Joe ordenadoCorresponsal cibernético, servicio mundial de la BBC
BBCAl igual que muchas cosas en el mundo sombrío del crimen cibernético, una amenaza interna es algo de lo que muy pocas personas tienen experiencia.
Incluso menos personas quieren hablar de eso.
Pero me dieron una experiencia única y preocupante de cómo los piratas informáticos pueden aprovechar a los expertos cuando yo mismo fui propuesto recientemente por una pandilla criminal.
“Si está interesado, podemos ofrecerle el 15% de cualquier pago de rescate si nos da acceso a su PC”.
Ese fue el mensaje que recibí de la nada de alguien llamado Syndicate que me hizo pasar por julio en la señal de la aplicación de chat cifrada.
No tenía idea de quién era esta persona, pero instantáneamente supe de qué se trataba.
Me ofrecían una parte de una cantidad potencialmente grande de dinero si ayudaba a los ciberdelincuentes a acceder a los sistemas de la BBC a través de mi computadora portátil.
Robarían datos o instalarían software malicioso e mantendrían a mi empleador en rescate y secretamente obtendría un corte.
Había escuchado historias sobre este tipo de cosas.
De hecho, solo unos días antes del mensaje no solicitado, las noticias surgieron de Brasil de que un trabajador de TI había sido arrestado por vender sus detalles de inicio de sesión a los piratas informáticos que, según la policía, condujo a la pérdida de $ 100 millones (£ 74 millones) para la víctima bancaria.
Decidí jugar junto con Syndicate después de tomar el consejo de un editor senior de la BBC. Estaba ansioso por ver cómo los delincuentes hicieron estos acuerdos sombríos con empleados potencialmente traicioneros en un momento en que los ataques cibernéticos en todo el mundo son más impactantes y perjudiciales para la vida cotidiana.
Le dije a Syn, que había cambiado su nombre a mitad de conversación, que estaba potencialmente interesado pero que necesitaba saber cómo funciona.
Explicaron que si les daba mis detalles de inicio de sesión y código de seguridad, hackearían la BBC y luego extorsionarían a la corporación por un rescate en Bitcoin. Estaría en línea para una parte de ese pago.
Subieron su oferta.
“No estamos seguros de cuánto le paga la BBC, pero ¿qué pasa si tomó el 25% de la negociación final, ya que extraemos el 1% de los ingresos totales de la BBC? No necesitaría volver a trabajar”.
Syn estimó que su equipo podría exigir un rescate en las decenas de millones si se infiltraran con éxito en la corporación.
La BBC no ha tomado públicamente una posición sobre si pagaría o no a los piratas informáticos, pero el asesoramiento de la Agencia Nacional del Crimen no es pagar.
Aún así, los piratas informáticos continuaron su lanzamiento.
Syn dijo que estaría en línea por millones. “Eliminaríamos este chat para que nunca se encuentre”, insistieron.
El hacker afirmó que tuvieron mucho éxito con los sorprendentes acuerdos con expertos en ataques anteriores.
Los nombres de dos compañías que fueron pirateadas este año se compartieron como ejemplos de cuándo se llegó a un acuerdo: una compañía de salud del Reino Unido y un proveedor de servicios de emergencia de los Estados Unidos.
“Te sorprendería la cantidad de empleados que nos proporcionarían acceso”, dijo Syn.
Syn dijo que era un “gerente de llegada” para el grupo de delitos cibernéticos llamado Medusa. Afirmó ser occidental y el único hablante inglés en la pandilla.
Medusa es una operación de ransomware como servicio. Cualquier afiliado criminal puede inscribirse en su plataforma y usarla para piratear organizaciones.
Según un informe de investigación de la firma de seguridad cibernética Checkpoint, se cree que los administradores de Medusa operan desde Rusia o uno de sus estados aliados.
“El grupo evita dirigirse a organizaciones dentro de Rusia y la Commonwealth de Estados Independientes y (su actividad es predominantemente) en los foros web oscuros en idioma ruso”.
Syn me envió con orgullo un enlace a un Advertencia pública de EE. UU. Sobre Medusa que fue sacado en marzo. Las autoridades cibernéticas estadounidenses dijeron que en los cuatro años que el grupo ha estado activo, ha pirateado “más de 300 víctimas”.
Syn insistió en que se tomaban en serio hacer un acuerdo para vender en secreto las llaves del reino de mi corporación a cambio de un considerable día de pago.
Sin embargo, nunca sabes con quién estás hablando, así que le pedí a SYN que lo demostrara. “Podrías ser niños jugando o alguien que intenta atraparme”, sugerí.
Respondieron con un enlace a la dirección Darknet de Medusa y me invitaron a contactarlos a través de la tope del grupo, un servicio de mensajería seguro amado por los ciberdelincuentes.
Syn fue muy impaciente y aumentó la presión sobre mí para responder.
Enviaron un enlace a la página de reclutamiento de Medusa en un foro exclusivo de delitos cibernéticos que me instaron a comenzar el proceso de asegurar 0.5 bitcoin (alrededor de $ 55,000) en un acuerdo de depósito.
Esto fue efectivamente que me garantizan este dinero como mínimo una vez que entregué mis detalles de inicio de sesión.
“No estamos faroleando ni bromeamos: no tenemos un propósito en cuanto a los medios, solo somos solo por dinero y dinero, y uno de nuestros principales gerentes quería que me contactara”.
Aparentemente me eligieron porque asumieron que era técnicamente mental y tenía acceso de alto nivel a los sistemas de TI de la BBC (no lo hago). Todavía no estoy completamente seguro de que SYN supiera que era un corresponsal cibernético y no un empleado de seguridad cibernética o TI.
Me hicieron muchas preguntas sobre la red de BBC IT que no habría respondido incluso si lo supiera. Luego enviaron una mezcla complicada de código de computadora y me pidieron que lo ejecute como un comando en mi computadora portátil de trabajo e informara lo que dijo. Querían saber qué acceso interno TI tuve que comenzar a planificar sus próximos pasos una vez dentro.
En este punto, había estado hablando con SYN durante tres días y decidí que lo había llevado lo suficientemente lejos y necesitaba algunos consejos adicionales de los expertos en seguridad de la información de la BBC.
Era domingo por la mañana, así que mi plan era hablar con mi equipo a la mañana siguiente.
Así que me detuve por el tiempo. Pero Syn se molestó.
“¿Cuándo puedes hacer esto? No soy una persona paciente”, dijo el hacker.
“¿Supongo que no quieres vivir en la playa en las Bahamas?” presionaron.
Me dieron una fecha límite de medianoche el lunes. Luego se quedaron sin paciencia.
Mi teléfono comenzó a hacer ping con notificaciones de autenticación de dos factores. Las ventanas emergentes eran de la aplicación de inicio de sesión de seguridad de la BBC pidiéndome que verifique que estaba tratando de iniciar sesión en mi cuenta de BBC.
Mientras sostenía mi teléfono en mis manos, la pantalla se llenó con una nueva solicitud cada minuto más o menos.
Sabía exactamente qué era esto: una técnica de hackers conocida como bombardeo MFA. Los atacantes bombardean a una víctima con estas ventanas emergentes al intentar restablecer una contraseña o iniciar sesión desde un dispositivo inusual.
Finalmente, las prensas de la víctima aceptan por error o para que las ventanas emergentes desaparezcan. Esto es famoso como Uber fue pirateado en 2022.
Estar en el extremo receptor fue inquietante.
Los delincuentes habían sacado la conversación relativamente profesional de la seguridad de mi aplicación de chat a la pantalla de inicio de mi teléfono. Se sintió como el equivalente de tener criminales agresivamente llamando a mi puerta de entrada.
Estaba confundido por el cambio de táctica, pero demasiado cauteloso para abrir mis chats con ellos en caso de que accidentalmente hiciera clic accidentalmente. Esto habría dado a los piratas informáticos acceso inmediato a mis cuentas de la BBC.
El sistema de seguridad no lo habría marcado tan malicioso como habría parecido una solicitud normal de restablecimiento de inicio de sesión o restablecimiento de contraseña. Después de eso, los piratas informáticos podrían haber comenzado a buscar acceso a sistemas sensibles o importantes de la BBC.
Como reportero y no trabajador de TI, no tengo acceso de alto nivel a los sistemas de la BBC, pero aún así era preocupante y efectivamente significaba que mi teléfono era inutilizable.
Llamé al equipo de seguridad de la información de la BBC y, como precaución, acordamos desconectarme por completo de la BBC. Sin correos electrónicos, sin intranet, sin herramientas internas, sin privilegios.
El mensaje extrañamente tranquilo de los piratas informáticos llegó más tarde esa noche.
“El equipo se disculpa. Estábamos probando su página de inicio de sesión de la BBC y lamentamos mucho si esto le causó algún problema”.
Le expliqué que ahora estaba cerrado de la BBC y estaba molesto. Syn insistió en que el trato todavía estaba allí si lo quería. Pero después de que no respondí durante unos días, eliminaron su cuenta de señal y desaparecieron.
Finalmente fui reinstalado al sistema BBC, aunque con protecciones adicionales a mi cuenta. Y con la experiencia adicional de estar en el interior de un ataque de amenaza interna.
Una visión escalofriante de las tácticas en constante evolución de los ciberdelincuentes y una que ha destacado toda un área de riesgo para las organizaciones que realmente no aprecié hasta que yo mismo estaba en el extremo receptor.
