Por qué es difícil sancionar a los grupos de ransomware

Un mensaje de rescate en una pantalla de computadora monocromática.

Esta historia fue publicada originalmente por ProPublica.

El 25 de febrero, el día después de que Rusia invadiera Ucrania, una prolífica pandilla de ransomware llamada Conti hizo una proclamación en su oscuro sitio web. Fue una declaración política inusual para una organización de delitos cibernéticos: Conti prometió su “pleno apoyo al gobierno ruso” y dijo que usaría “todos los recursos posibles para contraatacar las infraestructuras críticas” de los oponentes de Rusia.

Quizás sintiendo que tal alianza pública con el régimen del presidente ruso Vladimir Putin podría causar problemas, Conti moderó su declaración ese mismo día. “No nos aliamos con ningún gobierno y condenamos la guerra en curso”, escribió en una declaración de seguimiento que, sin embargo, prometió represalias contra Estados Unidos si usaba la guerra cibernética para atacar “cualquier región del mundo de habla rusa”.

Conti probablemente estaba preocupado por el espectro de las sanciones estadounidenses, que Washington se aplica a personas o países que amenazan la seguridad, la política exterior o la economía de Estados Unidos. Pero el intento de Conti de retomar su estatus como una operación sin estado no funcionó: A los pocos días de la invasión de Rusia, un investigador que luego tuitea “¡Gloria a Ucrania!” filtró 60.000 mensajes internos de Conti en Twitter. Las comunicaciones mostraban señales de conexiones entre la pandilla y el FSB, una agencia de inteligencia rusa, e incluían una que sugería un jefe de Conti.está al servicio de Pu.”

Sin embargo, incluso cuando la familia de Putin y otros funcionarios, oligarcas, bancos y empresas rusos se han enfrentado a una ola sin precedentes de sanciones estadounidenses diseñadas para imponer un golpe devastador a la economía rusa, Conti no se vio afectado por las sanciones. Cada vez que el Departamento del Tesoro de EE. UU. sanciona una operación de este tipo, los estadounidenses tienen prohibido legalmente pagar el rescate.

El hecho de que Conti no haya sido incluido en una lista de sanciones puede parecer sorprendente dado el daño generalizado que provocó. Conti penetró en los sistemas informáticos de más de 1.000 victimas alrededor del mundo, bloquearon sus archivos y recolectaron más de $150 millones en rescates para restaurar el acceso. El grupo también robó los datos de las víctimas, publicó muestras en un sitio web oscuro y amenazó con publicar más a menos que se pagara.

Pero solo un pequeño puñado de las legiones de presuntos delincuentes y grupos de ransomware que atacan a las víctimas estadounidenses han sido incluidos en las listas de sanciones a lo largo de los años por la Oficina de Control de Activos Extranjeros del Departamento del Tesoro, que las administra y las hace cumplir.

Poner a un grupo de ransomware en una lista de sanciones no es tan simple como podría parecer, dijeron funcionarios del Tesoro actuales y anteriores. Las sanciones son tan buenas como la evidencia detrás de ellas. La OFAC se basa principalmente en la información de las agencias de inteligencia y aplicación de la ley, así como en los informes de los medios y otras fuentes. Cuando se trata de ransomware, la OFAC generalmente ha utilizado evidencia de acusaciones penales, como la del presunto autor intelectual detrás de la pandilla de delitos cibernéticos Evil Corp con sede en Rusia en 2019. Pero tales acciones policiales pueden llevar años.

“La atribución es muy difícil”, reconoció Michael Lieberman, subdirector de la división de cumplimiento de la OFAC, en una reunión. conferencia este año. (El Departamento del Tesoro no respondió a las solicitudes de comentarios de ProPublica).

Los grupos de ransomware cambian constantemente de nombre, en parte para evadir las sanciones y la aplicación de la ley. De hecho, el jueves, un sitio de tecnología llamado BleepingEquipo informó que la propia Conti ha “cerrado oficialmente su operación”. El artículo, que citaba información de una empresa de prevención de amenazas llamada AdvIntel, presentaba detalles sobre el estado de los sitios y servidores de Conti, pero era inequívoco en un punto clave: “Conti se fue, pero la operación continúa”.

La evanescencia del nombre Conti subraya otra razón por la que es difícil sancionar a los grupos de ransomware: poner a un grupo en una lista de entidades sancionadas sin nombrar a las personas detrás de él o revelar otras características de identificación podría causar dificultades a los transeúntes. Por ejemplo, un cliente del banco con el apellido “Conti” podría aparecer como una persona sancionada, creando una exposición legal no deseada para esa persona y el banco, dijo Michael Parker, exfuncionario de la División de Cumplimiento de la OFAC. El gobierno entonces tendría que desenredar estos enredos.

Leave a Reply

Your email address will not be published. Required fields are marked *