Ransomware y el rastreo de los pagos en bitcoin

Ransomware y el rastreo de los pagos en bitcoin

El peligroso ransomware se extiende variante tras variante por el mundo cifrando información y secuestrando dispositivos (ordenadores, smartphones…) ante los descuidos de los usuarios que caen en la trampa de este malware. La industria del cibercrimen se nutre económicamente con el dinero de estos rescates que euro a euro, dólar a dólar o peso a peso llega a sus bolsillos e incrementa sus cuentas corrientes una vez que hacen la conversión de bitcoin la criptomoneda en la que, hoy por hoy, se realizan los pagos.

Pero. ¿es posible rastrear los pagos en bitcoin? ¿se puede dar con las bandas de cibercriminales que hay tras el ransomware? Pues es muy difícil pero no imposible rastrear las empresas que sirven para lavar el dinero procedente de los pagos en bitcoin de todos estos rescates informáticos.

Alberto Gomez Toribio consiguió dar con dos de estas empresas tras una larga investigación cruzando multitud de datos y nos lo contó en el ciberdebate especial que realicé en mi canal de ciberseguridad Palabra de hacker dedicado al Ransomware qué es y cómo actuar y que os invito a repasar íntegro pues estuvo cargado de grandes consejos para atajar el ransomware

Alberto Gomez Toribio (@gotoalberto) es especialista en Blockchain en Grupo Barrabés y cofundador de NevTrance, tras crear Coinffeine, la primera startup Blockchain en el mundo con un socio bancario, en actualmente se dedica a diseñar tecnología y estrategias que mejoran la experiencia de usuario, reducen costes y cambian la forma en la que las medianas y grandes empresas se relacionan. 

A continuación tienes disponible un minivídeo con subtítulos, el podcast y la transcripción literal completa que recoge sus comentarios sobre como realizaron el rastreo de los pagos en bitcoin utilizando el big data para cruzar diversas fuentes de información al realizar el pago de un secuestro por ransomware que sufrió un conocido. 

Vídeo

Podcast

Ransomware y el rastreo de los pagos en bitcoin explicado por Alberto Gómez Toribio

Yo soy desarrollador, tengo mucha experiencia en este ámbito y fundé una compañía relacionada con bitcoin y me llamó mucho la atención el ransomware no quizás por el mismo motivo que a vosotros que es por el ámbito de la seguridad informática sino por los pagos. Me pregunté: ¿qué es lo que ocurre cuando una víctima paga? Y me encontré con esto. 

Bien lo que ocurrió fue que le presté dinero a una persona para que pagase el rescate. Sí, ya sé que no es aconsejable hacerlo pero como bien habéis dicho alguno de vosotros con matices. Esta persona tenía mucho, mucha información, muchos trabajos dentro de su ordenador y estaba dispuesto a pagar, así que me pidió ayuda. Le presté los bitcoins y lo que ocurrió fue que vi cómo esos bitcoins se movían a través de distintas cuentas.

Básicamente llegamos a la conclusión de que bueno pues había cuentas que movían en torno a siete millones de euros. Empezamos a ver una foto bastante completa de cuánto dinero mueve Cryptolocker y cómo funciona y nos dimos cuenta de una cosa más a diferencia de variantes anteriores en las que se pagaba por ejemplo con bonos de Ukash que es un tipo de bonos que puedes comprar incluso en gasolineras y demás, aquí teníamos la oportunidad de trazar el dinero. 

Fijaros lo difícil que es conocer a las organizaciones criminales que actúan por ejemplo tras la compraventa de droga si queremos saber lo que ocurre ahí tenemos que tener a un policía que se infiltre no aquí podemos rastrear los pagos. Tenemos un libro contable que se llama Blockchain en el que se anotan todas las transacciones que se efectúan con esta moneda. Nosotros lo analizamos y lo mezclamos con diversas fuentes de información por ejemplo comentarios en foros, por ejemplo transacciones que se han visto en casas de cambio, páginas web que sirven para comprar y vender bitcoins y de esta forma, agregando información y mezclándola con otras fuentes de datos que somos capaces de identificar en algunos casos.

Como os podréis imaginar es muy, muy limitado solamente cuando el criminal comete algún tipo de error, somos capaces de identificar a las empresas que se utilizan para blanquear el dinero porque sí, los criminales no pagan en bitcoin en su día a día, ellos blanquean el dinero, no solo lo transforman a euros sino que lo lavan, lo transforman en dinero limpio. 

¿Cómo blanquean el dinero de los pagos en bitcoin?

Nosotros identificamos hace unos meses a dos empresas, fueron las primeras. Una de ellas en EE.UU. y la otra aquí, en Europa, en Reino Unido. Esas empresas lo que hacen es que tienen un objeto social un tanto curioso. La de Reino Unido por ejemplo decía: si nos prestas un bitcoin o algo así pues te prometemos una rentabilidad de un 12% diario. Eso, como bien sabéis, es imposible. 

No se trata de una estafa, nadie le presta dinero, pero esa empresa aún así, aunque no tiene usuarios, declara beneficios. ¿De dónde le viene el dinero a esta empresa? Los bitcoin le llegan de esta trama, de la de Crytolocker, de CrytoWall, de otras tantas variantes de las que hemos estado hablando. Todas estas variantes envían el dinero finalmente a estas empresas que lo transforman en beneficios y bueno, curiosamente, tras estas empresas suele haber hombres de paja como os imagináis. 

Ahora está tan de moda el tema de los papeles de Panamá, testaferros y todos estos nombres que seguro os suenan también están aquí, también hay este tipo de entramados que sirven para lavar el dinero.

Creamos una aplicación, un software que permitía mezclar, agregar información e identificar a los malos tras Crytolocker y tras otras variantes del virus y se lo contamos a la Policía Nacional. Esta nos dijo lo que habéis creado es increíble ni siquiera organismos como el FBI en otros países lo tienes así que venir a la Europol y hablar allí de esto, contadlo allí por favor y bueno fuimos a la Europol a explicar lo que habíamos hecho. 

El resto de charlas de las personas que participaban eran más bien introductorias a qué es bitcoin, qué es el ransomware, pero cuando llegamos al escenario y hablamos lo primero que dijimos fue «hemos identificado a dos presuntas empresas tras el blanqueo de capitales de un peligroso virus de ransomware» y la gente giró la cabeza automáticamente y nos miró diciendo «oh Dios mío, por fin tenemos algo así». Y bueno pues es algo anecdótico, las empresas que se identifican son pocas pero es cierto que puede llegar a hacerse y que cada vez son más.

Un software que también usan las compañías de seguros para calcular las primas por riesgos digitales

Este tipo de soluciones, como anécdota, os contaré que no solo sirven para ayudar a la policía con la que estamos encantados de colaborar sino que también sirven para que las compañías de seguros puedan diseñar productos específicos para las empresas.

Banco Santander acaba de contratar un seguro para sus líneas de negocio digital ahora los bancos están lanzando un montón de aplicaciones y eso implica que estoy expuesto a más riesgo a través de Internet. Las empresas de seguros les venden seguros específicos como el que acaba de contratar Banco Santander, como el que tiene BBVA y a las compañías de seguros les resulta útil tener esta información porque pueden medir cuánto, como máximo, podría llegar a perder una empresa si se viese afectado por esto. Tener información sobre los pagos, sobre cómo funcionan los modelos de negocio tras estos virus, tras este malware les ayuda a poner precio a las primas. 

Y bueno por último esto nos permitió identificar también modelos de negocio muy curiosos. Los criminales se organizan entre sí del mismo modo que ocurre en la vida real. En la vida real tenemos modelos de negocio por ejemplo de revenue share. Revenue share es yo te compro algo y lo voy a vender pero cuando lo venda te voy a dar un pequeño cachito el modelo de referidos de toda la vida, te voy a dar una comisión verdad. Pues esto es lo que ocurre también con estas variantes de malware.

El creador de este malware lo distribuye, lo vende a través de la Deep Web a otros criminales que lo personalizan. Curiosamente no pueden personalizarlo entero, solo pueden cambiar algunas cosas como por ejemplo no pueden cambiar la cantidad de dinero que se pide pero sí pueden cambiar el mensaje que se muestra y una pequeña parte de lo que la víctima llega a pagar va al creador de este malware y el resto se lo queda el virus que por cierto también es el encargado de blanquear el dinero en lugar de enviarlo a una empresa que mezcla las monedas para hacerlo completamente ilocalizable.

Si hubiesen hecho eso nosotros no podríamos haber hecho nada pero curiosamente el propio virus incorpora un módulo que sirve para blanquear el dinero ya no hablamos solo de que el criminal se ha preocupado en cifrar los datos del usuario se está preocupando también de que su dinero llegue limpio y sano y salvo a su destino, a su cuenta corriente, es muy, muy curioso. 

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

2 comentarios en “Ransomware y el rastreo de los pagos en bitcoin”

¡Deja tu comentario! Tu correo electrónico no será publicado.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.