Crime-as-a-service: ahora, cualquiera puede cometer ciberdelitos
Imagínate, solo por un minuto, que un día decides dejarlo todo atrás e incursionar en el mundo del crimen cibernético. Si estuviéramos a comienzos del siglo, tu trayectoria no sería fácil: primero, tendrías que dominar una gran cantidad de habilidades técnicas para poder identificar vulnerabilidades en sistemas online, diseñar exploits, programar malwares y crear un correo electrónico de phishing que fuera lo suficientemente convincente como para engañar a los usuarios de Internet desprevenidos.
Para el desasosiego constante de los ejecutivos de seguridad, entrar al mundo de las estafas virtuales se ha vuelto mucho más fácil en los últimos años. En estos días, un aspirante a ciberdelincuente no tiene que pasar por el proceso que describimos: solo tiene que acceder a un foro o comunidad dedicada al cibercrimen y alquilar un “kit listo” para atacar cualquier objetivo que desee. Puede sonar extraño, pero ya estamos vislumbrando lo que muchos llaman crime-as-a-service, o CaaS, que se traduce como crimen-como-servicio.
Cualquier parecido con el concepto de software-como-servicio (software-as-a-service o SaaS) no es mera coincidencia. Ahora, los grupos criminales altamente organizados han creado sindicatos completos y han desarrollado herramientas y plataformas que se pueden prestar a cualquiera que quiera atacar un objetivo o crear una campaña sin tener que desarrollar algo desde cero. Así, quienquiera puede utilizar scripts maliciosos, plantillas e infraestructura lista para usar y compartir parte de las ganancias con los “peces gordos” de una manera sencilla.
¿Quién quiere malware? ¡Puedes elegir!
De más está decir lo peligroso que es el aumento del CaaS para la comunidad de seguridad. Básicamente, el CaaS facilita, y mucho, el ingreso al mundo del ciberdelito, lo que hace que aumente rápidamente la cantidad de actores maliciosos que pueden causar estragos. Dentro de este sector en crecimiento, destaca el ransomware-como-servicio (ransomware-as-a-service o RaaS) — plataformas que venden virus capaces de secuestrar computadoras — que suelen ser los productos más rentables que encontrarás en las profundidades de la web.
Este mercado clandestino ya es tan popular que las pandillas organizadas literalmente publican anuncios en foros para reclutar nuevos miembros para que usen sus cepas a gusto, siempre y cuando las ganancias obtenidas con el rescate se transfieran debidamente a los “directores”. Podemos citar varios ransomware famosos que operan en este modelo, como Filadelfia, REvil, Circus Spider, Netwalker, etc. Lo mejor de todo —para los ciberdelincuentes, por supuesto— es que no se requiere ninguna inversión inicial.
Obviamente, los scripts de secuestro digital son un gran ejemplo de CaaS, pero no es el único. También es fácil encontrar correos electrónicos de phishing listos para usar, servidores de control y comando (C&C) disponibles para uso gratuito, páginas falsas de tiendas de comercio electrónico famosas e incluso botnets completas si el objetivo es organizar un ataque distribuido de denegación de servicio (DDoS). El CaaS puede considerarse uno de los principales culpables del reciente aumento de las actividades ciberdelictivas en el mundo.
Automatización de robos
A esta altura, es posible que ya estés pensando: “bueno, ¿qué ganan los desarrolladores de las herramientas y los mantenedores de la infraestructura con esto?”. Pues, muchas cosas. En primer lugar, dejan de actuar en la “primera línea” del delito cibernético, permaneciendo ocultos y asumiendo menos riesgos cuando llevan a cabo ataques cibernéticos. Pero, al mismo tiempo, siguen obteniendo ganancias de forma automatizada. En otras palabras, eso significa menos exposición y más dinero ingresando a la cuenta.
Resumiendo, el CaaS persigue el mismo objetivo que el ciberdelito en general: generar beneficios de la forma más sencilla, rápida y práctica posible. Es por esto que ahora es más importante que nunca invertir en buenos hábitos de ciberseguridad.