FBI recuperó parte del rescate que Colonial Pipeline pagó tras ciberataque

  • El Departamento de Justicia de Estados Unidos confisca 2.3 millones de dólares del rescate que Colonial Pipeline pagó al colectivo de ciberdelincuentes Darkside.
  • El FBI rastreó el pago hasta un monedero de criptomonedas, del que consiguió la contraseña.
  • Esto permitió al FBI recuperar el dinero y bloquear el acceso de los criminales al dinero obtenido de su chantaje.

El Departamento de Justicia de Estados Unidos anunció esta semana que recuperó parte del rescate que Colonial Pipeline pagó a los ciberdelincuentes que bloquearon sus operaciones, provocaron escasez de combustible y un aumento de los precios.

El organismo asegura que intervino 2.3 millones de dólares de los 4.4 millones que se estima que el responsable del oleoducto atacado pagó a Darkside, el colectivo de criminales informáticos que estuvo detrás del ataque.

¿Cómo lo consiguió?

La respuesta está en el FBI. Sus agentes consiguieron rastrear el pago de Colonial a sus ciberatacantes hasta la dirección de un monedero de criptomonedas. Luego consiguieron la contraseña. El FBI, lo único que tuvo que hacer, fue retirar fondos, detalló el propio Departamento de Justicia.

«Siguiendo el dinero»

A pesar de que la tecnología con la que los delincuentes comenten cibercrímenes es cada vez más sofisticada, el Departamento de Justicia detallaba este lunes en un comunicado que usaron una solución bastante consolidada para recuperar parte del rescate que pagó Colonial.

«Seguir el dinero es una de las herramientas más básicas pero más poderosas que tenemos», explicaba la fiscal encargada del caso, Lisa Monaco, en la citada nota de prensa.

El ciberataque a Colonial se produjo el pasado 7 de mayo; la empresa alertó al FBI el mismo día.

Al día siguiente, con la operativa KO y en mitad de una emergencia gasística, Colonial decidió pagar el rescate, para disgusto de muchos de los funcionarios gubernamentales que estaban tratando de mitigar el crimen.

Colonial explicó al FBI que Darkside les había exigido el pago de 75 bitcoins, lo que al cambio equivalía a 4.3 millones de dólares, según el testimonio de uno de los agentes del FBI que se involucraron en el caso.

El mismo agente fue el encargado de utilizar un explorador blockchain; un programa informático que permite a los usuarios buscar cadenas de bloque de esta tecnología, como un Bitcoin, para determinar la cantidad y el destino de las transacciones. Así pudo comprobar que Darkside intentó limpiar su rastro fragmentando estos pagos en diversas direcciones de criptomonederos.

De este modo, el policía logró rastrear casi 64 bitcoins de los 75 que se remitieron por el pago. Buena parte de estas criptomonedas llegaron a una dirección monedero hasta el pasado 27 de mayo.

Afortunadamente, y según la declaración jurada de este agente, el FBI tenía la contraseña para acceder al citado monedero

Las direcciones bitcoin dependen de un sistema de doble cifrado, con una clave pública y una privada. La pública se comparte abiertamente para que cualquiera pueda enviar dinero a esa dirección. Pero una vez que el remitente envió la cantidad con la clave pública del receptor; solo este último puede extraer y acceder ese dinero mediante su clave privada.

Ese es el motivo por el que estas claves privadas se mantienen en un celosísimo secreto, y se almacenan en lugares seguros. Según cifras de enero de este mismo año, 140,000 millones de dólares en bitcoin —alrededor de 20% de todas estas criptodivisas— estaban en monederos de usuarios que habían olvidado o perdido sus claves privadas.

En el caso de Darkside, el FBI logró acceder a la clave pública, y después de conseguir el permiso de un juzgado federal de Estados Unidos; el cuerpo logró acceder al monedero de Darkside para llevarse esos 63.7 bitcoin, alrededor de 2.3 millones de dólares.

Sin embargo, el FBI no reveló cómo lograron conseguir la clave privada; si bien la organización abunda en que el acontecimiento puede servir de advertencia para otros colectivos de ciberdelincuentes que también operan estos ciberataques de ransomware.

«Los rescates son el combustible que mueven el motor de la extorsión en línea, y el anuncio de hoy demuestra que Estados Unidos usará todas sus herramientas a su alcance para dificultar todavía más estos ciberataques y hacerlos todavía menos rentables», destacaba la fiscal Monaco, en el comunicado.

AHORA LEE: El director ejecutivo de una empresa de ciberseguridad revela cómo responder a un ataque de ransomware y cómo negociar su rescate

TAMBIÉN LEE: Los métodos de ciberseguridad que realmente marcan la diferencia, y los que pueden ser una pérdida de tiempo, según un estudio de Cisco

Descubre más historias en Expertos en Línea

Síguenos en FacebookInstagramLinkedIn y Twitter