El modelo de negocio del cibercrimen y su cadena de valor

El panorama de seguridad ha evolucionado a un ambiente donde gran parte de las amenazas informáticas se desarrollan con el propósito de generar ganancias económicas para sus creadores o financiadores. A partir de esta premisa, distintas modalidades de ataques o amenazas han proliferado y evolucionado para afectar a una mayor cantidad de usuarios u organizaciones.

los creadores de amenazas extienden su portafolio hacia un mercado que demanda este tipo de servicios

El “modelo de negocio” de la ciberdelincuencia se basa en la creación de una cadena de valor, ofreciendo incluso nuevas modalidades, por ejemplo el cibercrimen como servicio (cybercrime-as-a-service), es decir, la práctica de facilitar actividades ilegales a través de servicios. En otras palabras, cualquier persona podría adquirir todo lo necesario para organizar fraudes o ataques cibernéticos, independientemente de sus habilidades o conocimientos técnicos.

Servicios del cibercrimen al mejor postor

El modelo de venta de servicios representa la evolución natural de la oferta en un mercado que responde a una demanda en constante crecimiento. Esto significa que los desarrolladores de amenazas informáticas, además de obtener beneficios económicos a través de monetizar información robada o secuestrar datos, han comenzado a extender su portafolio, sus actividades y sus operaciones, hacia un mercado que demanda este tipo de servicios, ya sea para afectar empresas, industrias, usuarios, o bien, gobiernos.

  • Fraud as a Service (FaaS)

En el ámbito del cibercrimen, una de las industrias más afectadas por los fraudes es la banca. Una cantidad importante de amenazas de la era digital se ha desarrollado para generar pérdidas a los usuarios, principalmente del sistema de tarjetas de crédito y débito, aunque el fraude no se limita a únicamente a esta opción de transacciones.

Del mismo modo, la variedad de amenazas va desde el robo de tarjetas, el skimming y la Ingeniería Social hasta ataques de phishing, malware como PoS (Point of Sale) o troyanos bancarios, todos con el propósito de obtener información bancaria. En este contexto, el fraude como servicio se puede ofrecer desde la venta de herramientas para llevar a cabo skimming, hasta códigos maliciosos especialmente desarrollados para el robo de información financiera, tal como Zeus.

  • Malware as a Service (MaaS)

Por otro lado, desde algunos años los códigos maliciosos han comenzado a ser ofrecidos como un servicio, desarrollados para actividades epecíficas y de manera paralela con kits de explotación. Una vez que se infiltran en sistemas a partir de vulnerabilidades, pueden introducir malware para robar información y contraseñas, espiar las actividades de los usuarios y enviar spam, así como acceder y controlar de manera remota los equipos infectados a través de una infraestructura completa de Comando y Control (C&C).

Este mismo principio ha sido utilizado para comenzar a propagar ransomware, es decir, códigos maliciosos enfocados en secuestrar archivos o sistemas y solicitar un pago como rescate, llevando a un nuevo nivel el principio de la extorsión aplicada al ámbito digital. Kits de exploits o botnets como Betabot han comenzado a diversificar sus actividades maliciosas.

  • Ransomware as a Service (RaaS)

La idea principal del ransomware como servicio se centra en el hecho de que los desarrolladores de esta amenaza no son los encargados de propagarla, su función se limita al desarrollo de herramientas capaces de generar este tipo de malware de forma automática. De esta manera, otro grupo de personas se encarga de crearlo a partir de estas herramientas y propagarlo, independientemente de sus habilidades o conocimientos técnicos.

En este modelo de negocio, tanto los desarrolladores de las herramientas para la generación de ransomware como los encargados de esparcirlo obtienen ganancias económicas, en una relación “win-win”. Un ejemplo conocido de ransomware como servicio lo encontramos en Tox.

  • Attacks as a Service (AaaS)

En el mismo contexto, los ataques pueden ser ofrecidos como servicios. Por ejemplo, distintos ataques como denegaciones de servicio distribuidas (DDoS) pueden ser el resultado de un amplio número de equipos infectados pertenecientes a una botnet que son ofrecidos y alquilados para llevar a cabo este tipo de ataques. Además, pueden ser utilizados para propagar más códigos malicisos, enviar correos no deseados de manera masiva, o incluso ser utilizados para minar bitcoins.

El desarrollo del cibercrimen y los paradigmas de ciberseguridad

cibercrimen

Como se observa, se trata de todo un conjunto de amenazas informáticas que pueden interactuar para ofrecer nuevas posibilidades a la industria del cibercrimen, mismos que se encuentran disponibles para cualquier persona que cuente con los recursos suficientes para adquirirlos.

En el ámbito de la ciberseguridad, es importante recalcar que las nuevas condiciones que han venido evolucionando en los últimos años enfrentan a dos partes: los encargados de la protección de los activos más importantes en las organizaciones, frente a grupos especializados y organizados que invierten recursos como tiempo y dinero para desarrollar estos servicios de cibercrimen, en un mercado que los sigue requiriendo.

En este contexto, la gestión de la seguridad de la información ha pasado de pensar si la organización puede o no ser afectada, hacia un enfoque en el cual se da por hecho que la organización será atacada, solo es cuestión de tiempo para que eso suceda. Por ello, desde esta perspectiva las medidas de protección pueden resultar proactivas, es decir, idear escenarios realistas en los cuales la información u otros activos críticos pueden ser afectados, por lo que los procesos e información deben ser protegidos a través de un enfoque holístico.

Lo anterior también conlleva al desarrollo de estrategias de seguridad defensivas, ofensivas, reactivas y proactivas, para intentar evitar o remediar incidentes de seguridad, reduciendo los riesgos hasta un nivel aceptable, de acuerdo con la aversión o propensión al riesgo de cada organización. Además, el enfoque entiende la seguridad como un proceso transversal a las actividades esenciales del negocio y que debe ser mejorado de manera permanente.

Créditos imagen: ©Daniel Kramer/Flickr

Autor , ESET

Síguenos