El 7 de mayo comenzó como un día normal para los ciudadanos de Baltimore, en Maryland (EE. UU.). Pero al terminar ese día esa ciudad, ubicada a 48 minutos de la capital del país, sería la víctima de un ataque sin precedentes.
Pero en este ataque no hubo armas ni explosivos. En cambio hubo un código malicioso que postró los sistemas de la administración local al punto de imposibilitar que miles de empleados públicos usen sus computadores y que miles de ciudadanos reciban y paguen sus facturas de servicios públicos. No era posible enviar correos electrónicos desde las cuentas oficiales y en toda la ciudad se suspendió la compra y ventas de inmuebles, la emisión de facturas y otros servicios.
El atacante ganó acceso a los sistemas mediante una estafa de phishing en la que convence a alguien de ingresar sus credenciales de seguridad en respuesta a un email que se hace pasar por legítimo. Una vez adentro, encriptó los datos almacenados en los servidores. Se ha señalado a un recurso conocido como Eternal Blue, desarrollado por la Agencia de Seguridad Nacional de EE. UU. (NSA) de ser el arma empleada en el ataque. De comprobarse esa tesis la responsabilidad del Gobierno sería mayor, pues un parche que resuelve la vulnerabilidad fue publicado por Microsoft hace años.
Esa modalidad se conoce como ransomware, o secuestro de datos. A cambio de un pago, o rescate, los cibercriminales prometen dar la clave para desencriptar los archivos. Si no hay pago, podrían quedar inutilizados para siempre. Lo más irónico es que mientras el monto del rescate es del orden de los 90.000 dólares (trece bitcóins), los costos asociados a la parálisis de los sistemas de estiman ya alrededor de los diecinueve millones de dólares.
Todo esto ha llevado a observadores a proponer, en algunos casos a regañadientes, la tesis de que lo que había que hacer era pagar el rescate, y perseguir luego a los responsables. En una columna para Bloomberg, Stephen L. Carter dijo: “Hay una tendencia a contestar con slogans: “Nunca negociamos con terroristas”. La idea es que de hacerlo impulsas nuevos ataques. Pero si bien ese argumento tiene sentido para blancos habituales, no todos deberían obrar así. La posición oficial es no pagarle al hacker, pero los negocios que han sido afectados suelen ser más realistas”.
El FBI, de hecho, aconsejó a la ciudad no pagar un centavo. De acuerdo con sus cifras, el total de los rescates pagados en 2018 en todo el territorio de EE. UU. por individuos y organizaciones ascendió a unos comparativamente escasos 3,6 millones de dólares.
Ante la negativa de las autoridades, el hacker, que se identifica en Twitter con el nombre ‘Robin Hood’, publicó lo que parecen ser documentos reservados sacados de los servidores de la municipalidad. Su usuario, @robihkjn, desde donde interpelaba directamente al alcalde de Baltimore, Bernard Young, fue suspendido por la red social.
Desde la semana pasada, el 65 por ciento de los empleados públicos recobró la capacidad de usar sus computadores y enviar correos electrónicos. Esta semana, miles de cuentas de impuestos comenzaron a ser despachadas manualmente, entre ellas 14.000 que incluyen cargos que por ahora resultan imposibles de verificar. La ciudad diseñó un ¿atajo’ manual para reactivar las transacciones inmobiliarias. El mensaje de la Alcaldía sigue siendo: No vamos a pagar.
Algo que, apunta Carter, podría probar ser costoso. “A veces es preferible decidir razonablemente que un costo pequeño puede evitar males más grandes. Es por eso por lo que los cibercriminales no piden millones. (…) No es mi intención excusar a @robihkjn ni quiero estimular el chantaje, no me gusta esto más que a ustedes. Pero hay una realidad incómoda en el mundo: a veces los malos ganan”.