Como en el caso de los servicios en la nube, este ecosistema de la ciberdelincuencia entrega una eficiencia mayor y una flexibilidad superior a los delincuentes cibernéticos, igual que en cualquier otro emprendimiento de “negocio”. Este método se extiende mucho más allá de la contratación de personas para que realicen tareas específicas (como la programación de una vulnerabilidad de seguridad) e incluyen una amplia gama de productos y servicios disponibles a la venta o por alquiler.
Este mercado contiene diferentes partes interesadas, desde organizaciones formales y legítimas que venden vulnerabilidades a clientes que se ajustan a los estrictos criterios de elegibilidad, hasta sitios Web clandestinos que permiten que cualquier persona ofrezca servicios ilegales. El enfoque de las fuerzas de seguridad pública en la ciberdelincuencia a nivel mundial provocó que los modelos “como servicio” de las actividades ilegales se volvieran aún más clandestinos.
Estas plataformas clandestinas implementan mecanismos más robustos para garantizar que los participantes realmente son quienes dicen ser (o al menos no son funcionarios de las fuerzas de seguridad pública). Paradójicamente, a medida que las plataformas que facilitan el mercado de servicios para actividades ilegales se vuelven más clandestinas, el comercio de vulnerabilidades zero-day es más transparente que nunca antes.
A todas luces, la mayoría de estos servicios es administrado por ciberdelincuentes. Existen varios servicios, sin embargo, que siguen siendo legales. En general, podemos clasificar a los servicios como parte de los mercados negros o grises. Empleamos la clasificación “gris” cuando resulta difícil determinar las actividades o los clientes reales.
Investigación como servicio
A diferencia de las otras categorías, la investigación como servicio no tiene por qué originarse en fuentes ilegales: hay espacio para un mercado gris. Existen empresas comerciales que ofrecen a la venta vulnerabilidades zero-day a determinadas organizaciones que cumplan con sus criterios de elegibilidad. Y también hay personas que actúan como intermediarios, que venden este tipo de propiedad intelectual a clientes interesados que pueden tener o no los mismos criterios de elegibilidad estrictos.
Ejemplos:
- Vulnerabilidades a la venta: un mercado comercial. El mercado de hoy atiende a los interesados en la adquisición de vulnerabilidades zero-day: vulnerabilidades de software sin solución conocida a la hora de su descubrimiento. Esta categoría se reconoce por los requisitos de elegibilidad para los clientes: se exige, por ejemplo, que los clientes sean funcionarios de las fuerzas de seguridad pública u organizaciones gubernamentales. Independientemente de estos requisitos, estos servicios se pueden usar (y así sucede en la práctica) para adquirir información secreta sobre las vulnerabilidades para usarla en ataques.
- Intermediarios de vulnerabilidades de seguridad: Aunque la adquisición de vulnerabilidades se puede llevar a cabo a través de una entidad comercial, existe la posibilidad de adquirirlas a través de servicios intermediarios. Esto puede ser una persona independiente que actúa como intermediario motivado por las comisiones para facilitar las ventas a terceros.
- Servicios de spam: En vez de crear listas de correo electrónico manualmente, los spammers aspirantes cuentan con el lujo de poder adquirir una lista de direcciones de correo electrónico. Aparte de la personalización del mensaje en un idioma determinado, el mensaje electrónico no solicitado puede requerir de ajustes más específicos. Por ejemplo, si hay algo que concierne a los consumidores de un estado determinado de los EE.UU., existen servicios que entregan direcciones de correo electrónico pertenecientes a personas de estados puntuales.
Esta categoría incluye la identificación y el desarrollo de vulnerabilidades de seguridad para una operación prevista; también puede incluir el desarrollo de material suplementario para apoyar el ataque (como instaladores, descargadores, capturadores de teclado, bots, entre otros). Incluye las herramientas que se usan para ocultar el malware de los mecanismos de protección de seguridad (como cifradores, compiladores polimórficos, enlazadores, crackers y otros similares), además de herramientas de spam y robots como XRumer. Asimismo, esta categoría incluye el hardware que se podría usar para fraudes financieros (por ejemplo, la clonación de tarjetas) o los equipos que se emplean para irrumpir en las plataformas físicas.
Ejemplos:
Servicios profesionales: La contratación externa del desarrollo de código malintencionado es un fenómeno conocido desde hace bastante tiempo, donde algunos ejemplos de malware se desarrollaron por partes terceras independientes. Un ejemplo de esto se observó a principios de 2005, cuando se contrató a un programador para desarrollar el gusano Zotob, una variedad de malware que costó aproximadamente USD 97.000 en la limpieza de los sistemas afectados.
Servicios contra malware: Los clientes pueden adquirir código desarrollado en forma previa para llevar a cabo sus ataques:
-
Troyanos: Un programa malintencionado que se oculta dentro de un archivo legítimo para apropiarse de la información del usuario o las credenciales de inicio de sesión en un sistema infectado.
-
Servicios de rootkits: Código subrepticio que se oculta dentro del sistema que perdió su carácter confidencial y lleva a cabo acciones programadas.
-
Servicios de ransomware: Software que impide que el usuario lleve a cabo operaciones hasta que realice una determinada acción como, por ejemplo, entregar la información de su tarjeta de crédito.
Servicios de vulnerabilidades de seguridad: El crimeware como servicio también incluye paquetes de vulnerabilidades de seguridad que ofrecen funciones como los servicios de cifrado para encubrir un ataque y evitar la detección. Esto puede incluir el cifrado de determinados archivos y se podría usar en conjunto con otras técnicas que hacen uso del cifrado para disfrazar el código malintencionado. Otros proveedores de servicios someten el malware de los ciberdelincuentes a prueba contra software antivirus y ponen el spam a prueba contra listas negras de dominios. Estas últimas las usan las empresas y proveedores de servicios para bloquear el correo electrónico de los dominios que sabidamente envían contenidos como spam, contrariamente a las políticas.
Infraestructura de ciberdelincuencia como servicio
Una vez que se desarrolló el conjunto de herramientas, los ciberdelincuentes se enfrentan con la dificultad de hacer llegar las vulnerabilidades de seguridad a las víctimas previstas. Un ejemplo es el alquiler de una red de equipos para llevar a cabo ataques de denegación de servicio (DoS). Los ataques DoS (o ataques de denegación de servicio distribuida [DDos]) envían un volumen inmenso de tráfico al sitio Web o los servicios de la víctima, para sobrecargarlas y prevenir así que lleven a cabo sus actividades normales. Otros ejemplos son la disponibilidad de plataformas para hospedar contenidos malintencionados como, por ejemplo, el hospedaje “a prueba de balas”.
Ejemplos:
- Redes de bots: Una red de bots es una red infectada de equipos, controlada en línea de manera remota por un ciberdelincuente. La red de bots se puede emplear para diferentes servicios como, por ejemplo, el envío de spam, el lanzamiento de ataques DoS y la distribución de malware. Hay diferentes servicios disponibles, que se acomodan a cualquier presupuesto.
- Servicios de hospedaje: Un proveedor de hospedaje “a prueba de balas” es una empresa que deliberadamente entrega hospedaje de Web o dominios (u otros servicios relacionados) a los ciberdelincuentes. Estos proveedores tienden a hacer caso omiso de los reclamos y hacen la vista gorda ante el uso malintencionado del servicio. Al igual que en el entorno comercial, existen innumerables servicios de hospedaje; la única restricción es la cantidad de dinero que uno está dispuesto a pagar y, en algunos casos, la ética del proveedor de hospedaje.
- Servicios de spam: Los spammers aspirantes pueden usar servicios que permiten enviar correo electrónico no solicitado. Por ejemplo, un delincuente puede enviar 30 mil millones de mensajes en un ataque de un mes, sin contar con ningún tipo de equipo.
Ataques informáticos como servicio
La adquisición de los componentes individuales de un ataque es una opción; alternativamente, también hay servicios que permiten externalizar el ataque por completo. Esta opción exige conocimientos técnicos mínimos, aunque probablemente cueste más que la adquisición de los componentes por separado. Esta categoría también permite la disponibilidad de la información usada en el robo de identidad; por ejemplo, solicitar información como credenciales bancarias, datos de tarjetas de crédito e información de inicio de sesión para sitios Web determinados.
Ejemplos:
- Servicios de descodificación de contraseñas: Estos servicios permiten que un comprador obtenga fácilmente la contraseña de un correo electrónico, sin ningún tipo de conocimientos técnicos. Lo único que se necesita es la dirección de correo electrónico y el nombre de la víctima.
- Denegación de servicio: Los servicios DoS simplemente requieren que los atacantes entreguen el nombre del sitio que desean atacar, decidan cuánto están dispuestos a pagar y luego inicien el servicio. Por solo 2 USD la hora, por ejemplo, se puede lanzar un ataque contra los sistemas que el comprador elija.
- Información financiera: Muchos servicios ofrecen información sobre tarjetas de crédito, con una enorme flexibilidad y diferentes modelos de pago, según la información vendida. Mientras que la información sobre las tarjetas de crédito resulta valiosa para los delincuentes aspirantes, las credenciales de inicio de sesión para las operaciones bancarias en línea pueden alcanzar precios mayores que los números de tarjeta de crédito.
No solo estamos siendo testigos de un aumento en el volumen de la ciberdelincuencia; además, las personas que son partícipes de estas fechorías están totalmente alejadas de la percepción pública del hacker informático.
El crecimiento de la naturaleza “como servicio” de la ciberdelincuencia alimenta este crecimiento exponencial y este modelo de negocio flexible permite que los ciberdelincuentes ejecuten los ataques por un costo significativamente más bajo que nunca.
Al igual que las entidades de seguridad pública asociadas de todo el mundo, EC3 European Cybercrime persigue sin tregua a los grupos o redes criminales que roban su dinero, su información o su identidad y que se dedican al abuso infantil en línea.
Link del reporte completo (en inglés) http://www.mcafee.com/us/resources/white-papers/wp-cybercrime-exposed.pdf
Acerca de Raj Samani
Raj Samani es un miembro activo de la industria de seguridad de la información, a través de su participación en numerosas iniciativas para mejorar el conocimiento y la aplicación de la seguridad en la empresa y la sociedad. Actualmente ejerce el cargo de vicepresidente y director de informática para McAfee, EMEA, y anteriormente trabajó como director de seguridad de la información para una gran organización del sector público en el Reino Unido.
Recientemente se incorporó en el pabellón de la fama de Infosecurity Europe (2012). Samani trabajó en numerosas organizaciones del sector público en varios grupos de trabajo orientados en ciberseguridad e investigación en toda Europa, como el Panel de interoperabilidad de Midata, además de representar a DIGITALEUROPE en el Grupo de referencia de redes inteligentes, que fue establecido por la Comisión Europea para el Mandato sobre redes inteligentes. Es el autor del libro Applied Cyber Security and the Smart Grid, recientemente publicado por Syngress. Puede seguir a Raj Samani en Twitter en http://twitter.com/Raj_Samani.
Acerca de François Paget
François Paget es uno de los miembros fundadores del grupo McAfee Avert (ahora McAfee Labs). Ha trabajado aquí desde 1993. En Europa estuvo a cargo durante 12 años de analizar amenazas nuevas, identificarlas y desarrollar módulos para detectarlas y eliminarlas. Su principal responsabilidad fue la investigación de nuevos métodos de detección heurística para los entornos de 32 bits de Microsoft Windows. Hoy, Paget conduce diferentes estudios de pronóstico y realiza supervisiones técnicas para su empresa y algunos de sus clientes. Se concentra principalmente en los diferentes aspectos de la ciberdelincuencia organizada y el uso malintencionado de Internet con fines geopolíticos. Paget participa en varias asociaciones con las autoridades francesas e internacionales involucradas en combatir la ciberdelincuencia.
http://blogs.mcafee.com/author/Francois-Paget
Acerca de McAfee Labs
McAfee Labs es el equipo de investigación global de McAfee. Con la única organización de investigación dedicada a todos los vectores de amenazas (malware, Web, correo electrónico, redes y vulnerabilidades), McAfee Labs reúne inteligencia a partir de sus millones de sensores y de su servicio basado en la nube McAfee Global Threat Intelligence.™ El equipo de McAfee Labs de 500 investigadores multidisciplinarios en 30 países hace un seguimiento del espectro completo de amenazas en tiempo real, al identificar las vulnerabilidades de las aplicaciones, analizar y correlacionar los riesgos y habilitar correcciones instantáneas para proteger a la empresa y al público. http://www.mcafee.com/labs
Acerca de McAfee
McAfee, subsidiaria en propiedad absoluta de Intel Corporation (NASDAQ:INTC), es la empresa dedicada a la tecnología de seguridad más grande del mundo. McAfee proporciona soluciones y servicios comprobados y proactivos que ayudan a proteger sistemas, redes y dispositivos móviles en todo el mundo, lo que permite a los usuarios conectarse a Internet, navegar y comprar en la web con mayor seguridad.
Respaldado por su inigualable solución Global Threat Intelligence, McAfee crea productos innovadores que brindan a los usuarios domésticos, las empresas, el sector público y los prestadores de servicios la capacidad de cumplir regulaciones, proteger sus datos, evitar interrupciones, identificar vulnerabilidades y supervisar y mejorar continuamente la seguridad. McAfee se concentra sin descanso en encontrar nuevas formas de mantener seguros a sus clientes. http://www.mcafee.com