); y
  2. El secuestro de ficheros: este malware cifra los ficheros de las unidades de almacenamiento que tenga acceso el equipo. Muestra un mensaje indicando que se han cifrado los ficheros y que para poder recuperarlos hay que hacer un pago, normalmente en Bitcoins, para recibir la clave y el programa para descifrarlos. El hecho de pagar no garantiza absolutamente nada, por lo que se desaconseja realizar el pago.
En la Audiencia Nacional española las dos primeras resoluciones que se han dictado sobre el ransomware han sido las sentencias 704/2016, de 3 de marzo [ECLI:ES:AN:2016:704] y 2639/2016, de 4 de julio [ECLI:ES:AN:2016:2639]; en ambos casos, referidas al mencionado “Virus de la Policía”. En este in albis tomaremos como referencia la segunda decisión judicial.

Según los hechos declarados probados: Al menos desde mayo de 2011, centenares de miles de ordenadores de todo el mundo comenzaron a verse afectados por un virus-troyano conocido policialmente como "RANSOMWARE" o "BLOKER" como era llamado en los ámbitos delincuenciales (…). El RANSOMWARE actuaba en función de parámetros prefijados de navegación web, relacionados con la actividad de la víctima a través de la Red, se activaba y ejecutaba bloqueando el equipo informático de las víctimas solicitando el pago de una multa para su desbloqueo. Bajo la apariencia de un comunicado en nombre de diferentes Cuerpos Policiales de los países arriba referenciados, alertaba al usuario que en su ordenador se había constatado un tráfico de datos y de navegación vinculados directamente con diferentes ilícitos penales (pornografía infantil o actividades de terrorismo), induciéndole, a efectuar el pago de la cantidad de 100 euros a través de pasarelas de pago virtuales y anónimas (PAYSAFECARD y UKASH para Europa o MONEYPAK para EEUU), a modo de multa por el ilícito penal presuntamente detectado para con ello conseguir el desbloqueo y el acceso de los datos del equipo informático infectado.

En el caso español –continúa la sentencia– en una de sus variantes, al bloquearse el ordenador la pantalla del mismo era ocupada por un mensaje con el escudo y formato que imitaba los oficiales del Cuerpo Nacional de Policía con el siguiente texto:

La POLICIA ESPAÑOLA. Atención!!! Ha sido detectada actividad ilegal!! Su sistema operativo ha sido bloqueado debido a una infracción de la legislación española! Han sido detectadas las siguientes infracciones: Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! En su ordenador han sido detectados los archivos de video de contenido pornográfico con elementos de violencia y pornografía infantil! Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista. El presente bloqueo ha sido realizado para prevenir la posibilidad de difusión de dichos materiales desde su ordenador en Internet.

Para desbloquear su ordenador, Usted debe pagar una multa de 100 euros! La multa tiene que ser pagada antes de 24 horas desde el momento del bloqueo de su ordenador! En el caso de impago, todos los datos de su ordenador serán eliminados! Usted tiene dos formas de pagar la multa: Usted puede adquirir un cupón UKASH por el importe de 100 euros. El número de ese cupón UKASH, usted ha de introducir en el campo del pago y apretar el botón "OK". Usted puede pagar la multa mediante paysafecard. Usted ha de pagar paysafecard por importe de 100 euros. Usted ha de introducir el código PIN delcheque en el campo del pago y apretar el botón "OK".

El citado texto era mostrado en diversos idiomas dependiendo de la localización geográfica de la víctima proporcionando en este mensaje diversas cuentas de correo electrónico donde supuestamente se contactaba con el cuerpo policial que aparecía en el mensaje.

(…) El "ransomware coder" era la persona encargada de programar el ransomware y de ponerlo a disposición de otros miembros del grupo en foros underground de hacking. (…). En otro plano de la actividad, aparecía el grupo de usuarios denominados "ransomware exploiters", que se dedicaban a explotarlo, estableciendo la infraestructura de dominios y servidores para su propagación e infección, Dichos dominios y servidores eran contratados con datos falsos por los denominados "exploiters", a través de resellers o revendedores de dominios de Internet.(…) La infraestructura se caracterizaba por el anonimato tanto en la contratación de los dominios y servidores, como en los accesos a los servidores de control (…) y como por su corto periodo de uso de dichos servidores. (…) La infección del ordenador de la víctima se producía navegando por internet, generalmente a través de páginas muy visitadas. Dado que la víctima desconocía el momento en concreto se ha infectado, resultaba imposible hacer el seguimiento y análisis de los sitios comprometidos.


En el caso que motivó esta resolución de la Audiencia Nacional, constaban 933 denuncias de personas cuyos ordenadores habían sido afectados por el "Ransomware" (de las cuales, 390 pagaron la cantidad exigida); aunque se estima que esa cifra debió de ser mucho mayor si se tiene en cuenta que el INTECO recibió 784.415 consultas relacionadas con este virus malicioso.

Una vez [que] las víctimas habían pagado lo que pensaban [que] era una multa, los distribuidores del "Ransomware" se hacían con los códigos de Paysafecard, Ukash o Moneypak, e iniciaban una nueva etapa para reciclarlos ocultando el ilícito origen de los mismos y obtener su importe ya fuera en efectivo, ya en cuentas seguras de los miembros de la organización. Con esos códigos, la red de delincuentes solicitaba la emisión de tarjetas de crédito y débito mediante páginas de Internet a nombres supuestos y domiciliados supuestamente en los Estados Unidos de América. Una vez (…) que la organización disponía físicamente de las tarjetas, eran activadas y cargadas el dinero "virtual" procedente de los códigos Moneypak (…) A continuación y preferiblemente en horario nocturno, varios de los miembros de la organización hacían sucesivas rondas de cajeros para extraer dinero en efectivo.

En el fallo de las dos sentencias de la Audiencia Nacional se condenó a los acusados por cometer un delito de estafa y/o un delito de blanqueo de capitales; teniendo que indemnizar a la víctimas y acordando el comiso de todos los efectos informáticos y efectos incautados.

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...