Por qué el FBI retuvo una clave de descifrado de ransomware durante 19 días

La Oficina Federal de Investigaciones de Estados Unidos "se abstuvo durante casi tres semanas de ayudar a desbloquear las computadoras de cientos de empresas e instituciones afectadas por un importante ataque de ransomware este verano", informa el Washington Post, "a pesar de que la oficina había obtenido en secreto la clave digital necesaria para hacerlo, según varios funcionarios estadounidenses actuales y anteriores ".

La clave se obtuvo mediante el acceso a los servidores de la banda criminal con sede en Rusia detrás del ataque de julio. Implementarlo de inmediato podría haber ayudado a las víctimas, incluidas escuelas y hospitales, a evitar lo que los analistas estiman en millones de dólares en costos de recuperación. Pero el FBI se aferró a la clave, con el acuerdo de otras agencias, en parte porque planeaba llevar a cabo una operación para interrumpir a los piratas informáticos, un grupo conocido como REvil, y la oficina no quiso avisarlos. Además, una evaluación del gobierno encontró que el daño no fue tan severo como se temía inicialmente.

El derribo planeado nunca ocurrió porque a mediados de julio la plataforma de REvil se desconectó, sin la intervención del gobierno de EE. UU., Y los piratas informáticos desaparecieron antes de que el FBI tuviera la oportunidad de ejecutar su plan, según los funcionarios actuales y anteriores ... El FBI finalmente compartió el clave con Kaseya, la compañía de TI cuyo software fue infectado con malware, el 21 de julio, 19 días después de que fue atacado. Kaseya le pidió a la firma de seguridad con sede en Nueva Zelanda Emsisoft que creara una nueva herramienta de descifrado, que Kaseya lanzó al día siguiente. Para entonces, ya era demasiado tarde para algunas víctimas ...

El martes, el director del FBI, Christopher A. Wray, al testificar ante el Congreso, indicó que la demora se debió en parte al trabajo conjunto con aliados y otras agencias. "Tomamos las decisiones como grupo, no unilateralmente", dijo, y señaló que tuvo que restringir sus comentarios porque la investigación estaba en curso ... También sugirió que "probar y validar" la clave de descifrado contribuyó a la demora. "Se requiere mucha ingeniería para desarrollar una herramienta" que pueda ser utilizada por las víctimas, dijo en una audiencia del Comité de Seguridad Nacional del Senado.

Sin embargo, Emsisoft pudo actuar con rapidez. Extrajo la clave de lo que el FBI le proporcionó a Kaseya, creó un nuevo descifrador y lo probó, todo en 10 minutos, según Fabian Wosar, director de tecnología de Emsisoft. El proceso fue rápido porque la empresa estaba familiarizada con el ransomware de REvil. "Si tuviéramos que empezar desde cero", dijo Wosar, "nos habría llevado unas cuatro horas".