Desde que existe la tecnología, ciudadanos, organizaciones y gobiernos han aprovechado los avances en este terreno para crecer y prosperar, pero también los ciberdelincuentes, que han encontrado en la tecnología un método rentable y sencillo para obtener rédito.
Efectivamente, la transformación digital de la sociedad ha presentado nuevas formas de llevar a cabo actividades delictivas ancestrales (como el blanqueo de dinero y el robo), y la escasez de los conocimientos necesarios para ello ha dado lugar a nuevas fórmulas de ataque como el crimen como servicio.
Por sus siglas en inglés, CaaS es un modelo en el que los ciberdelincuentes experimentados y capacitados construyen y desarrollan herramientas, plataformas y capacidades sofisticadas y luego las venden o alquilan a otros malhechores que no tienen los conocimientos técnicos necesarios para crearlas ellos mismos. Así, CaaS proporciona a los operadores cualificados la financiación de los delincuentes establecidos y, a cambio, los grupos delictivos pueden mejorar sus conocimientos de forma rápida y sencilla. Asimismo, la preponderancia de este modelo está impulsando el volumen y la sofisticación de los ataques en el panorama actual de las amenazas, y la barrera de entrada a la ciberdelincuencia y a la economía ilegal se está reduciendo.
Un bazar muy peligroso
Entre los servicios más comunes que pueden obtenerse fácilmente como CaaS, destacan los kits/plataformas de phishing, personalizables y sencillos, con varios niveles de automatización; los kits de exploits que incluyen el desarrollo de código de explotación y herramientas para explotar vulnerabilidades conocidas; y los servicios DDoS, que pueden contratarse en modo de suscripción en la Dark Web, con distintos planes de ataques aptos para todos los bolsillos, o para ser lanzados contra servidores o sitios web que utilizan protección o, incluso, contra recursos gubernamentales específicos.
Los ciberdelincuentes pueden acceder también a servicios de ransomware, creados específicamente para atacar a una víctima, y que proporcionan la profundidad técnica y las habilidades requeridas, además de toda la información necesaria para llevar a cabo un ataque; o a servicios de investigación como servicio, que ofrecen la recopilación legal o ilegal de información sobre las víctimas objetivo, así como la reventa de los datos personales robados, y de las credenciales comprometidas.
Cooperación y coordinación
Además del fácil acceso a distintos servicios, los ciberdelincuentes cuentan con otros elementos para ocultar su conexión con el delito, como las criptomonedas, un método que, por su anonimato, facilidad de uso y ausencia de fronteras y restricciones internacionales, es muy utilizado por estos actores para transferir y recaudar fondos.
El bitcoin es la moneda preferida de los ciberdelincuentes y las demandas de ataques de ransomware suelen solicitarse en dicha divisa. En este sentido, un informe de Europol realizado en 2015 refleja el uso del bitcoin en más 40 % de las transacciones ilícitas en la Unión Europea. El motivo de tan alto manejo puede ser el hecho de que las direcciones de bitcoin registradas en la blockchain no están asociadas a determinados individuos, solo el titular de la cuenta del monedero de bitcoin que recibe la transacción puede ver esta información. Esta falta de información ocasiona un gran dolor de cabeza a las autoridades, al resultarles muy complicado seguir las conexiones y pistas de los delincuentes, quienes casi tienen vía libre para financiar, gestionar y organizar sus actividades fácilmente.
Aunque todo esto puede ser una lectura incómoda, también es esclarecedora y fascinante. Los profesionales de la seguridad y de las redes tienen que hacer lo posible por comprender el modelo operativo de sus adversarios. Y al igual que los ciberdelincuentes comparten información, deben coordinarse y hacer evolucionar sus capacidades, comprendiendo sus objetivos y poniendo en funcionamiento técnicas de vanguardia con rapidez.
Si el ataque se ha vuelto tan asequible para los delincuentes, es imperativo establecer una defensa eficaz, que asegure el intercambio de información como medida de defensa. Con esto se consigue maximizar el beneficio de las protecciones, aprovechando la información sobre las amenazas en múltiples puntos de aplicación.
David Fairman
CSO APAC de Netskope
