Muchos de los componentes necesarios para cometer un crimen cibernético se pueden comprar y vender online si sabes en qué parte de Internet debes buscar. Estos son los mercados más oscuros de la Web y les permiten a los cibercriminales monetizar los frutos de sus operaciones, que van desde la construcción de botnets hasta el robo de credenciales.

En la primera parte de esta actualización de noticias de cibercrimen listamos más de una docena de arrestos y otras acciones de las autoridades destinadas a detener la actividad cibercriminal. En esta segunda parte nos enfocaremos en algunos de los desmantelamientos que ocurrieron este año y su impacto potencial.

Abajo el envío masivo de malware

Una de las cosas que los criminales compran y venden en línea es la habilidad de distribuir malware usando spam. Esto permite que componentes maliciosos diseñados para robar credenciales o falsos antivirus, por ejemplo, se propaguen a sus anchas.

es común que la gente se refiera a cualquier actividad ilícita en Internet como algo que sucede en la Dark Web

Pero como ningún proveedor de servicio de Internet que se precie como tal permitirá que sus sistemas sean usados para operaciones de spam, ellos usan tus sistemas: los reclutan secretamente en botnets, redes de computadoras comprometidas que funcionan bajo sus órdenes.

Estos bots pueden ser laptops, computadoras de escritorio, teléfonos o servidores. La actividad de la botnet se controla a través de una forma de software conocida como C&C, o centro de Comando y Control.

Las botnets pueden usar decenas de miles de máquinas a la vez para diseminar spam. En años recientes, una de las más notorias fue Kelihos, a la cual los investigadores de ESET ya han descrito y analizado, junto a su antecesora Storm, en un paper titulado "Same botnet, same guys, new code" (disponible en inglés).

Bueno, sucede que en abril, la persona responsable de Kelihos, un programador ruso llamado Pyotr Levashov, fue arrestado mientras vacacionaba en España. Levashov ha estado en el radar de los investigadores de cibercrimen de Estados Unidos durante mucho tiempo; de hecho, en 2009 ya lo habían acusado de operar la botnet Storm.

Poco después del arresto, las autoridades se apuraron para interrumpir y desmantelar a Kelihos, bloqueando los dominios maliciosos asociados a ella para impedir futuras infecciones.

Si bien todavía hay algunos personajes en la sombra, que solían ser clientes que utilizaban los servicios de Kelihos, es probable que su demantelamiento reduzca los volúmenes globales de spam, por lo menos temporalmente. Además, una resolución rápida del caso Levashov y una sentencia firme (tiempo en prisión más confiscación de bienes) podría alentar a algunos spammers criminales a cambiarse a actividades más legítimas.

Terminología oscura

Para aquellos a quienes el lado oscuro de Internet les parece tierra desconocida, un mercado negro es un lugar donde se compran y venden bienes en línea, el cual no es fácilmente accesible para el público. El FBI usa los siguientes términos para describir este fenómeno.

la parte de la Deep Web que solo puede accederse con un software especial es conocida como  DarkNet, y es el paraíso del cibercrimen

Primero está la web superficial, que en inglés se llama Clear Web (en algunos sitios, Surface Net). Es la Internet que cononoces, aquella con la que estás familiarizado, en la que puedes navegar usando Google y Bing, y comprende todo desde sitios de noticias hasta redes sociales, streaming y comercio electrónico tradicional, como banca en línea y tiendas como Amazon o Mercado Libre.

Además de la Clear Web, hay un gran conjunto de actividades que se valen de Internet que no son fácilmente navegables ni accesibles sin software especial o credenciales apropiadas. Esta es la Deep Web e incluye ciertos sitios y foros exclusivos solo para miembros, que solo se utilizan para discutir y ejecutar actividades ilegales. Los mercados en la Deep Web son llamados mercados negros o dark markets.

A cierta parte de la Deep Web solo puede accederse con un software de red especial, como por ejemplo el navegador Tor. Esta parte de la Deep Web es conocida como la DarkNet y es el paraíso del cibercrimen. Hasta hace poco, aquí se podían encontrar dos de los dark markets más grandes, conocidos como AlphaBay y Hansa.

A pesar de los esfuerzos del FBI por instaurar estos términos, es común que la gente se refiera genéricamente a cualquier actividad ilícita en Internet como algo que sucede en la Dark Web (y, enfrentémoslo, estos términos evolucionan con el tiempo sin definiciones "oficiales").

Grandes problemas en los mercados más oscuros

En junio, un esfuerzo combinado de agencias encargadas de hacer cumplir la ley dieron de baja a AlphaBay y Hansa. ¿Qué estaban haciendo esos sitios que molestó a las autoridades? Les permitían a las personas involucrarse en el cibercrimen cuando trataban de comprar y vender bienes y servicios que son ilegales.

Por ejemplo, en muchos países y estados de los Estados Unidos, es ilegal que los ciudadanos sean dueños de armas de fuego completamente automáticas de gran capacidad, pero es posible comprarlas en mercados negros de la DarkNet, como puedes ver en la siguiente captura:

La compra y venta de código malicioso como ransomware también es ilegal en muchas jurisdicciones, pero aquí está disponible, como muestra la captura más abajo. Claramente, los dark markets que trafican estos y otros elementos, como pornografía infantil, sustancias prohibidas y servicios de ciberataques, propician el delito.

Este aspecto se ve potenciado por el hecho de que se usan criptomonedas como Bitcoin en las transacciones, lo que hace que las partes involucradas sean difíciles de rastrear. Así que no es ninguna sorpresa que las autoridades en muchos países estén dispuestas a dar de baja mercados negros y castigar a sus usuarios y operadores.

¿Tiempos difíciles para la DarkNet?

Quizá recuerdes que en 2013 se dio de baja a Silk Road, la antecesora en la DarkNet de AlphaBay y Hansa. Los titulares aparecieron cuando la corte sentenció a cadena perpetua a su creador y operador, Ross Ulbricht (una sentencia que fue recientemente confirmada por el Tribunal de Apelaciones de los Estados Unidos para el Segundo Circuito).

es poco probable que el cierre de AlphaBay y Hansa ponga fin a la venta de productos ilegales, pero podría disuadir a algunos aspirantes a cibercriminales

También puede que sepas que no tardaron en aparecer nuevas iteraciones de Silk Road para reemplazar a la que se había dado de baja. Esto se debió en parte al hecho de que un mercado negro típicamente reúne a varios vendedores; en otras palabras, es más un bazar que una tienda. Si un vendedor pierde su puesto en un mercado, ese puesto puede migrar rápidamente a otro mercado.

Así que es poco probable que el desmantelamiento de AlphaBay y Hansa ponga fin a la práctica de vender productos ilegales en Internet. Sin embargo, podría disuadir a algunos aspirantes a cibercriminales, particularmente si los responsables de estos dos mercados corren la misma suerte que Ross Ulbricht. Para aportar un giro trágico, el supuesto creador de AlphaBay, un canadiense que vive en Tailandia, parece haberse suicidado en prisión poco después de su arresto.

También puede que este desmantelamiento desaliente a algunos vendedores, dada la forma en que se ejecutó. Del estudio de los casos anteriores queda claro que los clientes migran rápidamente al segundo mejor mercado si todavía está abierto.

Así fue como lo hicieron las autoridades: la policía danesa tomó el control total de Hansa el 20 de junio. Sin embargo, lo dejaron abierto y monitorearon la actividad hasta que AlphaBay fue cerrado a principios de julio.

cuando cerraron AlphaBay el tráfico hacia Hansa aumentó en ocho veces su caudal

Según CNET, cuando cerraron AlphaBay, la policía vio que el tráfico hacia Hansa aumentó en ocho veces su caudal. Así lo describió Rob Wainwright, director de Europol: "Pudimos identificar e interrumpir la actividad criminal regular que ocurría en el mercado Hansa, pero también alcanzar a todos aquellos usuarios nuevos que se desplazaron desde AlphaBay buscando una nueva plataforma de intercambio para sus actividades criminales".

Al anunciar el cierre de AlphaBay, las autoridades estadounidenses no dejaron ninguna duda respecto a cuán en serio se toman la persecución de este tipo de actividad criminal: "La incautación y cierre del mercado criminal  AlphaBay y la acusación y detención de su fundador deben enviar un mensaje claro", dijo el fiscal federal de California Phillip A. Talbert.

"Si eliges involucrarte en la administración de un sitio como AlphaBay en la Dark Web, o decides usarla para participar en transacciones criminales, te perseguirán agencias de aplicación de la ley federal y las oficinas de fiscales federales de cada distrito y estado en la nación", sentenció.

¿Consecuencias oscuras?

Si lees lo que están diciendo en línea las personas familiares con mercados negros, parece que este desmantelamiento que mató dos pájaros de un tiro sacudió la "confianza" que inspiraban en esa comunidad. Cuando a las personas se les recomienda tomarse un descanso de las compras, abundan el miedo y la sospecha, lo cual era claramente uno de los objetivos del operativo policial, como podrás ver en la siguiente captura:

Será interesante ver qué impacto tienen los desmantelamientos en las campañas de malware. Sabemos que los dark markets dieron lugar a las operaciones de crimeware-as-a-service, especialmente al ransomware-as-a-service. ¿Habrá una suspensión temporal? ¿Decidirá una buena parte de los aspirantes a cibercriminales hacer algo más legítimo con su tiempo y recursos? ¿Moverán los criminales más comprometidos sus operaciones a otra parte de la Deep Web?

Tiendo a pensar que algunos van a seguir aprovechando la existencia de los mercados más oscuros. Un rasgo distintivo de los criminales es la creencia de que nunca serán capturados y, lamentablemente, solo un pequeño porcentaje de ciberdelincuentes lo son (aunque la lista de detenciones en la primera parte de este artículo es alentadora).

Desafortunadamente, si observas cuánto evolucionaron los dark markets en los últimos años, ofreciendo "soporte rápido y orientado al cliente", así como ayuda en múltiples lenguajes, como se ve en la captura anterior, da la impresión de que están respaldados por algunas personas muy resueltas.

La pregunta que queda sin responder es: ¿cuántos de ellos están dispuestos a enfrentarse a una cadena perpetua?