Hoy en día, las estructuras cibercriminales son cada vez más complejas y la industria del cibercrimen es una de las que más rápido está creciendo. Según un estudio realizado Cybersecurity por Ventures, el cibercrimen le costará al mundo alrededor de 8 trillones de dólares durante el año 2023, un 25% más que en 2021.

Un grupo cibercriminal está conformado por al menos 10 personas, cada una de ellas con diferentes roles y tareas:

Los desarrolladores de malware se encargan de programar los códigos maliciosos, empaquetarlos y aplicar diferentes técnicas para lograr evadir la detección de los antivirus.

Los spammers se ocupan de la cadena de distribución, ya sea enviando correos, generando enlaces de descarga o anuncios falsos, etc.

El equipo de infraestructura brinda soporte para que los servidores y las redes que utiliza el grupo permanezcan anónimas y operativas.

Por último, el equipo financiero se ocupa del lavado de criptomonedas y de reclutar mulas: el último eslabón y, muchas veces, el más importante ya que permite que el dinero recaudado llegue, finalmente, a los delincuentes.

Según una investigación del FBI, las mulas son reclutadas mediante falsos avisos de trabajo que ofrecen puestos como agentes de pagos y transferencias, o prometen ganar dinero navegando en Internet. Es sumamente importante estar alerta y no creer en estos falsos anuncios ni aceptar transferencias de dinero de personas desconocidas.

Productos y servicios en la dark web

Las mayores ganancias de estos grupos organizados provienen de la venta de productos y servicios en la dark web, como son:

Servicios de Hacking

En sitios como Rent-A-Hacker o Hacker’s Bay se pueden contratar todo tipo de servicios. Los atacantes se promocionan destacando sus habilidades técnicas y conocimientos en diferentes lenguajes de programación. Ostentan tener acceso a exploits zero-day y todo tipo de artilugios para cometer un ataque informático: accesos ilegales a sitios web, o a organizaciones, accesos a teléfonos móviles, correos electrónicos o redes sociales.

Imagen 1: Sitio Rent-A-Hacker

Más allá de estos servicios definidos, la mayoría de los atacantes ofrecen trabajos personalizados, cuyo valor dependerá de la complejidad. Si el problema a resolver es urgente, se ofrece un servicio Premium que garantiza una respuesta en 30 minutos.

Venta de malware

En este sombrío mercado digital, los códigos maliciosos como virus, troyanos, ransomware y otros tipos de malware, son puestos a la venta. Estos códigos están diseñados para infiltrarse en sistemas informáticos, comprometer la privacidad y seguridad de los usuarios, robar información y causar daño a individuos, empresas o incluso entes gubernamentales.

La oferta de códigos maliciosos en la dark web es amplia y diversa, desde kits de exploit (programa que aprovecha vulnerabilidades o fallos de seguridad) hasta botnets (que permite al atacante controlar de manera remota el dispositivo infectado).

Uno de los aspectos fundamentales de la venta de malware en la dark web es que facilita a individuos con pocos conocimientos técnicos ingresar al mundo del cibercrimen y lanzar ataques sofisticados, por lo simple de las transacciones para adquirir estos códigos sin restricciones, y por el bajo costo. Además, los vendedores suelen ofrecer servicios de soporte y asesoran sobre las cómo evadir sistemas de seguridad y mantener el control sobre las infecciones. para maximizar el impacto de los ataques.

Imagen 2: Venta de un código malicioso de tipo RAT

Imagen 3: Venta de un código malicioso tipo botnet, para minar criptomonedas

Malware y phishing como servicio

En la dark web también podremos encontrar la venta de malware y phishing as-a-service (MaaS o PaaS) que permite alquilar servicios de malware o phishing de forma sencilla y rápida, y llevar a cabo ataques cibernéticos sin necesidad de tener conocimientos avanzados en programación o hacking.

Esta “contratación” de una banda de cibercriminales provee, además, el armado de la red, el agregado de técnicas de evasión, entre otras facilidades. Un porcentaje del dinero que obtiene el cibercriminal que contrata el servicio lo paga al grupo “propietario” del malware.

Un ejemplo con gran visibilidad en los últimos años es el ransomware como servicio, que afectó a organizaciones alrededor de todo el mundo bajo el nombre de un puñado de bandas que actúan con programas de “socios” y división de las ganancias.

Imagen 4: Anuncio del programa de afiliados de la banda de ransomware LockBit

También se pueden acceder a ofertas de ataques de denegación de servicios (DDos) llevados a cabo mediante grandes botnets distribuidas para dejar sin servicio un sitio web.

Imagen 5: Servicios de DDoS

Adicionalmente, se puede adquirir un paquete para el armado de una botnet propia, que incluye el panel de control, el builder y los plugins para control remoto, el manual de instrucciones, soporte y actualizaciones.

Imagen 6: Paquete para armado de botnet

Venta de Exploits

Existen también en el mercado bases de datos con todo tipo de exploits. Una de ellas es 0day.today que ofrece una colección de miles de kits para vulnerabilidades conocidas.

Imagen 7: Sitio 0day.today de venta de exploits

Existen exploits gratuitos que apuntan a vulnerabilidades antiguas, y de pago que se aprovechan de fallas descubiertas más recientemente; los precios están dentro del rango de 0.07 a 0.2 créditos (una equivalencia que tiene el sitio entre criptomonedas).

Imagen 8: Ejemplos de exploits a la venta en 0day.today

Si se buscan los codiciados exploits para vulnerabilidades zero-day (**) es necesario realizar un depósito de 1000 dólares para poder ingresar a esta área restringida; muchos en esta sección probablemente sean aún más caros.

Imagen 9: Zona restringida de venta de 0days

Venta de información robada

Además de códigos maliciosos, exploits y todo tipo de servicios para realizar ataques informáticos, los cibercriminales también comercializan cuentas e información de usuarios que han logrado robar. En la mayoría de los casos, se venden en paquetes de a cientos, salvo que se trate de credenciales cotizadas como, por ejemplo, las internas de alguna organización.

Por unos pocos dólares, el cibercriminal tiene la posibilidad de generar una identidad falsa, que incluye correo electrónico, contraseña, dirección, documento de identidad y hasta números de seguro social o empadronamiento.

Imagen 10: Venta de login interno de una corporación canadiense

Imagen 11: Venta de pasaportes para identidades falsas

Asimismo, existe la posibilidad de comprar cuentas creadas de manera masiva, para así poder controlarlas en masa y, por ejemplo, inflar los seguidores o difundir algún contenido propio del comprador en alguna plataforma en particular.

Imagen 12: Venta de un millón de cuentas recién creadas para la plataforma Wordpress

Sin embargo, esta no es la única información personal que se comercializa. También se venden cuentas de Amazon, Paypal y otros servicios de pago online por un valor aproximado del 10% del saldo disponible en la cuenta:

Imagen 13: Ventas de cuentas de Paypal

En otro sitio, C2Bit se comercializan las tarjetas de débito y crédito obtenidas a través de engaños como el Phishing. El valor va desde los 15 a los 40 dólares dependiendo del país de emisión, el tipo de tarjeta y el saldo disponible para su uso:

Imagen 14: Venta de tarjetas de crédito y débito

Servicios Financieros y lavado de criptodivisas

Todo negocio sucio debe ser blanqueado para que los cibercriminales puedan utilizar ese dinero en sus gastos cotidianos, por lo que los servicios de lavandería de Bitcoin, también llamados Bitcoin Mixers, son cada vez más populares.

El mecanismo es muy sencillo, dado que la cadena de bloques (blockchain) que almacena las transacciones en bitcoins es pública y rastreable, las lavanderías ofrecen realizar numerosas pequeñas transacciones entre el dinero “sucio” y dinero “limpio” de sus reservas. De esta manera se pierde la trazabilidad y continuidad de las transacciones, logrando mayor privacidad y dificultando el rastreo del dinero.

Imagen 15: Servicio de lavado de Bitcoins

En estos servicios, el usuario abona un 0.5% del monto a blanquear, más un pequeño extra por cada dirección de destino en la que se depositará el dinero limpio. Incluso ofrecen un servicio de demora en las transacciones mediante el agregado de mayor número de confirmaciones. De esta manera, a mayor retraso más dificultoso es rastrear la transacción.

Conclusión

El cibercrimen es hoy una industria millonaria en expansión y es algo que tanto empresas como usuarios finales deben tener en cuenta. La información de cualquier individuo tiene valor y es comercializada en el mercado negro, así como también la de grandes empresas.

Ya no es necesario tener conocimientos técnicos o ser un especialista en informática para realizar ataques y comprometer la seguridad de una organización. Por ejemplo, un empleado descontento puede, en cuestión de horas, tener acceso a los servicios de cibercriminales e infectar la red con códigos maliciosos o ataques de denegación de servicio.

Conocer la industria del cibercrimen y el modo en que se manejan estos grupos criminales permite ser más conscientes y mejorar las herramientas de protección.

Cualquiera puede ser víctima de un ataque informático o una infección de malware, por lo que contar con las medidas de seguridad básicas como un antivirus, doble factor de autenticación y los dispositivos actualizados es imprescindible.