Ransomware y el rastreo de los pagos en bitcoin
Julio 29, 2016
2

El peligroso ransomware se extiende variante tras variante por el mundo cifrando información y secuestrando dispositivos (ordenadores, smartphones...) ante los descuidos de los usuarios que caen en la trampa de este malware. La industria del cibercrimen se nutre económicamente con el dinero de estos rescates que euro a euro, dólar a dólar o peso a peso llega a sus bolsillos e incrementa sus cuentas corrientes una vez que hacen la conversión de bitcoin la criptomoneda en la que, hoy por hoy, se realizan los pagos. Pero ¿es posible rastrear los pagos en bitcoin? ¿se puede dar con las bandas de cibercriminales que hay tras el ransomware? Pues es muy difícil pero no imposible rastrear las empresas que sirven para lavar el dinero procedente de los pagos en bitcoin de todos estos rescates informáticos. Alberto Gomez Toribio consiguió dar con dos de estas empresas tras una larga investigación cruzando multitud de datos y nos lo contó en el ciberdebate especial que realicé en mi canal de ciberseguridad Palabra de hacker dedicado al Ransomware qué es y cómo actuar y que os invito a repasar íntegro pues estuvo cargado de grandes consejos para atajar el ransomware y sus consecuencias. 

Alberto Gomez Toribio (@gotoalberto) es especialista en Blockchain en Grupo Barrabés y cofundador de NevTrance, tras crear Coinffeine, la primera startup Blockchain en el mundo con un socio bancario, en actualmente se dedica a diseñar tecnología y estrategias que mejoran la experiencia de usuario, reducen costes y cambian la forma en la que las medianas y grandes empresas se relacionan. A continuación tienes disponible un minivideo con susbtítulos, el podcast y la transcripción literal completa que recoge sus comentarios sobre como realizaron el rastreo de los pagos en bitcoin utilizando el big data para cruzar diversas fuentes de información al realizar el pago de un secuestro por ransomware que sufrió un conocido. 

Vídeo

Podcast

 

Ransomware y el rastreo de los pagos en bitcoin

 

Yo soy desarrollador, tengo mucha experiencia en este ámbito y fundé una compañía relacionada con bitcoin y me llamó mucho la atención el ransomware no quizás por el mismo motivo que a vosotros que es por el ámbito de la seguridad informática sino por los pagos. Me pregunté: ¿qué es lo que ocurre cuando una víctima paga? Y me encontré con esto. Bien lo que ocurrió fue que le presté dinero a una persona para que pagase el rescate. Sí, ya sé que no es aconsejable hacerlo pero como bien habéis dicho alguno de vosotros con matices. Esta persona tenía mucho, mucha información, muchos trabajos dentro de su ordenador y estaba dispuesto a pagar, así que me pidió ayuda. Le presté los bitcoins y lo que ocurrió fue que vi cómo esos bitcoins se movían a través de distintas cuentas.

Básicamente llegamos a la conclusión de que bueno pues había cuentas que movían en torno a siete millones de euros. Empezamos a ver una foto bastante completa de cuánto dinero mueve Cryptolocker y cómo funciona y nos dimos cuenta de una cosa más a diferencia de variantes anteriores en las que se pagaba por ejemplo con bonos de Ukash que es un tipo de bonos que puedes comprar incluso en gasolineras y demás, aquí teníamos la oportunidad de trazar el dinero. Fijaros lo difícil que es conocer a las organizaciones criminales que actúan por ejemplo tras la compraventa de droga si queremos saber lo que ocurre ahí tenemos que tener a un policía que se infiltre no aquí podemos rastrear los pagos. Tenemos un libro contable que se llama Blockchain en el que se anotan todas las transacciones que se efectúan con esta moneda. Nosotros lo analizamos y lo mezclamos con diversas fuentes de información por ejemplo comentarios en foros, por ejemplo transacciones que se han visto en casas de cambio, páginas web que sirven para comprar y vender bitcoins y de esta forma, agregando información y mezclándola con otras fuentes de datos somos capaces de identificar en algunos casos, como os podréis imaginar es muy, muy limitado solamente cuando el criminal comete algún tipo de error, somos capaces de identificar a las empresas que se utilizan para blanquear el dinero porque sí, los criminales no pagan en bitcoin en su día a día, ellos blanquean el dinero, no solo lo transforman a euros sino que lo lavan, lo transforman en dinero limpio. 

 

¿Cómo blanquean el dinero de los pagos en bitcoin?

Nosotros identificamos hace unos meses a dos empresas, fueron las primeras. Una de ellas en EE.UU. y la otra aquí, en Europa, en Reino Unido. Esas empresas lo que hacen es que tienen un objeto social un tanto curioso. La de Reino Unido por ejemplo decía: si nos prestas un bitcoin o algo así bueno pues te prometemos una rentabilidad de un 12% diario eso, como bien sabéis, es imposible. No se trata de una estafa, nadie le presta dinero, pero esa empresa aún así, aunque no tiene usuarios, declara beneficios. ¿De dónde le viene el dinero a esta empresa? Los bitcoin le llegan de esta trama, de la de Crytolocker, de CrytoWall, de otras tantas variantes de las que hemos estado hablando. Todas estas variantes envían el dinero finalmente a estas empresas que lo transforman en beneficios y bueno, curiosamente, tras estas empresas suele haber hombres de paja como os imagináis. Ahora está tan de moda el tema de los papeles de Panamá, testaferros y todos estos nombres que seguro os suenan también están aquí, también hay este tipo de entramados que sirven para lavar el dinero.

Creamos una aplicación, un software que permitía mezclar, agregar información e identificar a los malos tras Crytolocker y tras otras variantes del virus y se lo contamos a la Policía Nacional. Esta nos dijo lo que habéis creado es increíble ni siquiera organismos como el FBI en otros países lo tienes así que venir a la Europol y hablar allí de esto, contadlo allí por favor y bueno fuimos a la Europol a explicar lo que habíamos hecho el resto de charlas de las personas que participaban eran más bien introductorias a qué es bitcoin, qué es el ransomware, pero cuando llegamos al escenario y hablamos lo primero que dijimos fue "hemos identificado a dos presuntas empresas tras el blanqueo de capitales de un peligroso virus de ransomware" y la gente giró la cabeza automáticamente y nos miró diciendo "oh Dios mío, por fin tenemos algo así". Y bueno pues es algo anecdótico, las empresas que se identifican son pocas pero es cierto que puede llegar a hacerse y que cada vez son más.

 

Un software que también usan las compañías de seguros para calcular las primas por riesgos digitales

Este tipo de soluciones, como anécdota, os contaré que no solo sirven para ayudar a la policía con la que estamos encantados de colaborar sino que también sirven para que las compañías de seguros puedan diseñar productos específicos para las empresas. Banco Santander acaba de contratar un seguro para sus líneas de negocio digital ahora los bancos están lanzando un montón de aplicaciones y eso implica que estoy expuesto a más riesgo a través de Internet. Las empresas de seguros les venden seguros específicos como el que acaba de contratar Banco Santander, como el que tiene BBVA y a las compañías de seguros les resulta útil tener esta información porque pueden medir cuánto, como máximo, podría llegar a perder una empresa si se viese afectado por esto. Tener información sobre los pagos, sobre cómo funcionan los modelos de negocio tras estos virus, tras este malware les ayuda a poner precio a las primas. 

Y bueno por último esto nos permitió identificar también modelos de negocio muy curiosos. Los criminales se organizan entre sí del mismo modo que ocurre en la vida real. En la vida real tenemos modelos de negocio por ejemplo de revenue share. Revenue share es yo te compro algo y lo voy a vender pero cuando lo venda te voy a dar un pequeño cachito el modelo de referidos de toda la vida, te voy a dar una comisión verdad. Pues esto es lo que ocurre también con estas variantes de malware.

El creador de este malware lo distribuye, lo vende a través de la Deep Web a otros criminales que lo personalizan. Curiosamente no pueden personalizarlo entero, solo pueden cambiar algunas cosas como por ejemplo no pueden cambiar la cantidad de dinero que se pide pero sí pueden cambiar el mensaje que se muestra y una pequeña parte de lo que la víctima llega a pagar va al creador de este malware y el resto se lo queda el virus que por cierto también es el encargado de blanquear el dinero en lugar de enviarlo a una empresa que mezcla las monedas para hacerlo completamente ilocalizable. Si hubiesen hecho eso nosotros no podríamos haber hecho nada pero curiosamente el propio virus incorpora un módulo que sirve para blanquear el dinero ya no hablamos solo de que el criminal se ha preocupado en cifrar los datos del usuario se está preocupando también de que su dinero llegue limpio y sano y salvo a su destino, a su cuenta corriente, es muy, muy curioso. 

 

 
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

¿Te unes al conocimiento innovador para recibir mis novedades por newsletter?

Nombre

Correo electrónico

He leído la Política de Privacidad y acepto expresamente los términos y condiciones.

AVISO LEGAL - PRIVACIDAD - COOKIES

¿Te gustaría seguir el blog por correo electrónico?

Si deseas recibir notificaciones al instante de las nuevas entradas en tu correo, aquí puedes hacerlo. Al hacer clic en el botón "Seguir" declaras expresamente que has leído y aceptas la Política de Privacidad y el Aviso legal de mi web.

Yolanda Corral
Licenciada en Periodismo, especializada en televisión, YouTube, redes sociales y contenidos online con un ojo puesto en la seguridad digital. Máster en Community Management y redes sociales en la empresa. Fundadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación, la transformación digital y la seguridad digital, amante del social media y coleccionista de momentos. Puedo ayudarte a conectarte a ti o a tu negocio con el mundo a través de la combinación YouTube y los medios sociales = YoComunico/Comunicamos y trabajar contigo como formadora y presentadora de eventos presenciales y online. Mi nick digital es yocomu. ¡Búscame en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario. ¡Gracias!

2 comments

  1. Felicitaciones por el sitio, me fue muy útil el material a disposición, gracias y muchos, muchos ÉXITOS !

    1. Muchísimas gracias Horacio por tus palabras. Un gusto saber que el contenido te ha resultado útil. Saludos.