Así como una empresa puede contratar software, cómputo o almacenamiento bajo demanda, hoy los ciberdelincuentes recurren al modelo “Crimen como servicio” (CaaS) para impulsar sus negocios. El concepto se refiere a la práctica de contar con un ecosistema criminal donde es posible subcontratar diferentes piezas, dependiendo del ciberataque a cometer.
Al recurrir a este tipo de ecosistemas, es posible ejecutar ataques informáticos complejos sin poseer grandes habilidades ni conocimientos técnicos. El modelo también dificulta poder atribuir el crimen a un solo individuo, al tener repartidas las fuentes e infraestructura del ataque entre múltiples actores.
Además, utilizan elementos para ocultar su conexión con el delito, como las criptomonedas, método que, por su anonimato, facilidad de uso y ausencia de fronteras y restricciones internacionales es muy utilizado por los atacantes para transferir y recaudar fondos.
El problema de la seguridad IT tiene gran alcance económico. En términos generales, se estima que este año las pérdidas económicas derivadas del cibercrimen ascenderán a $6 billones de dólares. Si los delitos digitales fueran un país, su producto interno bruto sería el tercero más grande del mundo, solo detrás de Estados Unidos y China.
Pero no solo tienen mucho dinero, también están muy organizados. Un hecho que ejemplifica ambas afirmaciones lo dio recientemente el grupo ruso Sodinokibi, operadores del ransomware REvil, uno de los más utilizados a nivel global. Sodinokibi realizó un post en un foro frecuentado por expertos informáticos y criminales informáticos para expandir el número de sus miembros. El mensaje ofrecía trabajo rápido en modalidades ya definidas, con buenas perspectivas económicas y sin siquiera requerir demasiados conocimientos. Para demostrar su solvencia económica, el grupo de hackers realizó un depósito en bitcoins por $1 millón de dólares.
Algunos de los servicios que se pueden obtener como CaaS son:
- Kits/plataformas de phishing: Estos se encuentran en la Dark Web por precios que van de los $2 a los $10 dólares. Pueden personalizarse sin grandes conocimientos y tienen varios niveles de automatización, lo que los hace muy atractivos para los delincuentes.
- Kits de exploits: Incluyen el desarrollo de código de explotación y herramientas para aprovechar vulnerabilidades conocidas. Uno de los más populares, RIG, cuesta $150 dólares/semana; puede propagar ransomware, troyanos y otras formas de malware.
- Servicios DDoS. En la Dark Web hay proveedores que ofrecen este tipo de servicios en planes de suscripción. Hay también opciones para lanzar ataques DDoS a servidores o sitios web que utilizan protección; incluso, algunos ofrecen ataques a recursos gubernamentales específicos.
- Ransomware como servicio. Estos servicios proporcionan la profundidad técnica y las habilidades requeridas, además de toda la información necesaria para llevar a cabo un ataque de este tipo. En algunos casos, ofrecen un panel de control e informes sobre su estado.
- Investigación como servicio. Implica la recopilación legal o ilegal de información sobre las víctimas objetivo, así como la reventa de los datos personales robados o las credenciales comprometidas. Puede incluir la venta de información sobre posibles exploits dentro de software o sistemas.
Evolución del cibercrimen, a la par de la tecnología
En entrevista, Juan Manuel Luna, director para México, Centroamérica y el Caribe de Netskope, señala que la carrera contra “los chicos malos” es vertiginosa. Así como la tecnología y las industrias evolucionan, cada que emerge una nueva tecnología hay riesgos asociados a ella.
“Utilizar grupos de delincuencia para generar ataques digitales no es nuevo. Hace 10 años se observó la tendencia de contratar gente para hacer DDoS. Atacantes con cierta infraestructura y conocimientos se rentaban para afectar a una compañía y tiraban su sitio web. Aquel que antes rentaba uno a uno sus servicios, ahora ha creado una plataforma para rentarlos a múltiples usuarios para hacer una intrusión digital.”
Si bien el ransomware, phishing y los troyanos bancarios son algunas de las principales amenazas de ciberseguridad este año, el hecho de que los ciberdelincuentes recurran al CaaS complica aún más la labor de quienes protegen los datos.
En opinión de Luna, otro factor que se suma a la trama complicada de la seguridad IT es que hoy 80% de los datos de cualquier organización reside en la nube. Las organizaciones deben plantearse si sus tecnologías están a la par de esta dinámica de los negocios, de la transformación digital y de los ciberatacantes.
Defenderse del CaaS requiere colaboración múltiple
Además de tener más puntos de control y mayor visibilidad, el directivo señala que hay que replantear el paradigma de protección y hacer que la tecnología evolucione a estos conceptos de protección en la nube.
Luna afirma que hoy existe una tendencia de colaboración entre fabricantes de tecnología de seguridad. “Antes éramos muy cerrados. Nos hemos dado cuenta de que los vectores de ataque han evolucionado a tal grado que no podemos ser arrogantes y pretender que somos la única solución”.
Para fortalecer la estrategia de seguridad ante flagelos como el CaaS, Luna destaca la importancia de establecer colaboración entre el gobierno y la sociedad civil. Aunque reconoce que en América Latina esto va muy lento. “En regiones con otro grado de madurez, como Europa, Estados Unidos y Canadá hay esfuerzos locales de entidades gubernamentales y asociaciones donde discuten cómo contribuir a diferentes iniciativas, crear políticas y proponer iniciativas de regulación. En América Latina tenemos que seguir concientizando a las organizaciones civiles”, subrayó el ejecutivo.
Una acción local reciente que refiere Luna es la creación del capítulo México del Consorcio Internacional de Certificación de Seguridad de Sistemas de Información, ISC2, organismo que certifica a los profesionales de seguridad IT.
En otras latitudes, como la Unión Europea existe —desde septiembre de 2014— la iniciativa Joint Cybercrime Action Taskforce (J-CAT). Ahí participan nueve países europeos (Alemania, Austria, España, Francia, Italia, los Países bajos, Polonia, Rumania y Suecia) y siete socios que no pertenecen a la UE (Australia, Canadá, Colombia, Estados Unidos, Noruega, Reino Unido y Suiza).
¿La coordinación entre gobiernos, asociaciones y fabricantes podrá detener la proliferación de conductas delictivas como el CaaS?
