Reloj GPS de Garmin torturado
– Jul 30, 2020, 19:05 (CET)

¿Pagó Garmin el rescate a sus ‘hackers’? Todo apunta a que sí, y eso puede implicar más problemas para ella

  • Todo apunta a que Garmin pagó el rescate a sus 'hackers'. Según Sky, lo habría hecho a través de un tercero que habría actuado de intermediario.
  • El supuesto grupo de atacantes es un viejo conocido del Tesoro estadounidense, en búsqueda y captura, por lo que sería ilegal cualquier transferencia económica.

El pasado jueves Garmin amanecía en Europa con los sistemas totalmente caídos. Un apagón, también informativo, que se alargaría durante los cuatro días siguientes y que todavía está tratando de dejar totalmente atrás. Las sospechas de un cifrado de su información, conocido como un ataque de ransomware, fue finalmente confirmado por la empresa.

Ante este escenario y considerando el alcance –algunas fuentes apuntaban a la paralización de las mismas líneas de producción en Taiwán–, Garmin acabó por reaccionar relativamente rápido. En BleepingComputer apuntaban a la actuación de un grupo de hackers conocido como Evil Corp, que de acuerdo a algunas fuentes demandaban hasta 10 millones de dólares de rescate.

Petición del rescate del hackeo a Garmin
Imagen: BleepingComputer.

Según informa Sky News de acuerdo a fuentes cercanas al incidente, Garmin habría, cuanto menos, obtenido la clave para descifrar sus sistemas, y no recuperado la información en ellos vía un backup de sus servidores y equipos. Llegados a este punto, lo que parece más probable es que hubieran accedido a pagar este rescate, cualquiera que fuera la cantidad, a dicho grupo de hackers. Aunque no de forma directa.

Evil Corp, en búsqueda y captura

El conflicto que se plantea no es únicamente la infracción de la máxima de "no se negocia con terroristas", sino que podrían llegar en forma de sanciones. Y es que Evil Corp no son, ni mucho menos, unos primerizos hackers black hat. Estos harían haciendo uso de un malware que se cree desarrollado por ellos y conocido como WastedLocker.

Y es que ocho meses atrás, el Departamento –Ministerio– del Tesoro de Estados Unidos ya condenó a este grupo, según ellos una "organización cibercriminal con sede en Rusia" y responsable del desarrollo y distribución del malware Dridex. Con esta herramienta ya robaron más de 100 millones de dólares en activos bancarios en hasta 40 países.

Tanto que, quien se considera el cabecilla de esta organización, Maksim Yakubets, cuenta con una orden de búsqueda y captura emitida por el Departamento de Estado estadounidense, cuya recompensa es de nada menos que de 5 millones de dólares.

Es por esto que negociar con una organización criminal de este estilo no sale totalmente gratis, amén del rescate multimillonario. Si bien "se prohíbe a los estadounidenses realizar transacciones", no queda claro que Garmin –una empresa con sede en los EE.UU. y listada en el índice Nasdaq– pueda ceder al chantaje simplemente ante el caso de una extorsión. Contactados por Sky, el Tesoro americano no concretaba este punto.

El mal menor

Ante el riesgo de tener buena parte de sus sistemas cifrados, y ante la más que probable presión por parte de los hackers en una operativa habitual de instigar con borrarlos por completo –incluso a menudo imponiendo plazos–, muy probablemente Garmin se encontraba entre la espada y la pared. No obstante, no parece que optaran simplemente por realizar una transferencia a este grupo por la vía tradicional.

Es por esto que, según apunta el citado medio y de acuerdo a fuentes cercanas al incidente, Garmin habría optado por una opción más sombría: utilizar un intermediario con el que realizar este pago. Esto tampoco sería completamente legal, pues la legislación estadounidense también contempla este tipo de pasarelas que tratan de baipasear los controles directos a través de terceros en el extranjero:

"Las personas extranjeras pueden ser objeto de sanciones secundarias por facilitar a sabiendas una o varias transacciones importantes con esas personas designadas."

Preguntada por varios medios, la tecnológica no ha negado que hiciera un pago a través de una entidad puente, sino que se ha limitado a no comentar la información.

La lección por aprender

Desde Garmin indicaban este martes a los medios en un comunicado que no tenían "indicios de que se haya accedido, perdido o robado ningún dato de los clientes, incluida la información de pago de Garmin Pay". Esto no implica, por supuesto, que tengan la certeza de que nadie ha accedido a esta información.

Las técnicas de secuestro post-intrusión más modernas son cada vez más agresivas con las organizaciones atacadas. En este caso, no hay garantías de que no se haya accedido a esta información antes de haberse cifrado. De hecho, tal y como indica el medio especializado Secure Works, "incluso con las copias de seguridad, la recuperación probablemente llevará semanas o meses, no días". Esto sería un fuerte indicador de que, de nuevo, Garmin obtuvo las claves de cifrado de los atacantes.

No obstante, parece claro que Garmin tenía mucho más que perder a corto plazo a causa del ataque que los supuestos 10 millones de dólares del rescate. Incluso si es a costa de arriesgar una posible pero futura multa. Estar semanas o meses con los sistemas caídos parece peor opción que pagar esta cantidad para una empresa que acaba de anunciar unos ingresos de 870 millones de dólares –188 de los cuales en beneficios–, durante el segundo trimestre del año.

No obstante, no son pocos los expertos que apuntan a la posibilidad de que este mal trago se repita en Garmin. Tal y como recoge Forbes, Bharat Mistry, director de estrategia de seguridad en Trend Micro, afirma que este tipo de cesiones "abren una puerta", "le dice a todos los aspirantes a delincuentes, vamos a intentarlo" con ellos. Mistry afirma que quizá es que "no tienen un backup de la información, podría ser la razón por la que han pagado".

Lo que queda claro es que, después de ver cómo múltiples empresas de gran tamaño han caído recientemente en este tipo de ataques, se hace imperativo contar con un plan de contingencia. Eso empieza por tener respaldos de toda la información, y protocolos con la redundancia necesaria para que sean desplegados con eficacia. Pero también con la voluntad de comunicar a usuarios, clientes y socios qué es lo que está pasando de una forma efectiva, sin esperar cuatro días a que, simplemente, todo se solucione –o no–.