Opinión

Cibercrimen "as a service”

Ciberseguridad

La tendencia actual nos muestra como la cantidad de ciberataques que se producen a lo largo y ancho del mundo aumenta de forma exponencial y alarmante. La industrialización que se ha producido por parte de algunos grupos criminales les hace acercarse más a un modelo empresarial cada día, implementando ciertas técnicas que les permiten tener un mayor alcance y poder destructivo. Probablemente, se incline más al concepto de industria lucrativa, siendo un modelo de “negocio” que cursa con un éxito abrumador.

Actualmente, según un estudio de Cybersecurity Ventures, la totalidad de ataques cibernéticos producidos a lo largo de 2021 en todo el mundo tendrán un coste de, aproximadamente, 6 billones de dólares. Una cifra que, si se considerada un sector industrial, ocuparía el número 27 entre las mayores economías del mundo, según un informe de Allianz Global.

Uno de estos ejemplos es el llamado “cibercrime as a service”, es decir, la práctica de facilitar actividades ilegales a través de servicios. En el sector IT, existen empresas que dan diferentes servicios a sus clientes, como podría ser el PaaS (Platform as a service) o el SaaS (Software as a service) con la finalidad de ofrecer un producto que cubra las necesidades del cliente. Actualmente, los cibercriminales han decidido poner todos sus conocimientos técnicos y los desarrollos propios de diferentes tipos de malware o exploit’s a disposición de cierto público que quiera “unirse al sector”. 

En este fenómeno, un usuario cualquiera, sin necesidad de tener unos conocimientos técnicos avanzados, podría acceder a “paquetes” ya preconfigurados que le permitiría extender un malware por diferentes empresas o explotar una vulnerabilidad concreta. Estos paquetes habitualmente se venden en plataformas privadas, ubicadas en la dark web o en plataformas como Telegram (una plataforma cada vez más usada por los cibercriminales) por precios que se pueden considerar asequibles. Desde unos 50 dólares puedes tener uno de estos paquetes del tipo básico. 

Para los cibercriminales subterráneos, CaaS ofrece una nueva dimensión de la delincuencia informática, ya que está más organizado, automatizado y accesible para los criminales con conocimientos técnicos limitados.

Dentro de este servicio es posible encontrar todo tipo de modelos, desde el llamado “crime-ware as a service”, que consiste en la identificación de vulnerabilidades y desarrollo del ataque sobre la misma, “investigation as a service”, donde pueden proporcionarte ciertas credenciales o información personal sobre alguien en específico y “hacking as a service” donde se subcontrataría un ataque al completo. Estos son solamente unos cuantos ejemplos de los servicios que puede llegar a ofrecer un grupo cibercriminal, existiendo muchos más y diversificando más este tipo de labores conforme se desarrollan sus capacidades técnicas. Además, no solamente distribuyen los paquetes preconfigurados, listos para usar, si no que existe toda una campaña de marketing detrás, ofreciendo a los comprados incluso un servicio de atención al cliente 24&7, donde es posible obtener soporte, información y ayuda. 

Uno de los servicios ofrecidos que más preocupa actualmente en el sector, es el llamado RaaS, es decir “ransomware as a service”, donde los usuarios pueden adquirir un modelo de ransomware que a futuros pueden distribuir sobre cualquier empresa. Esto supone que los ataques de tipo ransomware ya no vengan exclusivamente derivados de los cibercriminales, sino que, cualquier usuario puede acceder a este tipo de técnicas y ser el que los propague. Esto podría ser una posible explicación al elevado aumento que existe de este tipo de ataques, y que no hace más que crecer desde hace unos años, convirtiéndose en un verdadero dolor de cabeza para los profesionales del campo de ciberseguridad y para las empresas que, desgraciadamente, se ven afectadas. 

Estas organizaciones no son grupos pequeños que actúen de forma maliciosa, sino que es una red muy compleja y extensa, ubicada geográficamente por todo el mundo, que tienen una capacidad de mantener el anonimato escondiéndose en los pasillos subterráneos que internet proporciona. Así, se encontrarían fuera de los buscadores convencionales que la mayoría de los usuarios utilizan, siendo invisibles para los usuarios comunes, pero siendo lo suficientemente visibles como para que cualquier interesado pueda encontrarles con relativa facilidad, una vez obtenidos unos conocimientos técnicos suficientes. 

La motivación principal para este fenómeno de “industrialización” es posible encontrarla en el lucro económico. Si algo ha cambiado en el movimiento es el interés creciente en obtener beneficios. Al principio, en décadas anteriores, el movimiento cibercriminal tenía otras motivaciones como podría ser el ‘hacktivismo’, la obtención de reconocimiento o incluso la investigación (y por qué no decirlo, también diversión) de las personas que hay detrás de estas actividades ilícitas. Sin embargo, cuando el fenómeno del ransomware comenzó a dar un lucro muy elevado, las motivaciones comenzaron a cambiar. 

El conocimiento actual que se tiene de estas organizaciones es reducido y se deriva de las pocas organizaciones que han sido descubiertas por los diferentes cuerpos policiales, como fue el caso de la banda que había detrás del ransomware “Cl0p”, detenida en junio de este año. Por lo tanto, todavía queda mucho camino por recorrer para entender el fenómeno de forma completa. 

Ainoa Guillén González, coordinadora del Área de ciberseguridad de Sec2Crime