El gran negocio del cibercrimen

El cibercrimen es un gran negocio. Y está creciendo en alcance e impacto. Lo que quizá no es tan obvio es que la ciberdelicuencia es cada vez mayor en su magnitud y complejidad, debido a dos factores clave: la consumerización del crimeware y la adopción de probados procesos de negocio para mejorar la rentabilidad de los sindicatos del crimen en todo el mundo.

Por Derek Manky, estratega global de seguridad en Fortinet

Hay una inquietante tendencia por parte del cibercrimen a tomar como modelo el mercado empresarial para expandir su negocio utilizando las jerarquías y los roles propios de la empresa. El equipo ejecutivo supervisa la estrategia y las operaciones que inician sus actividades delictivas. Los reclutadores son los encargados de identificar a la “infantería” que desarrollará los ataques en base a un acuerdo continuo o de carácter temporal (afiliados). Estos también crean y distribuyen el malware y desarrollan programas de recompensa para pagar a sus afiliados una vez que los ataques han alcanzado su objetivo.

Dada la popularización del cloud computing, las redes sociales, el BYOD y las comunicaciones móviles, los cibercriminales se encuentran con una situación única para acceder a organizaciones, bases de datos, escritorios y dispositivos móviles. Los avances en infraestructura y el enorme número de posibilidades para atacar están ofreciendo a los cibercriminales un conjunto de vectores de ataque para elegir.

Los impulsores de estas herramientas en continua evolución son grandes organizaciones de I+D que desarrollan código bajo petición para producir botnets privadas, falsos antivirus y sistemas de despliegue. A su vez, suelen organizar ataques premeditados y dirigidos, conocidas como Amenazas Avanzadas Persistentes (APTs).

Otro papel destacado en la expansión del cibercrimen lo juegan los proveedores de hosting. Los delincuentes necesitan un lugar para almacenar el contenido de estos ataques como el código de ataque, el malware y los datos robados. El diario Wall Street señalaba recientemente que los sindicatos del crimen se encuentran en pleno proceso de fusión para hacer crecer sus botnets a través del uso de las de otras organizaciones. Un ejemplo reciente es Zeus y SpyEye. Zeus surgió en 2007 y alcanzó su máximo apogeo en 2010 convirtiéndose en la herramienta del crimen bancario más prolífica. El crimeware creaba nuevas versiones del potente malware con capacidad para robar las credenciales bancarias, así como secuestrar y manipular las seguras sesiones de banca online. Su rival, la botnet conocida como SpyEye, emergió en 2010 para tomar el relevo a un negocio de éxito. La competencia dañó los beneficios de ambas organizaciones, por lo que a finales de 2010, los dos autores del código dejaron de apoyar Zeus para centrarse en la actividad de SpyEye.

Poniendo freno

Ante este sombrío panorama, ¿qué estrategias están invirtiendo esta tendencia? La experiencia nos demuestra las ventajas del trabajo en equipo.

Con la ayuda de Microsoft Digital Crime Unit, la botnet Kelihos, de la que se rumoreaba que contaba con más de 40.000 bots, fue eliminada en septiembre de 2011. Esta colaboración entre Microsoft y el Gobierno de EEUU permitió procesar a los operadores de Kelihos.

En enero de este año, la botnet de Europa del Este, Virut, se desmanteló con la ayuda de los equipos CERT locales y sus partners. Esta particular botnet ejercía el control sobre 900.000 direcciones IP únicas solo en Polonia y estaba considerada como la quinta amenaza más importante en 2012. Virut se dio a conocer en 2008 por su particular capacidad híbrida que le permitía propagarse a través de otras botnets. Es decir, utilizaba a la competencia para extenderse. Dado que el código Virut es complejo y podría embeberse en otras infecciones, su detección y eliminación fue difícil y llevó cinco años. Lamentablemente, estos éxitos son como una gota de agua en el mar. Kelihos, por ejemplo, se transformó al poco tiempo de haber sido bloqueada.

Pero la mejor estrategia para luchar contra el cibercrimen requiere de una participación global como un cuerpo internacional que pueda mediar en disputas y disponer de recursos para compartir información sobre las tendencias del cibercrimen. Sería deseable la creación de una central de información con canales establecidos para la compartición de información entre los sectores público y privado. El mejor ejemplo de ello fue FIRST (Forum of Incident Response and Security Teams), creado en 1990. A la hora de hacer cumplir una ley, la variedad de jurisdicciones y normativas complican el procesamiento de los cibercriminales. FIRST atajaba este problema a través de la colaboración. Consecuentemente, parece que la mejor manera de luchar contra ello es golpeándoles en su talón de Aquiles: perseguir el flujo de dinero.

Las organizaciones tienen que hacerse cargo de la situación para evitar proactivamente que el cibercrimen se extienda. Esto se plasma en una estrategia de seguridad por capas compuesta por elementos clave como prevención de intrusiones, control de aplicaciones y botnets, filtrado Web, antispam y antivirus. Las empresas deben participar en el inventariado regular de los activos digitales y la evaluación de los posibles errores de seguridad. Además, deben educar a los usuarios sobre las mejores prácticas de seguridad a la vez que implementar un plan de respuesta ante incidentes. Es imperativo que la empresa cuente con el asesoramiento de expertos en seguridad.

A través de los esfuerzos globales de colaboración y el compromiso de la empresa con la implementación de políticas de seguridad multicapa, la epidemia de los delitos cibernéticos podrá llegar a ser contenida.