Recompensa para los ladrones de datos: ¿ayudará o perjudicará?

Desde al menos el siglo I del Imperio Romano, cuando un tabernero de Pompeya ofreció una recompensa por la devolución de una olla de cobre robada y por cualquier información que condujera a la captura del ladrón, se ofrecen recompensas y gratificaciones por la captura de delincuentes o por cualquier información que conduzca a su captura.

En la actualidad, el Gobierno de los Estados Unidos ofrece recompensas por ayudar a capturar a los delincuentes que figuran en la lista de los diez más buscados del FBI desde 1950. Además, desde la aprobación de la Ley de Lucha contra el Terrorismo Internacional de 1984, el Gobierno de los Estados Unidos ofrece recompensas por información relacionada con el terrorismo, la injerencia extranjera en elecciones y las actividades cibernéticas maliciosas a través de su programa Recompensas para la Justicia (RfJ).

El pasado mes de junio, se ofreció una recompensa de 10 millones de dólares en el marco del programa RfJ por información que condujera a la detención de Maxim Alexandrovich Rudometov y otras personas que se cree que están vinculadas a la creación y despliegue del malware RedLine. 

La recompensa de Coinbase

En un desarrollo novedoso, una víctima de ciberextorsión —el operador de intercambio de criptomonedas Coinbase— ofreció recientemente una recompensa de 20 millones de dólares a cambio de información que condujera a la identificación y captura del criminal o los criminales que adquirieron datos confidenciales de los clientes y exigieron la misma cantidad a cambio de no divulgarlos públicamente.

Lo que ocurrió es que alguien sobornó a algunos miembros del equipo de atención al cliente de Coinbase para que robaran y entregaran una gran cantidad de datos: nombres de clientes, números de teléfono, direcciones, direcciones de correo electrónico, saldos de cuentas, números de cuenta parciales y más (pero sin contraseñas ni claves privadas). A continuación, enviaron un correo electrónico a Coinbase para decirles que no harían públicos los datos si les pagaban 20 millones de dólares.

Estos datos podrían utilizarse fácilmente para cometer estafas de phishing y engañar a los clientes para que, por ejemplo, transfieran los depósitos de sus cuentas reales de Coinbase a otras cuentas fraudulentas. No está claro si algún cliente se ha visto afectado o ha sufrido pérdidas, pero Coinbase se ha comprometido a asumirlas en caso de que se produzcan.

Coinbase respondió denunciando el robo y negándose a pagar el rescate. La entrada del blog de la empresa sobre el asunto decía:

«Estamos cooperando estrechamente con las fuerzas del orden para solicitar las penas más severas posibles y no pagaremos el rescate de 20 millones de dólares que nos han exigido. Al contrario, vamos a crear un fondo de recompensa de 20 millones de dólares por cualquier información que conduzca a la detención y condena de los delincuentes responsables de este ataque». 

Coinbase estima que el coste total de la recuperación tras el ataque podría ascender a 400 millones de dólares. Además, advierte a sus clientes de que «es de esperar que aparezcan impostores» que intenten estafarlos para quedarse con sus criptomonedas.

¿Bueno o malo?

Bien por Coinbase por negarse a pagar el rescate. Eso es lo que los profesionales de las fuerzas del orden y la ciberseguridad llevan mucho tiempo recomendando a las víctimas de ransomware, y lo mismo puede decirse de la extorsión de datos que, como en este caso, no implica ningún tipo de malware. 

Pero hay que plantearse una pregunta sobre los efectos a largo plazo de sentar el precedente de ofrecer una recompensa. Si se convierte en una respuesta habitual a los intentos de extorsión, ¿tendrá efectos positivos o negativos sobre el panorama de las ciberamenazas? 

Por el lado positivo, parece probable que esta recompensa facilite la detención de los ciberdelincuentes implicados. No hay honor entre ladrones, alguien sabe quién lo hizo, y 20 millones de dólares no es una cantidad despreciable.

Pero la historia nos enseña que ofrecer recompensas de forma sistemática conlleva riesgos evidentes. La aparición de los cazarrecompensas como profesión nunca ha sido algo que beneficiara a la sociedad. No hace falta analizar detenidamente la historia para darse cuenta de que los sistemas de recompensas han fomentado la ilegalidad y la violencia a lo largo de la historia. Además, a los delincuentes no les importa si los 20 millones de dólares que ganan provienen de un rescate o de una recompensa. Y les garantizo que en este momento hay ciberdelincuentes maquinando cómo hacerse con ese dinero por todos los medios posibles.

Por lo tanto, si las recompensas para los hackers se convierten en algo habitual, es muy posible que supongan la aparición de una nueva categoría de ciberfraude, lo que en última instancia aumentaría los niveles generales de amenaza en lugar de reducirlos. 

No hay forma de saber si el tabernero de Pompeya recuperó su olla o atrapó al ladrón. Pero si lo hizo, al menos existe una posibilidad de que su recompensa provocara que le robaran más veces.