Ciberdelincuencia expuesta: ciberdelincuencia como servicio

La frecuencia, variedad y complejidad creciente de los ataques son producto de un mercado de proveedores de una “ciberdelincuencia como servicio”. Este mercado permite que diferentes partes malintencionadas ejecuten ataques por un costo ampliamente reducido, con niveles de conocimientos técnicos considerablemente inferiores. Como en el caso de los servicios en la nube, este ecosistema de la ciberdelincuencia entrega una eficiencia mayor y una flexibilidad superior a los delincuentes cibernéticos, igual que en cualquier otro emprendimiento de “negocio”. Este método se extiende mucho más allá de la contratación de personas para que realicen tareas específicas (como la programación de una vulnerabilidad de seguridad) e incluyen una amplia gama de productos y servicios disponibles a la venta o por alquiler.

Este mercado contiene diferentes partes interesadas, desde organizaciones formales y legítimas que venden vulnerabilidades a clientes que se ajustan a los estrictos criterios de elegibilidad, hasta sitios Web clandestinos que permiten que cualquier persona ofrezca servicios ilegales. El enfoque de las fuerzas de seguridad pública en la ciberdelincuencia a nivel mundial provocó que los modelos “como servicio” de las actividades ilegales se volvieran aún más clandestinos. Estas plataformas clandestinas implementan mecanismos más robustos para garantizar que los participantes realmente son quienes dicen ser (o al menos no son funcionarios de las fuerzas de seguridad pública). Paradójicamente, a medida que las plataformas que facilitan el mercado de servicios para actividades ilegales se vuelven más clandestinas, el comercio de vulnerabilidades zero-day es más transparente que nunca antes.

A todas luces, la mayoría de estos servicios es administrado por ciberdelincuentes. Existen varios servicios, sin embargo, que siguen siendo legales. En general, podemos clasificar a los servicios como parte de los mercados negros o grises. Empleamos la clasificación “gris” cuando resulta difícil determinar las actividades o los clientes reales.


Investigación como servicio

A diferencia de las otras categorías, la investigación como servicio no tiene por qué originarse en fuentes ilegales: hay espacio para un mercado gris. Existen empresas comerciales que ofrecen a la venta vulnerabilidades zero-day a determinadas organizaciones que cumplan con sus criterios de elegibilidad. Y también hay personas que actúan como intermediarios, que venden este tipo de propiedad intelectual a clientes interesados que pueden tener o no los mismos criterios de elegibilidad estrictos. Ejemplos:

  • Vulnerabilidades a la venta: un mercado comercial. El mercado de hoy atiende a los interesados en la adquisición de vulnerabilidades zero-day: vulnerabilidades de software sin solución conocida a la hora de su descubrimiento. Esta categoría se reconoce por los requisitos de elegibilidad para los clientes: se exige, por ejemplo, que los clientes sean funcionarios de las fuerzas de seguridad pública u organizaciones gubernamentales. Independientemente de estos requisitos, estos servicios se pueden usar (y así sucede en la práctica) para adquirir información secreta sobre las vulnerabilidades para usarla en ataques. Intermediarios de vulnerabilidades de seguridad. Aunque la adquisición de vulnerabilidades se puede llevar a cabo a través de una entidad comercial, existe la posibilidad de adquirirlas a través de servicios intermediarios. Esto puede ser una persona independiente que actúa como intermediario motivado por las comisiones para facilitar las ventas a terceros.
  • Servicios de spam. En vez de crear listas de correo electrónico manualmente, los spammers aspirantes cuentan con el lujo de poder adquirir una lista de direcciones de correo electrónico. Aparte de la personalización del mensaje en un idioma determinado, el mensaje electrónico no solicitado puede requerir de ajustes más específicos. Por ejemplo, si hay algo que concierne a los consumidores de un estado determinado de los EE. UU., existen servicios que entregan direcciones de correo electrónico pertenecientes a personas de estados puntuales.

Crimeware como servicio 

Esta categoría incluye la identificación y el desarrollo de vulnerabilidades de seguridad para una operación prevista; también puede incluir el desarrollo de material suplementario para apoyar el ataque (como instaladores, descargadores, capturadores de teclado, bots, entre otros). Incluye las herramientas que se usan para ocultar el malware de los mecanismos de protección de seguridad (como cifradores, compiladores polimórficos, enlazadores, crackers y otros similares), además de herramientas de spam y robots como XRumer. Asimismo, esta categoría incluye el hardware que se podría usar para fraudes financieros (por ejemplo, la clonación de tarjetas) o los equipos que se emplean para irrumpir en las plataformas físicas. Ejemplos:

  • Servicios profesionales. La contratación externa del desarrollo de código malintencionado es un fenómeno conocido desde hace bastante tiempo, donde algunos ejemplos de malware se desarrollaron por partes terceras independientes. Un ejemplo de esto se observó a principios de 2005, cuando se contrató a un programador para desarrollar el gusano Zotob, una variedad de malware que costó aproximadamente USD 97.000 en la limpieza de los sistemas afectados.  Servicios contra malware. Los clientes pueden adquirir código desarrollado en forma previa para llevar a cabo sus ataques:
  1. Troyanos. Un programa malintencionado que se oculta dentro de un archivo legítimo para apropiarse de la información del usuario o las credenciales de inicio de sesión en un sistema infectado.
  2. Servicios de rootkits. Código subrepticio que se oculta dentro del sistema que perdió su carácter confidencial y lleva a cabo acciones programadas.
  3.  Servicios de ransomware. Software que impide que el usuario lleve a cabo operaciones hasta que realice una determinada acción como, por ejemplo, entregar la información de su tarjeta de crédito.

  • Servicios de vulnerabilidades de seguridad. El crimeware como servicio también incluye paquetes de vulnerabilidades de seguridad que ofrecen funciones como los servicios de cifrado para encubrir un ataque y evitar la detección. Esto puede incluir el cifrado de determinados archivos y se podría usar en conjunto con otras técnicas que hacen uso del cifrado para disfrazar el código malintencionado.  Otros proveedores de servicios someten el malware de los ciberdelincuentes a prueba contra software antivirus y ponen el spam a prueba contra listas negras de dominios. Estas últimas las usan las empresas y proveedores de servicios para bloquear el correo electrónico de los dominios que sabidamente envían contenidos como spam, contrariamente a las políticas.

Infraestructura de ciberdelincuencia como servicio

Una vez que se desarrolló el conjunto de herramientas, los ciberdelincuentes se enfrentan con la dificultad de hacer llegar las vulnerabilidades de seguridad a las víctimas previstas. Un ejemplo es el alquiler de una red de equipos para llevar a cabo ataques de denegación de servicio (DoS). Los ataques DoS (o ataques de denegación de servicio distribuida [DDos]) envían un volumen inmenso de tráfico al sitio Web o los servicios de la víctima, para sobrecargarlas y prevenir así que lleven a cabo sus actividades normales. Otros ejemplos son la disponibilidad de plataformas para hospedar contenidos malintencionados como, por ejemplo, el hospedaje “a prueba de balas”. Ejemplos:

  • Redes de bots. Una red de bots es una red infectada de equipos, controlada en línea de manera remota por un ciberdelincuente. La red de bots se puede emplear para diferentes servicios como, por ejemplo, el envío de spam, el lanzamiento de ataques DoS y la distribución de malware. Hay diferentes servicios disponibles, que se acomodan a cualquier presupuesto.
  • Servicios de hospedaje. Un proveedor de hospedaje “a prueba de balas” es una empresa que deliberadamente entrega hospedaje de Web o dominios (u otros servicios relacionados) a los ciberdelincuentes. Estos proveedores tienden a hacer caso omiso de los reclamos y hacen la vista gorda ante el uso malintencionado del servicio. Al igual que en el entorno comercial, existen innumerables servicios de hospedaje; la única restricción es la cantidad de dinero que uno está dispuesto a pagar y, en algunos casos, la ética del proveedor de hospedaje.
  •  Servicios de spam. Los spammers aspirantes pueden usar servicios que permiten enviar correo electrónico no solicitado. Por ejemplo, un delincuente puede enviar 30.000.000 de mensajes en un ataque de un mes, sin contar con ningún tipo de equipo.

Ataques informáticos como servicio

La adquisición de los componentes individuales de un ataque es una opción; alternativamente, también hay servicios que permiten externalizar el ataque por completo. Esta opción exige conocimientos técnicos mínimos, aunque probablemente cueste más que la adquisición de los componentes por separado. Esta categoría también permite la disponibilidad de la información usada en el robo de identidad; por ejemplo, solicitar información como credenciales bancarias, datos de tarjetas de crédito e información de inicio de sesión para sitios Web determinados. Ejemplos:

  • Servicios de descodificación de contraseñas. Estos servicios permiten que un comprador obtenga fácilmente la contraseña de un correo electrónico, sin ningún tipo de conocimientos técnicos. Lo único que se necesita es la dirección de correo electrónico y el nombre de la víctima.
  • Denegación de servicio. Los servicios DoS simplemente requieren que los atacantes entreguen el nombre del sitio que desean atacar, decidan cuánto están dispuestos a pagar y luego inicien el servicio. Por solo 2 USD la hora, por ejemplo, se puede lanzar un ataque contra los sistemas que el comprador elija.
  • Información financiera. Muchos servicios ofrecen información sobre tarjetas de crédito, con una enorme flexibilidad y diferentes modelos de pago, según la información vendida. Mientras que la información sobre las tarjetas de crédito resulta valiosa para los delincuentes aspirantes, las credenciales de inicio de sesión para las operaciones bancarias en línea pueden alcanzar precios mayores que los números de tarjeta de crédito.

Conclusión final

No solo estamos siendo testigos de un aumento en el volumen de la ciberdelincuencia; además, las personas que son partícipes de estas fechorías están totalmente alejadas de la percepción pública del hacker informático. El crecimiento de la naturaleza “como servicio” de la ciberdelincuencia alimenta este crecimiento exponencial y este modelo de negocio flexible permite que los ciberdelincuentes ejecuten los ataques por un costo significativamente más bajo que nunca. Al igual que las entidades de seguridad pública asociadas de todo el mundo, EC3 European Cybercrime persigue sin tregua a los grupos o redes criminales que roban su dinero, su información o su identidad y que se dedican al abuso infantil en línea.

Les dejo el link del reporte completo (en inglés) http://www.mcafee.com/us/resources/white-papers/wp-cybercrime-exposed.pdf