Ya pasó el tiempo en que era necesario estudiar y practicar por años para robar información o romper un sistema informático. Ahora, el mercado ha convertido al crimen cibernético en sólo una industria más.

Está pasando en distintas latitudes, por todo el globo, en este mismo instante: un estudiante universitario colapsa los sistemas computacionales de su institución para mover el día del examen, una adolescente que aún no llega a la mayoría de edad gana miles de dólares enviando spam a millones de computadores en su país. O podemos ir más profundo: el CEO de una empresa rival consigue instalar programas espías en todo su sistema, o deja inutilizables sus servidores mediante sofisticados víruses. Ninguna de estas personas es experta en informática y ya a pocos les hace falta serlo para realizar estos ataques. El cibercrimen se ha vuelto un mercado para el que sólo se necesita tener unos cuantos dólares.

"Ciberdelincuencia Expuesta", esa es la investigación que llevó a cabo Raj Samani, Vicepresidente y CTO para McAfee (EMEA), y que tiene como fin tipificar y ejemplificar algunas de las últimas y más peligrosas tendencias que esta nueva industria del delito está adoptando, y que están cambiando la forma que teníamos de ver el cibercrimen.

"Los cibercriminales de hoy no requieren necesariamente habilidades técnicas para hacer el trabajo. En algunas ocasiones nisiquiera necesitan tener un computador, todo lo que les hace falta es una tarjeta de crédito", dice Troels Oerting, director del Centro Europeo del Cibercrimen EC3, "Una tienda ofreciendo herramientas de cibercrimen y servicios provee a estos sujetos con un arsenal que o bien puede ser usado como parte de un ciberataque, o como una forma útil de tercerizar el proceso por completo".

Estos nuevos "supermercados" del cibercrimen tienen todo lo que un hacker podría haber soñado hace algunos años: millones de direcciones de correo, números de tarjetas de crédito, programas maliciosos ya programados, o incluso una armada de profesionales expertos en realizar todo un ataque por sí mismos.

Es por esto que el reporte bautiza este fenómeno como la 'Ciberdelincuencia como servicio', algo tan fácil como comprar un libro por internet. "Como en el caso de los servicios en la nube, este ecosistema de la ciberdelincuencia entrega una eficiencia mayor y una flexibilidad superior a los delincuentes cibernéticos, igual que en cualquier otro emprendimiento de “negocio”.", indica el reporte. "Este método se extiende mucho más allá de la contratación de personas para que realicen tareas específicas (como la programación de una vulnerabilidad de seguridad) e incluyen una amplia gama de productos y servicios disponibles a la venta o por alquiler".

Una mirada al catálogo

Esta nueva tendencia tiene mucho que ver con el explosivo crecimiento de los virus de todo tipo en los últimos años. Como hemos mencionado con anterioridad, los ciberdelincuentes pasaron de ser simples y solitarios expertos ha ser verdaderas agrupaciones de crimen organizado, incluyendo trato directo con la mafia tradicional. Y esto no sorprende si se considera que sólo en el 2011, en Rusia, esta verdadera industria informática generó más de US$12.500 millones, según un estudio de Group-B.

¿Qué está disponible en este nuevo 'mercado negro', entonces? Pues casi todo lo que pueda imaginarse, pero Raj Samani, el autor del informe, divide las amenazas en cuatro grandes grupos:

-Investigación como servicio: aquí se incluye el comercio de vulnerabilidades día-0, que son las que aún no han sido descubiertas por las grandes empresas y que podrían afectar fuertemente a millones de usuarios. Este servicio es tan común que incluso empresas de seguridad o de gobierno hacen uso de él para descubrir y corregir los errores que se encuentran en sus sistemas, claro que por montos muy elevados. En esta categoría también podemos encontrar listas con millones de correos electrónicos, comprados para enviar publicidad no deseada (spam).

-Crimeware como servicio: aquí podemos encontrar código malicioso de todo tipo y para cualquier necesidad. ¿Necesita incluir código espía en una aplicación que distribuirá?, ¿un troyano para ganar control de un equipo específico?, pues este es el lugar. Un ejemplo de este servicio se observó a principios de 2005, cuando se contrató a un programador para desarrollar el gusano Zotob, una variedad de malware que costó aproximadamente US$97.000 en la limpieza de los sistemas afectados.  

-Infraestructura de ciberdelincuencia: conocidas son las "redes de bots", miles de computadores que sin saberlo funcionan enviando spam a otros, o sirviendo como parte de gigantescos ataques a las más variadas empresas. Aquí caen también distintos servicios de almacenamiento de información, que como 'paraísos fiscales', alojan todo tipo de contenido malhabido y no escuchan peticiones de acceso. Finalmente, si no quiere darse la tarea de comprar u obtener los correos necesarios para realizar spam, esta categoría también es de ayuda, ya que un delincuente puede enviar 30.000.000 de mensajes en un ataque de un mes, sin contar con ningún tipo de equipo, sólo con una buena cantidad de dinero. 

 -Ataques informáticos como servicio: La última categoría es la que pone todo más simple. No hace falta ningún tipo de habilidad y casi no es necesario el tiempo. Aquí están los especialistas en descrifrar claves de correo electrónico, atacar en masa y hasta inutilizar a la organización que se especifique, o incluso obtener la información bancaria detallada de decenas de personas. 

Si desea obtener más información puede revisar el informe completo, que incluye detalles y cifras específicas sobre cómo opera esta modalidad del cibercrimen. El link aquí: http://www.mcafee.com/us/resources/white-papers/wp-cybercrime-exposed.pdf