Secuestro virtual y rescate en bitcoins: la historia detrás del ciberataque a una cooperativa en Esquel

Son las ocho de la noche del 24 de enero de 2019. Y en la Cooperativa 16 de octubre, la empresa que presta servicios de energía eléctrica, agua potable y saneamiento en las localidades de Esquel y Trevelin (Chubut), un cartel le impide a la Guardia de Reclamos acceder a los documentos necesarios para atender a un cliente. Prueban en una computadora, en otra, y en todas lo mismo: un mensaje con fondo negro y letras rojas advierte que "todos los archivos fueron encriptados" y que para acceder a ellos van a tener que pagar el equivalente a dos bitcoins: más de 250 mil pesos.

Desde la Guardia (que trabaja 24x7), entonces, llaman preocupados a Eduardo Borletto, el encargado de sistemas de la Cooperativa. Borletto sabe de qué se trata y va corriendo al cruce de Belgrano y avenida Alvear.

Qué pasó en la Cooperativa

Un proveedor externo ("de confianza y de primera línea", aclara Borletto) trabajaba ese día con una computadora de la cooperativa de manera remota. Esa PC está conectada a la red, con permisos para ejecutar archivos en la misma. La red, a la vez, estaba en ese momento copias de seguridad en un servidor. Esa fue la cadena fatal: mientras hacía el trabajo remoto, la computadora se infectó y en un efecto cascada afectó al resto y por último al equipo que tenía el backup. Todas fueron víctimas de un ransomware (ransom es rescate en inglés), un ciberataque se se basa en la técnica del secuestro virtual de datos: hay que pagar para liberar los documentos que nunca se fueron, pero son inaccesibles.

Pero, en rigor, nadie sabe cómo fue que se ejecutó el archivo malicioso en esa computadora. "Entró a través del protocolo del escritorio remoto, que deja abierta puertas. Lo que no termino de entender es cómo se generó la transferencia del archivo. La PC no estaba infectada previamente. Y el proveedor que trabajaba de manera remota tampoco tenía el virus", se desconcierta Borletto.

Apenas el fenómeno se desató, empezaron los problemas: durante cuatro días en la Cooperativa 16 de octubre no hubo acceso a la facturación, no se pudo gestionar los reclamos de los clientes y ni siquiera se pudo realizar la liquidación de sueldos de los empleados. Todo esto a una semana del cierre del mes.

Manos en acción

La Cooperativa 16 de octubre tenía antivirus en equipos locales (en cada máquina), "que no detectaron el virus"; tampoco los que probaron después pudieron eliminarlo. "Lo terminamos sacando a mano", explica Borletto.

Pero, claro, faltaba una cosa, además de la desinfección: la llave para desencriptar los archivos. Para lograrlo, primero fue necesaria una reunión del directorio de la Cooperativa: se decidió autorizar al señor Borletto para que negociara con los secuestradores (anónimos y virtuales) quienes le pedían el equivalente a dos bitcoins. Antes, hubo junta del directorio: se llamó al asesor legal, al tesorero. "Estábamos todos en el consejo para autorizar el pago. No se podía autorizar algo así sin que el resto lo supiera", explicó en conferencia de prensa Miguel Illuminati, presidente de la Cooperativa 16 de Octubre. Concluyeron también que no abonar la cifra sería más costoso que afrontar el pago de rescate.

Cómo se negoció el rescate de los archivos (gentileza EQS Notas)

En inglés y por mail, Borletto negoció. Les explicó, casi en súplica, que no podían abonar esa cifra. El atacante nunca sabe a quien ataca: si es una gran empresa o, como en este caso, una cooperativa. Hubo idas y vueltas durante dos días hasta que finalmente aceptaron la contraoferta: 0,85 bitcoins, el equivalente a 113 mil pesos; un tercio de las deudas financieras que aparecen en el balance de la organización, según el último balance que cerró en junio del año pasado.

Cómo sigue

"Los especialistas siempre dicen que no hay que pagar. Pero la realidad de las empresas es otra. No tenés otra manera. La incertidumbre es muy grande y para nosotros era la única manera de recuperar los archivos. Nosotros lo dimos a conocer porque nos debemos a nuestros asociados. Y es política nuestra que ellos (más de 20 mil socios) estén al tanto. Pero acá nadie dice "a mí me pasó". Ninguna empresa privada lo hace", describe Borletto. Luego del pago, les enviaron el programa (en rigor, la llave de apertura) para desencriptar los archivos.

El detalle del ciberataque a la Cooperativa 16 de octubre (Gentileza Red43)

La denuncia quedó en manos de los asesores legales. "Lo que decidimos fue primero buscar una solución", explica Illuminati, quien sostiene que harán una denuncia por extorsión. Mientras tanto, ya recuperaron la totalidad de los archivos. Y, pese al escaso presupuesto, ya aplicaron estrictas reformas de seguridad . "Aunque es difícil: tenemos un presupuesto acotado, el área de informática no escapa a esa realidad en una empresa que no da ganancias, pero ya estamos mejor preparados", concluye el especialista informático. Todos aún hablan del hackeo en el cruce de Belgrano y Avenida Alvear.