'Crime-as-a-Service': por qué ya todos podemos ser cibercriminales recurriendo a la subcontratación

Cuando pensamos en cibercriminales, con frecuencia en nuestra cabeza recurrimos al arquetipo ciberpunk del 'hacker', un experto total en redes y programación. Sin embargo, muchos de los que hacen un uso delictivo de la tecnología no son especialmente competentes en esas disciplinas, sino que se limitan a usar las herramientas que ponen a su disposición aquellos usuarios que sí cuentan con un alto nivel de habilidad.

Antes, la subcultura hacker tenía un nombre para esta clase de usuarios: 'lamers'. Ahora, en los bajos fondos de Internet, se les llama… clientes, pues ahora cualquiera que pague suficiente puede subcontratar un ciberataque.

Es lo que Europol bautizó en 2014 como "Crime-as-a-Service" (CaaS), una expresión basada en el paralelismo con servicios corporativos legítimos como Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) y Infraestructure-as-a-Service (IaaS).

Internet ha 'democratizado' muchos aspectos de nuestra vida, cada vez más accesibles a los no-expertos; y, con ello, también ha abierto nuevos mercados transnacionales:

"Se está desarrollando una industria criminal basada en servicios, en la que especialistas en la economía sumergida virtual desarrollan productos y servicios para uso de otros delincuentes".

 

Desde el 'copywriting' de las estafas por email a la personalización del ransomware

"Se están rebajando las barreras de entrada en la ciberdelincuencia, lo cual permite a aquellos que carecen de conocimientos técnicos -incluidos los grupos tradicionales de delincuencia organizada- aventurarse en la ciberdelincuencia mediante la compra de las habilidades y herramientas de las que carecen".

"En estos días, casi cualquier persona puede convertirse en un ciberdelincuente".

Así, por ejemplo, ante la demanda de estafadores interesados en los ataques de phising, los 'proveedores de servicios' de CaaS ofrecen todo lo necesario para llevar a cabo una campaña de phising exitosa

…desde listas de objetivos hasta plantillas de correo electrónico —de ahí que las risibles traducciones de hace unos años estén mejorando a ojos vista—, pasando por el acceso a redireccionadores de URLs o a servidores de correo comprometidos (que permitan no sólo borrar sus huellas más fácilmente, sino también aumentar la credibilidad de los correos enviados).

De este modo, los ciberataques requieren cada vez de menos esfuerzo para los criminales, y ven aumentar tanto su número como su efectividad. Por supuesto, los servicios del CaaS no se limitan a subcontratar ataques de phising: el suministro de datos de tarjetas, las intrusiones en servidores corporativos o la difusión de malware también son opciones de su particular 'catálogo'.

Este último caso, referenciado en algunos casos con la etiqueta de 'Malware as a Service', es otro próspero y pujante negocio, que ofrece desde la personalización de los mensajes de advertencia de secuestro en ransomware hasta la venta en bloque del acceso a miles de equipos para conformar botnets (y de la configuración de infraestructuras de 'mando y control' para gestionarlas).

Así, por ejemplo, los kits de 'Ransomware as a Service' pueden encontrarse en la Dark Web a partir de los 50 dólares, y permiten a los 'afiliados' recaudar el dinero de los rescates reenviando automática a los desarrolladores del ransomware su porcentaje del mismo.

 

MARCOS MERINO - geenbeta.com