Por quinto año consecutivo, Europol ha publicado el informe IOCTA (Internet Organised Crime Threat Assessment). El objetivo de este estudio es proporcionar una descripción general de las amenazas y tendencias actuales de los delitos cometidos “on-line”.
El IOCTA de este año muestra cómo las autoridades policiales deben combatir tanto las formas innovadoras como las formas “tradicionales” de delito cibernético y destaca los muchos desafíos asociados a la lucha contra la ciberdelincuencia, desde la aplicación de la ley hasta la perspectiva del sector privado.
La evolución del Cibercrimen: de hobby a servicio profesional
Pero, ¿a qué nos referimos cuando hablamos de crimen como servicio? Básicamente, estamos hablando de una profesionalización de la “Dark Web”, esa parte de la internet profunda que no aparece indexada en ningún motor de búsqueda y que, muchas veces, sirve como refugio para actos delictivos.
El crimen como servicio se produce cuando un cibercriminal profesional desarrolla herramientas avanzadas o “kits» que luego vende o alquila a otros cibercriminales que, normalmente, tienen menos experiencia. El resultado es que incluso personas totalmente inexpertas y con conocimientos muy limitados son capaces de realizar ciberataques y estafas muy sofisticados con relativa facilidad.
Pongamos como ejemplo que una persona desarrolla un kit que permite realizar un ataque por ransomware (cifrar ficheros y pedir un rescate a cambio de esos ficheros). Esta persona puede poner este kit a disposición de otros, con un perfil más bajo de conocimientos técnicos, para que puedan realizar esos ataques. Se trataría de una especie de “Do It Yourself” aplicado al cibercrimen.
Este modelo de negocio permite que el creador del kit se beneficie a la vez que lo hace la persona que adquiere este kit. Esto implica que, cualquier persona, aunque no tenga ningún tipo de conocimiento técnico, está en posición de lanzar un ciberataque a través del crimen como servicio.
El mercado del Cibercrimen
La oferta del Crimen como Servicio es muy variada pero las principales son:
1. Kits de “phishing”
Los ataques por “phishing” se sitúan siempre en la parte superior de las listas de ciberamenazas. Solían ser fáciles de detectar ya que contenían numerosos errores de ortografía y gramática. Sin embargo, en la actualidad, estos kits de “phishing” profesionales han evolucionado y la detección no es tan simple: correos electrónicos que imitan el lenguaje, formato y logotipo de las organizaciones; páginas web falsas que son prácticamente réplicas exactas de las originales, software que permite realizar spam, etc.
2. Kits de explotación (exploit kits)
Hay una gran cantidad de vulnerabilidades de software, pero se necesita habilidad para aprovecharse de ellas. Por esta razón, los piratas informáticos profesionales venden «kits de explotación» en línea que identifican y aprovechan estas vulnerabilidades en una herramienta o conjunto de herramientas de piratería que facilita la entrada de un delincuente en la red de una empresa y/o infectarla con malware.
3. Malware
Los gusanos, troyanos y virus son la joya de la corona del kit de herramientas de cualquier atacante. Sin embargo, desarrollar malware «del bueno» requiere una sólida experiencia, que no tienen muchos ciberdelincuentes. Hoy en día, cualquiera puede adquirir malware y kits de malware, que puede utilizar o personalizar en función de sus objetivos, en la “Dark Web”.
El “ransomware” es extremadamente popular hoy en día, pero hay muchos otros productos peligrosos a la venta, incluidos troyanos bancarios, troyanos de acceso remoto (RAT), “keyloggers” que capturan información personal mediante el registro de las teclas que se pulsan en el teclado y software malicioso para dispositivos móviles.
4. Vishing (“voice phishing”)
Los ciberdelincuentes crean un “call center” que pueden utilizar para su propia operación o para alquilárselo a otros ciberdelincuentes.
En general, operan mediante líneas VoIP (voz sobre IP) para ocultar su ubicación real y facilitar la suplantación de números telefónicos y, de esta forma hacerse pasar por empresas o proveedores de servicios reales. Pueden utilizar grabaciones simulando ruido de fondo de un “call-center” y utilizar distintos acentos para dar mayor veracidad a la llamada.
Un delincuente puede alquilar un “call-center” para respaldar una campaña de correo electrónico de suplantación de identidad, para realizar ingeniería social con un empleado de una oficina o para simular que se trata de un funcionario y engañar a un banco.
5. DDoS – en venta
Los ataques masivos a un único objetivo se denominan ataque de denegación de servicio (DDoS) y pueden paralizar a cualquier empresa, ya que pueden “tumbar” y para lizar los servicios de sitios web, portales de clientes, correo electrónico y conectividad de red. Se estima que el 73% de las marcas y organizaciones globales son atacadas por ataques DDoS cada año, y muchas son víctimas de ataques repetidos. Los delincuentes solían tener que crear su propia «botnet» que contenía miles de computadoras infectadas para lanzar estos ataques, pero ahora todo lo que tienen que hacer es alquilar un servicio de botnet en línea.
Barreras de protección
En resumen, el crimen como servicio ha contribuido al aumento de los ciberataques y continuará haciéndolo en los próximos años. Además, dada la madurez y el grado de saturación de este mercado, la competencia entre los distintos cibercriminales profesionales ha provocado que sea cada vez más económicamente accesible, por lo que cada vez más compañías y ciudadanos particulares sufrirán ciberataques.
Ahora bien, ¿qué podemos hacer?
Si bien es muy complicado parar este crecimiento de los ciberataques, sí podemos poner en marcha acciones que nos protejan y mitiguen el impacto concienciando a los profesionales a las buenas prácticas de seguridad, teniendo sistemas de monitorización activa de redes o definiendo un plan de continuidad de negocio.