tEl nacimiento del ransomware fue una estafa que se salió de control. En 1989, un biólogo evolutivo llamado Joseph L. Popp Jr trabajaba a tiempo parcial para la Organización Mundial de la Salud en la epidemia del SIDA. Era un hombre difícil. Cuando le negaron un trabajo fijo, decidió castigar a sus colegas y al mismo tiempo sorprenderlos haciéndoles reconocer otro tipo de infección: los virus informáticos.
Popp escribió un cuestionario prometiendo ayudar a minimizar el riesgo de contraer VIH, lo duplicó en 20.000 disquetes y los envió a investigadores de 90 países. Cada disco contenía un virus troyano. Una vez insertada, una bomba de tiempo de malware terminó inutilizando la computadora hasta que el usuario pagó una “tarifa de licencia” de $189 a un apartado postal en Panamá. El primer “troyano del SIDA” de Popp fue rápidamente identificado y arrestado por chantaje. Decidido a defender una posición en lugar de obtener ganancias, se sintió mortificado al saber que algunos de sus objetivos habían reaccionado exageradamente limpiando sus discos duros: una organización italiana contra el SIDA perdió datos vitales de una década. Popp sufrió un colapso psicológico y se lo consideró no apto para ser juzgado. Los delincuentes que convirtieran su rudimentaria innovación en un negocio global no serían tan escrupulosos.
Un ataque de ransomware es una forma de delito cibernético en el que los piratas informáticos utilizan malware para cifrar datos y cobran a los objetivos una tarifa por recibir una clave de descifrado. Cada vez más, los piratas informáticos también roban datos confidenciales y amenazan con subastarlos en la web oscura: “doble extorsión”. Es una forma de delito notablemente ineficaz, como destruir un coche entero para robar un par de gafas de sol. Según Anja Shortland, profesora de economía política en el King’s College de Londres y experta en la economía del crimen, los hackers sólo recaudan alrededor de mil millones de dólares al año, pero han costado a sus víctimas, en 2025, alrededor de 57 mil millones de dólares.
Las consecuencias desproporcionadas de negarse a pagar crean un problema de acción colectiva al incentivar el cumplimiento. Es mucho más rápido y económico desembolsar y minimizar la interrupción que soportar y absorber el daño. La Biblioteca Británica, por ejemplo, fue pirateado en octubre de 2023 y todavía no ha vuelto a la normalidad. Pero cada rescate pagado inspira nuevos ataques. También hay un costo psicológico. Un hombre cuya empresa informática casi fue destruida por un hacker comparó la experiencia con “asfixia, ahogamiento, o ambas cosas al mismo tiempo”.
Los informáticos Adam L Young y Moti Yung primero mapeó el potencial de ransomware en 1996, comparándolo con los abrazadores de caras de Alien: el virus no se podía eliminar sin matar al huésped. Pero durante muchos años, las limitaciones tecnológicas hicieron que fuera poco gratificante, especialmente cuando se trataba de intercambiar datos robados. Un cibercriminal reformado comparó intentar vender un caché importante con “ofrecer un 747 a la venta en un mercadillo”. Se necesitaron tres innovaciones para convertir el ransomware en una industria próspera: comunicaciones imposibles de rastrear (el protocolo TOR), una moneda descentralizada (bitcoin) y cifrado asimétrico, que genera una clave de cifrado única para cada computadora infectada. En 2013, escribe Shortland, “se cumplían todos los requisitos previos para campañas de ransomware rentables y a gran escala”.
El libro de Shortland carece de la energía narrativa de la historia de hackers de 2023 de Scott J. Shapiro, Fancy Bear Goes Phishing. Su misión es explicar más que entretener. Pero aún así se las arregla para pintar un cuadro fascinante de una industria criminal en rápida evolución. Los piratas informáticos ambiciosos crean marcas de ransomware compartiendo su software de vanguardia con afiliados que hacen el trabajo sucio de la extorsión. Establecer confianza entre los ladrones es esencial, aunque de corta duración. Las grandes marcas cuentan con empleados asalariados, mesas de ayuda e incluso departamentos de recursos humanos. “Los recursos humanos penales son un trabajo trepidante y de alto riesgo”, escribe Shortland. Apuesto que sí.
La seguridad laboral no es buena en este negocio. Ya sea debido a fracturas internas o al calor causado por las fuerzas del orden, las operaciones se cierran y se reabren rutinariamente bajo nuevas formas. Según Shortland, el ciberataque que paralizó gran parte de la economía de Costa Rica en 2022, con un costo de 500 millones de dólares, fue probablemente un ejercicio de marketing de una marca en colapso llamada Conti, para crear la ilusión de que estaba más saludable de lo que era. Los costarricenses fueron daños colaterales. Con una crueldad similar, los sistemas de salud son objetivos populares. En estos casos, el ransomware no es sólo un delito económico, sino también letal.
Por lo tanto, el ransomware no atrae a los malos coloridos y adorables. Se reveló que LockBitSupp, que exigió sin éxito 80 millones de dólares a Royal Mail en 2023, era el ciudadano ruso Dmitry Yuryevich Khoroshev, un matón arrogante y racista que disgustaba incluso a otros delincuentes. “Durante cinco años nadando en dinero, me volví muy vago”, se jactaba, “y seguí pasando el rato en un yate con chicas tetonas”. No es Moriarty con quien estamos tratando. Marcas como Evil Corp y DarkSide apestan a nihilismo oscuro y adolescente.
Rusia ha sido un foco de ciberdelincuencia desde la década de 1990. Después de años de rechazar solicitudes de extradición de Estados Unidos, Vladimir Putin acordó atacar la marca de ransomware REvil en enero de 2022, solo para que el hackeo de Ucrania frustrara cualquier cooperación adicional. Corea del Norte también ha estado ocupada. En 2017, el virus WannaCry infectó decenas de miles de ordenadores en 150 países, entre ellos empresas de telecomunicaciones españolas, trenes alemanes, universidades chinas y el Servicio Nacional de Salud. Junto con el malware ruso NotPetya, ha asustado a los gobiernos occidentales para que traten el ransomware como un problema de seguridad nacional.
Shortland concluye con la terrible probabilidad de que se produzca una guerra cibernética basada en la IA, en la que la disrupción sea el objetivo principal, desde la eliminación masiva de datos en servidores en la nube hasta la interferencia en las plantas de energía nuclear. Afirma que estamos “en su mayoría ciegos o indiferentes” ante “un nivel de riesgo catastrófico previamente inimaginable”. Si bien exige que los gobiernos tomen medidas (ciberhigiene legalmente obligatoria, más apoyo a las víctimas, más procesamientos), compara el ransomware con el Covid: un objetivo plausible no es derrotarlo por completo, sino “acordar un nivel aceptable de riesgo y aprender a vivir con la amenaza subyacente”.
Shortland invoca a Covid en otro sentido: un día, un ciberataque podría paralizar toda una economía como si fuera una pandemia, por lo que será mejor que estemos preparados. Puede que este libro no sea una gran lectura para el lector medio, pero es de esperar que las personas adecuadas estén prestando atención.
