Máquinas registradoras imprimiendo tickets "a lo loco", sin freno. Y un fuerte mensaje en inglés: "Si no pagan, publicaremos toda la información de sus clientes".
Ese fue el escenario que encontraron los empleados y gerentes de las tiendas de Cencosud no sólo en la Argentina, sino también en Chile, Perú y Colombia. La falla de seguridad, en tierras albicelestes, afectó a los locales de Jumbo, Easy, Disco, Vea y Blainstein.
Se trata de uno de los mayores ataques de los que se tenga memoria en la región. Mucho más aún que el último perpetrado en Migraciones, que amenazaba con publicar información no sensible de los argentinos que habían ingresado o salido del país.
En ese caso, un grupo de atacantes reclamó el pago de u$s70 millones, que luego se redujo a u$s4 millones. Como el Estado argentino se rehusó a cumplir con las exigencias, la banda difundió todos los datos presuntamente robados.
Pero en ataque a Cencosud, los cibercriminales amenazaron al gigante trasandino con publicar detalles personales de sus clientes, como sus nombres, números de documentos y credenciales de las tarjetas de crédito.
Así, cualquiera que accede a esa información podría generar fraudes a escala global. El viernes, Cencosud cerró sus locales por algunas horas y puso en standby sus sitios web. El lunes volvieron a estar online, con mayor velocidad que de costumbre, ante la baja cantidad de usuarios que ni siquiera se atreven a probar el servicio.
La trastienda
El viernes, un grupo de atacantes desconocido lanzó sobre Cencosud lo que se conoce como un ransomware o un "secuestro 4.0".
Lo que hacen los cibercriminales es cifrar los datos de una empresa u organización, por lo que quedan inutilizables para sus propietarios. Para entregar la clave que reestablezca el acceso, suelen pedir un rescate, especialmente en criptomonedas.
Los expertos afirman que la estrategia utilizada fue pensada con suma precisión y cuidado:
- Se lanzó un viernes, antes del fin de semana, cuando los supermercados registran su mayor facturación
- Así, obligaron a los gerentes a tomar determinaciones "de apuro", para alentar la acción más sencilla y menos recomendada: abonar
"Si accedés al pago, sentás un mal precedente: te convertís en víctima para siempre. Si no pagás, los datos de tus clientes se difundirán", afirma un hacker ético que prefiere el anonimato.
Y completa: "Las empresas más grandes del mundo sufren ataques y lo mantienen en silencio. En EE.UU. ya existen seguros que cubren a las compañías ante las pérdidas económicas de este tipo".
El total hermetismo fue la estrategia de la firma, que inició un proceso para seguir operando mientras se reestablece la situación. Con carteles en sus sucursales, anunciaba que por "un problema tecnológico" sólo iba a aceptar ventas en efectivo, débito o tarjeta en un pago.
Del otro lado de la cordillera también se mantiene el silencio. Diversas fuentes apelan a que se utilizó un ramsonware conocido como Egregor, capaz de ingresar a través de aplicaciones de escritorio remoto.
Es decir, el software malicioso entró por una de las computadoras del personal que realiza tareas desde su hogar, en la modalidad de teletrabajo, dejando expuesta toda la red del gigante del retail.
Horacio Azzolin, titular de la Unidad Fiscal Especializada en Ciberdelincuencia que colaborará en la causa con el Fiscal Guillermo Marijuán, afirma a iProUP que se trata de un fenómeno en aumento.
"Cifras oficiales no hay, pero hubo un incremento de los reportes y recibimosalertas de Interpol. Vemos ataques a Pymes, empresas grandes y organismos públicos", afirma Azzolin.
Y completa: "Estar conectado a la red de la casa, no es lo mismo que la de la compañía. El teletrabajo genera ciertos riesgos de seguridad: incluso hay equipos compartidos dentro del hogar".
Los miles de tickets que se imprimieron el viernes indicaban a la empresa que debía conectarse a un chat a través de TOR, un navegador que utiliza la red del mismo nombre para garantizar el anonimato y evitar rastreos. De hecho, está basado en Onion Routing, un proyecto de la marina estadounidense para ofrecer comunicaciones libres de espionaje.
Por lo tanto, es de esperar que el pago del rescate se realice en criptomonedas –Bitcoin, o mejor aún, Monero, que hace hincapié en el anonimato– para evitar que las autoridades logren hallar al autor.
Bitcoin, la preferida
El ataque a Cencosud no es un caso aislado de estafas con divisas virtuales. Es un fenómeno en alza que significó al menos u$s600 millones a nivel global en 2019 sólo por recompensas pedidas en Bitcoin, sin contar otras divisas virtuales.
Por lo general, se trata de organizaciones delictivas complejas y algunas hasta tienen patrocinio estatal: se cree que el gobierno de Corea del Norte tiene un ciberejército que roba divisas digitales en todo el mundo. Una actividad que representaría cerca del 15% de su PBI. Es decir, el régimen de Kim Jong-un obtiene unos u$s6.000 millones anuales del ciberdelito a escala global.
Según Matías Bari, CEO y cofundador de SatoshiTango, firma argentina que brinda servicios de monedas digitales, los atacantes prefieren estos activos "porque no son rastreables y pueden pagar desde cualquier parte del mundo".
En efecto, las divisas digitales funcionan
- Con una clave pública, que hace las veces de un CBU
- Con otra privada, una suerte de contraseña, para acceder a los fondos
- Pero ninguna de ellas hace referencia a la identidad de una persona, asegurando el anonimato
Por su parte, Nahuel Burbach, representante argentino de la billetera de monedas virtuales Zerion, indica a iProUP que "los rescates se piden en Bitcoin porque es el activo más ampliamente difundido y fácil de conseguir para las personas o empresas que son atacadas", por lo que se agiliza el proceso de pago.
Bari agrega que en ocasiones priorizan "la priorizan sobre otras divisas, como Monero, que es mucho más anónima, porque tiene mucha más liquidez".
En este punto coincide Azzolin, quien afirma que las operaciones con estos activos "son públicas, pero a la vez anónimas", por lo que es muy difícil rastrear la ruta de los fondos.
"Es lo mismo que un policía en la escena del crimen no encuentre huellas dactilares ni cabellos. Es más difícil, pero toda actividad digital deja sus rastros", completa el letrado.
Esta dificultad para dar con los dueños de los bitcoins responde por qué cada vez hay menos ataques para vaciar cuentas bancarias y más estafas con activos digitales.
En este sentido, Bari remarca que "robar una cuenta bancaria no tiene sentido porque, salvo que se saque la plata de un cajero, se logra rastrear el movimento de fondos".
"El dinero fiat, vía transferencia bancaria, es muy fácil de rastrear. Esto es mas rentable porque los objetivos son de alto perfil y las posibilidades de que los atrapen son remotas", agrega un cambista digital que prefiere el off-the-record.
La ruta del dinero cripto
Tal como adelantó iProUP, en la Dark Web, es decir, aquella porción de Internet que queda a "oscuras" de los buscadores y es difícil llegar, se ofrecen algunos servicios para "lavar" los activos producidos por esta actividad.
Jorge Litvin, del Estudio Nercellas, afirma a iProUP que estas maniobras de lavado de criptoactivos se componen de los siguientes pasos:
- El dinero "sucio" es depositado en plataformas conocidas como mixers o "mezcladores", que generan una nueva cuenta para que el cliente haga el depósito de las monedas
- De esos fondos se resta una comisión por el servicio y se dividen en varias operaciones, espaciadas en el tiempo, con montos aleatorios y destino a varias direcciones Bitcoin del ciberdelincuente
- Una vez que el criminal tiene criptoactivos "limpios" debe convertirlos en dinero fiduciario (dólares) a través de exchanges, que son casas de cambio virtuales
- Esos fondos son transferidos a PayPal para usar directamente o se retiran en Western Union o servicios similares, que garantizan cierto anonimato
Además, se pueden utilizar plataformas de intercambio de divisas virtuales entre pares, como LocalBitcoin, que se encargan de unir a usuarios que quieren comprar con aquellos que quieren vender. Así, se añade una capa extra de anonimato.
"Depositás los Bitcoin en una dirección que te da el mixer, los mezclan con otros depósitos y los sacan 'lavados' a una dirección que vos elegís. Si querés seguirlos, sabés que entraron en un mixer, pero no a dónde salieron y ya perdiste el rastro", explica Bari.
Además, Burbach asegura que esos fondos "pueden pasarse también a diferentes monedas enfocadas en la privacidad, como Monero", para complicar aún más el trabajo de los investigadores.
"A esto hay que sumarle que los criminales usan navegadores como TOR (que asegura privacidad) en combinación con una red privada virtual (VPN), para impedir el rastreo y geolocalización desde donde operan para lavar", agrega Litvin.
Por el momento se desconoce qué habrá hecho Cencosud. Los más probable que haya dejado actuar a los hackers y en las próximas horas podrían circular en la dark web los datos de los clientes, quienes quizás deban dar de baja masivamente sus tarjetas. O quizás haya abonado el rescate. Lo cierto es que los robos de datos serán cada vez más frecuentes en la era digital.