Joe Tidy - Corresponsal de tecnología, BBC World Service

Como muchas cosas en el oscuro mundo de la ciberdelincuencia, las amenazas internas son algo de lo que muy poca gente tiene experiencia.

Y aún menos personas quieran hablar de ello.

Pero recientemente tuve una experiencia única y preocupante sobre cómo los hackers utilizan a los empleados de una empresa después de que una banda criminal me hiciera una propuesta.

"Si te interesa, podemos ofrecerte el 15% de cualquier rescate si nos das acceso a tu ordenador"

Ese fue el mensaje que recibí de improviso de alguien llamado Syndicate, que me contactó en julio a través de la aplicación de chat cifrada Signal.

No tenía ni idea de quién era esa persona, pero supe al instante de qué se trataba.

Me ofrecían parte de una cantidad de dinero potencialmente elevada si ayudaba a los ciberdelincuentes a acceder a los sistemas de la BBC a través de mi ordenador portátil.

Ellos robarían datos o instalarían un software malicioso y pedirían un rescate a mi empresa, y yo obtendría en secreto una parte del botín.

Había oído historias sobre este tipo de cosas.

De hecho, solo unos días antes de recibir ese mensaje no solicitado, se supo en Brasil que un trabajador había sido detenido por vender sus datos de acceso a piratas informáticos, lo que, según la policía, provocó pérdidas por valor de US$100 millones a la entidad bancaria víctima del delito.

Decidí seguirle el juego a Syndicate tras consultar con un editor de la BBC. Tenía muchas ganas de ver cómo los delincuentes llegan a estos acuerdos turbios con empleados potencialmente traicioneros en un momento en el que los ciberataques en todo el mundo están teniendo un impacto cada vez mayor y alterando la vida cotidiana.

Le dije a Syn, que había cambiado de nombre en mitad de la conversación, que estaba posiblemente interesado, pero que necesitaba saber cómo funcionaba.

Me explicaron que, si les daba mis datos de acceso y mi código de seguridad, hackearían a la BBC y luego extorsionarían a la corporación para obtener un rescate en bitcoins. Yo recibiría una parte de ese pago.

Aumentaron su oferta.

"No sabemos cuánto te paga la BBC, pero ¿qué tal si te quedas con el 25% de la negociación final cuando extraigamos el 1% de los ingresos totales de la BBC? No tendrías que volver a trabajar nunca más".

Syn estimó que su equipo podría exigir un rescate de decenas de millones si lograban infiltrarse en la corporación.

La BBC no se ha pronunciado públicamente sobre si pagaría o no a los hackers, pero el consejo de la Agencia Nacional contra el Crimen de Reino Unido es no pagar.

Aun así, los hackers continuaron con su propuesta.

"Nunca te descubrirán"

Syn dijo que yo podría ganar millones. "Borraríamos este chat para que nunca te descubran", insistieron.

El hacker afirmó que habían tenido mucho éxito al llegar a acuerdos con personas con información privilegiada en ataques anteriores.

Como ejemplo de acuerdos alcanzados, compartió los nombres de dos empresas que habían sido hackeadas este año: una empresa sanitaria de Reino Unido y un proveedor de servicios de emergencia de Estados Unidos.

"Te sorprendería la cantidad de empleados que nos darían acceso", afirmó Syn, quien aseguró ser el "responsable de contactos" del grupo de ciberdelincuentes llamado Medusa. Afirmó ser occidental y el único miembro de la banda que hablaba inglés.

Medusa es un portal que ofrece un servicio de ransomware (cibersecuestro de datos). Cualquier organización criminal puede registrarse en su plataforma y utilizarla para hackear organizaciones.

Vínculos con Rusia

Según una investigación realizada por la empresa de ciberseguridad CheckPoint, se cree que los administradores de Medusa operan desde Rusia o alguno de sus Estados aliados.

"El grupo evita atacar a organizaciones dentro de Rusia y la Comunidad de Estados Independientes y (su actividad se desarrolla principalmente) en foros de la dark web en ruso".

Syn me envió con orgullo un enlace a una advertencia pública de EE.UU. sobre Medusa que se publicó en marzo. Las autoridades estadounidenses afirman que, en los cuatro años que lleva activo el grupo, ha hackeado "más de 300 víctimas".

Syn insistió en que iban en serio con el acuerdo de vender en secreto las claves de mi empresa a cambio de una cuantiosa suma de dinero.

Sin embargo, nunca se sabe con certeza con quién se está hablando, así que le pedí a Syn que me lo demostrara. "Podrían ser unos críos haciendo tonterías o alguien que intenta tenderme una trampa", le sugerí.

Me respondieron con un enlace a la dirección de Medusa en la darknet y me invitaron a ponerme en contacto con ellos a través del Tox del grupo, un servicio de mensajería segura muy apreciado por los ciberdelincuentes.

Syn se mostró muy impaciente y me presionó para que respondiera.

Me enviaron un enlace a la página de reclutamiento de Medusa en un foro exclusivo sobre ciberdelincuencia, instándome a iniciar el proceso para garantizar 0,5 bitcoins (unos US$55.000) en un acuerdo de depósito.

Esto equivalía a garantizarme ese dinero como mínimo una vez que les entregara mis datos de acceso.

Esto equivalía a que me garantizaran ese dinero como mínimo una vez que les facilitara mis datos de acceso.

"No estamos de broma ni mintiendo: no tenemos ningún objetivo mediático, solo nos interesa el dinero, y uno de nuestros principales directivos quería que me pusiera en contacto con usted".

Al parecer, me eligieron porque pensaban que tenía conocimientos técnicos y acceso de alto nivel a los sistemas informáticos de la BBC (no es así). Todavía no estoy del todo seguro de que Syn supiera que yo era corresponsal de tecnología y no empleado de ciberseguridad o informático.

Me hicieron muchas preguntas sobre la red informática de la BBC que no habría respondido aunque las supiera. Luego me enviaron un complicado código informático y me pidieron que lo ejecutara como comando en mi ordenador portátil del trabajo y les informara de lo que decía. Querían saber qué acceso interno a la red informática tenía para empezar a planificar sus próximos pasos una vez dentro.

En ese momento, llevaba tres días hablando con Syn y decidí que ya había ido demasiado lejos y que necesitaba el asesoramiento adicional de los expertos en seguridad de la información de la BBC.

Era domingo por la mañana, así que mi plan era hablar con mi equipo a la mañana siguiente.

Así que gané tiempo. Pero Syn se enfadó.

"¿Cuándo puedes hacerlo? No soy una persona paciente", dijo el hacker.

"¿Supongo que no quieres vivir en la playa de las Bahamas?", escribió para presionarme.

Me dieron de plazo hasta la medianoche del lunes. Entonces se les agotó la paciencia.

Mi teléfono empezó a sonar con notificaciones de autenticación de dos factores. Las ventanas emergentes eran de la aplicación de inicio de sesión de seguridad de la BBC, que me pedía que verificara que estaba intentando iniciar sesión en mi cuenta de la BBC.

Bombardeo

Mientras sostenía mi teléfono en las manos, la pantalla se llenaba con una nueva solicitud cada minuto aproximadamente.

Sabía exactamente de qué se trataba: una técnica de piratería informática conocida como "bombardeo MFA". Los atacantes bombardean a la víctima con estas ventanas emergentes al intentar restablecer una contraseña o iniciar sesión desde un dispositivo inusual.

Finalmente, la víctima pulsa "Aceptar" por error o para que desaparezcan las ventanas emergentes. Así es como Uber fue hackeado en 2022.

Ser la víctima fue inquietante.

Los delincuentes habían sacado la conversación, relativamente profesional, de la seguridad de mi aplicación de chat y la habían trasladado a la pantalla de inicio de mi teléfono. Era como si unos delincuentes estuvieran llamando agresivamente a la puerta de mi casa.

Me sentí confundido por el cambio de táctica, pero demasiado cauteloso como para abrir mis chats con ellos por si acaso pulsaba "aceptar" accidentalmente. Esto habría dado a los hackers acceso inmediato a mis cuentas de la BBC.

El sistema de seguridad no lo habría marcado como malicioso, ya que habría parecido una solicitud normal de inicio de sesión o restablecimiento de contraseña por mi parte. Después de eso, los hackers podrían haber comenzado a buscar acceso a sistemas sensibles o importantes de la BBC.

Como periodista y no como informático, no tengo un acceso de alto nivel a los sistemas de la BBC, pero aun así era preocupante y, en la práctica, significaba que mi teléfono era inutilizable.

Llamé al equipo de seguridad de la información de la BBC y, como medida de precaución, acordamos desconectarme por completo de la BBC. Sin correos electrónicos, sin intranet, sin herramientas internas, sin privilegios.

El extraño y tranquilo mensaje de los hackers llegó más tarde esa noche.

"El equipo se disculpa. Estábamos probando su página de inicio de sesión en la BBC y lamentamos mucho si esto le ha causado algún problema".

Les expliqué que ahora no podía acceder a la BBC y que estaba molesto. Syn insistió en que el trato seguía en pie si yo lo quería. Pero como no respondí durante unos días, borraron su cuenta de Signal y desaparecieron.

Finalmente, me reincorporaron al sistema de la BBC, aunque con protecciones adicionales en mi cuenta, y con la experiencia añadida de haber estado dentro de un ataque de amenaza interna.

Fue una visión escalofriante de las tácticas en constante evolución de los ciberdelincuentes, que ha puesto de relieve toda una serie de riesgos para las organizaciones que no aprecié realmente hasta que yo mismo fui víctima de ellos.

