Según variedad de informes y estadísticas realizadas por profesionales del mundo de la seguridad, se puede afirmar que las tendencias hacktivistas han cambiado completamente a favor del cibercrimen organizado, con un definido y claro objetivo, GANAR DINERO, rentabilizando sus acciones. Dicha tendencia ha provocado un aumento exponencial de los códigos maliciosos que se han creado recientemente con fines económicos y financieros, llegando a profesionalizarse la escritura de código malicioso.
¿Qué vías o mecanismos se utilizan para obtener beneficios económicos?
Existe multitud de malware, con multitud de finalidades, pero a grandes rasgos los principales ataques utilizan las siguientes herramientas o métodos:
- Spam
- Botnets
- Ataques de ingeniería social masivos o focalizados a CEOs, CISOs, directores y gerentes
Las Botnets son un arma muy valiosa para las bandas organizadas y juegan un papel fundamental para controlar múltiples ordenadores “zombie” distribuidos alrededor del mundo de manera centralizada y sencilla. Claro ejemplo de ello, es la reciente desmantelación de la red Mariposa, cuya investigación reveló que aparentemente se controlaban unos de 13 millones de ordenadores alrededor del mundo con la finalidad de extraer datos personales, tarjetas de crédito y sus pertinentes claves de multitud de usuarios para luego robarles el dinero.
¿Cómo se obtiene beneficio económico?
La obtención de beneficios económicos dentro del negocio del malware puede venir por dos vías. Una es el beneficio directo a raíz de la venta del código malicioso. Generalmente es el desarrollador quien obtiene beneficio a costa de vender el código o permitir su usabilidad a bandas organizadas. Como ejemplo, consta el ya mencionado Caso Mariposa que aparentemente las personas que controlaban la botnet solo disponían de conocimientos informáticos suficientes para controlar los zombies a través de una interfaz HTTP.
Por otra parte, el beneficio indirecto a raíz de la venta de los datos robados. Esta vía es dónde, generalmente, se sitúala operativa de las bandas organizadas vendiendo números de tarjetas de crédito robadas, distribuyendo malware bancario (trojan bankers), distribuyendo spam o la realización de ataques distribuidos.
Si observamos la siguiente figura, podemos ver una representación más o menos estándar de los perfiles que intervienen en un crimen organizado:
La cadena se inicia en la Figura 1, dónde una banda de organizada podría solicitar el desarrollo de malware o incluso el alquiler de la infraestructura, generalmente una botnet, a desarrolladores “profesionalizados” del mercado del malware. Una vez se ha obtenido el malware, éste es distribuido a los usuarios “víctima” (Figura 3) mediante mensajes de spam, botnets o bien infectando páginas web.
La banda organizada, generalmente, no suele robar directamente el dinero de los usuarios, sino que, como se ha mencionado para el Caso Mariposa, roban datos personales como tarjetas de crédito, datos bancarios y, en general, otro tipo de información susceptible de obtener beneficios económicos. Dicha información robada, se vende en el mercado del malware a otras bandas organizadas (Figura 4), dificultando, y en muchos casos, evitando que se les pueda seguir el rastro.
Sin embargo, tampoco los que compran los datos bancarios robados son los que substraen el dinero a las víctimas, ya que éstos suelen contratar, bajo el pretexto de ofertas de trabajo desde casa, a los conocidos muleros (Figura 5) que actuarán como intermediarios dificultando de ésta manera que también se les pueda seguir el rastro.
De éste modo, el dinero robado siempre se transmitirá a cuentas de muleros, quedándose los mismos con un porcentaje de la cantidad robada. El resto del montante se suele transferir a través de envío de dinero anónimo o bien mediante un sistema de pago.
De ésta manera, todos salen beneficiados excepto las víctimas afectadas y los propios muleros en el caso de que se iniciara una investigación policial (Figura 6).
¿Cuáles son los métodos típicos de infección?
La infección de las víctimas suele producirse mediante ataques de ingeniería social masivos o focalizados utilizando redes sociales, P2P y mensajería instantánea combinados con vulnerabilidades típicas de software cliente como puede ser Internet Explorer, Firefox, Adobe PDF Reader, Office o incluso del mismo sistema operativo.
En general se coacciona a la víctima a ejecutar ficheros que contienen código malicioso que explota vulnerabilidades de la víctima. A menudo, también se les suele redirigir hacia páginas web infectadas mediante iframes maliciosos que ejecutan código en la víctima inadvertidamente.
Sin embargo, hay malware que no recurre a la ingeniería social para infectar máquinas y autoprogarse, sino que recurre directamente a la explotación de vulnerabilidades conocidas como SQL injection, Cross Site Scripting almacenado, explotación de vulnerabilidades de sistema, etc.
Como por ejemplo, supongamos un gusano que desea auto propagarse y lo realiza mediante búsqueda de sites vulnerables a SQL injection, permitiendo de ésta manera modificar los datos de la base de datos, y por lo tanto, inyectando código malicioso que será servido a todos los usuarios lícitos de la web que naveguen a través de ella.
Como conclusión, reafirmamos que “Mucho han cambiado las cosas desde las épocas del inicio del Hacktivismo” llegándose al extremo de la profesionalización de la escritura de código malicioso e incluso a la venta del mismo a bandas organizadas con el objetivo lucrarse atacando no solo a Organizaciones, sino a usuarios domésticos.
Sin lugar a dudas, queda un largo y difícil camino para protegerse contra el cibercrimen.