La Primera Cumbre Iberoamericana de Analistas nos dejó mucha información. RedUSERS estuvo en Cancún, México, y tuvo acceso mano a mano a los analistas especializados de Kaspersky Lab. En esta primera parte de la cobertura, analizaremos el ecosistema del delito en nuestra región. En la segunda entrega (estén atentos), daremos una mirada al corazón mismo de las organizaciones criminales en Brasil y las formas en que operan dentro y fuera de ese país.
En esta nota comprobaremos que el crimen cibernético o “ciberdelito” no solo está creciendo, sino que aún no se prevé un fin próximo ni soluciones definitivas para esta modalidad delictiva. De hecho, podríamos afirmar lo contrario; se espera un crecimiento importante tanto en cantidad de ataques, como en complejidad de los mismos. A continuación, los detalles en un informe exclusivo que RedUSERS trae desde México para sus lectores. La información presentada, está basada en la keynote realizada por Dmitry Bestuzhev, Director para América Latina del Equipo Global de Investigación y Análisis de Kaspersky Lab.
Entender la gravedad de la situación
Los crudos datos de la realidad van pintando el panorama: en 2009 la cantidad de ataques para la región podía contarse un poco por encima de los 50 mil. Todo el año 2010 nos dejó casi 2 millones de intentos. Solo en lo que va de 2011 (primeros 8 meses) ya superamos los 2,5 millones de ataques. Esto implica a esta altura del año un crecimiento del 490% con un cuatrimestre entero por contar.
Esta misma realidad se refleja en España y Portugal, con cifras parecidas y la misma tendencia alcista. Cerca de 300 mil casos para 2009, encima de 900 mil para 2010 y casi 850 mil para lo que va de 2011.
Vamos a salir por un momento de nuestro “patio” para comentar que también se observa un crecimiento en países como Mónaco (el segundo país más pequeño del mundo, solo por detrás del Vaticano). Las cifras son también contundentes, con un 670% de crecimiento para el mismo período. La superficie ni la ubicación de los países parecen ser determinantes a la hora de seleccionar objetivos.
Sumemos a esto que constantemente crecen los tutoriales online para creación “en pocos pasos” de software de ataques y engaños. En pocos minutos minutos se puede crear un ataque “indetectable”. Todos los días tenemos más gente dispuesta a abandonar su “trabajo de oficina” por esta nueva y rentable profesión delictiva.
En pocas palabras: cada día se generan 50 mil nuevos virus.
El ecosistema antiguo vs. el actual
Si hacemos un repaso por la forma que presentan los ataques, podemos observar una complejización de los delitos, mucho más rédito y algunos otros condimentos interesantes.
Antes, los ataques tenían un objetivo claro: el ataque directo. El hacker o criminal, casi podría decirse que interactuaba con la víctima, ya que con su equipo, accedía a la PC para robar datos sin “intermediarios”, de manera mucho más artesanal. El mismo hacker, luego, era quién utilizaba esos datos para acceder a las cuentas bancarias de su víctima o buscaba la forma de “monetizar” esa información. Un detalle no menor: todo esto era posible, porque no se habían desarrollado métodos de tracking sencillo del dinero robado.
El ecosistema actual, es mucho más complejo, peligroso, dinámico y rentable. Los actores son más numerosos y entre ellos podemos contar al menos con 6 tipos. En todos los casos, la principal motivación pasa por la alta rentabilidad de estas tareas, que en todos los casos excede ampliamente la remuneración obtenida por tareas más tradicionales y legales. Adicionalmente, en la región, las penas a los delitos cibernéticos o virtuales, son muy reducidas si se las compara con las que se aplican a otros actos de igual tenor pero llevados a cabo en el “mundo real”. Echemos un vistazo a los actores de la cadena delictiva virtual.
Los actores del ecosistema
Desarrollador de malware: generalmente, se trata de estudiantes inescrupulosos de carreras relacionadas con informática. Éstos programan el código malicioso y luego venden su producto al segundo actor de nuestra cadena delictiva. No se quieren “ensuciar las manos” haciendo lo que ellos consideran el trabajo sucio, y que implica perpetrar el ataque propiamente dicho. Publican avisos a través de FB dando detalles de las capacidades del botnet por ellos desarrollado.
Criminal cibernético: es el que se ensucia las manos. Puede ser alguien que se “cambió de bando” y ahora ofrece sus servicios en el mundo virtual aprovechando los conocimientos previamente obtenidos en tareas delictivas tradicionales. Puede ser un administrador de computadoras zombies y se encarga de recopilar datos. En Latinoamérica es común que el primer y segundo actor de la cadena, sean la misma persona, dado que aún no tenemos la sofisticación existente en otros países del mundo.
Revendedores: son los mayoristas en este gran negocio. Compran los datos en masa y tienen los medios para monetizarlos o comercializarlos con otros delincuentes. Pueden comprar un dato fiable por U$D 150. Los revendedores saben obtener el jugo de cada dato, consiguiendo hasta U$D 800 por dato. No existen demasiadas actividades tan rentables dentro del marco de la legalidad. Si a todo esto sumamos que las operaciones “estándar” involucran normalmente 5000 datos. Ustedes saquen las cuentas…
Venden datos de todos los países, incluso tan remotos como Afganistán o Azerbaijan. Entre los datos disponibles, encontramos vv, Fullz, Dumps, Paypal, Ebay y más.
Otros criminales: toda esta especificidad de tareas llegó a crear nichos para todos los moradores del inframundo virtual. Hoy existen verificadores de datos (garantes) que intervienen para asegurar que los datos de un listado son reales. Incluso existen listados de criminales cuyos datos son confiables. Una increíble biodiversidad de delincuentes dispuestos a aprovechar cada descuido.
Mulas de lavado de dinero: increíblemente, esta persona puede ser cualquier lector de esta nota que no haya actualizado su última versión de Flash en su navegador, por ejemplo. También podría serlo cualquier comprador de productos “truchos” (sin saber esta condición por supuesto) comprados en sitios de compra-venta por Internet utilizando datos de tarjetas robadas, incluso, en los sitios más conocidos. ¿Recuerdan los avisos de teletrabajo que ofrecen ingresos inverosímiles? Si, amigos desconfíen. Otro engaño para conseguir PCs que hagan el trabajo por ellos y paguen las posibles consecuencias penales que esa actividad podría acarrear.
“Las mulas”, afirma Bestuzhev, “son el oxígeno en esta cadena, si desaparece la mula, desaparece el delito”. A este eslabón es que apunta Kaspersky, protegiendo el acceso a este recurso vital para los delincuentes que es nuestra PC.
Víctimas: aquí no hay mucho que explicar. Personas físicas que poseen cuentas de home banking, Twitter, Facebook, Gmail, tarjetas de crédito, Mercado Libre. Todo sirve, cada dato suma al provecho final obtenido, medido en dólares, por supuesto.
Tendencias y conclusiones
El ciberdelito, sigue encontrando formas de reinventarse. Estamos ante la presencia del reciclado de tecnologías de malware obsoletas tanto en lenguajes de programación, como en técnicas de infección. Para volver a tener efectividad, los programadores recurren al arcón de los recuerdos y vuelven a utilizar lenguajes como Delphi o Cobol para lograr sus objetivos.
Podemos afirmar que los delincuentes reinciden y hacen crecer las estadísticas, básicamente, porque están teniendo éxito. Adicionalmente, los ataques son muy lucrativos.
El marco legal es algo complejo porque estamos ante delitos que no están correctamente tipificados o sobre los que no existen penas de cumplimiento efectivo. A los ojos del delincuente, existe impunidad para seguir con su trabajo.
Iberoamérica es un campo de batalla muy próspero para los ataques tanto internos como externos, cruces de artillería viral desde y hacia España y Portugal. Los europeos incluso recibiendo los golpes de los criminales de Europa de este. Esta alta competitividad genera que nuestros “talentos” locales estén madurando y optimizando sus técnicas, haciendo que sus ataques sean cada vez más eficientes.
- Para finalizar, les dejamos algunos pronósticos que Dmitri se atreve a vaticinar:
- En 5 años a lo sumo, se estarán viendo ataques “APT” locales: ataques a maquinaria y software estatal o militar.
- Los ataques orientados al robo de información financiera, serán más numerosos y sofisticados.
- El delito cibernético será llamado simplemente “delito”.
- Más cantidad de asociaciones entre delincuentes normales y virtuales para generar ataques diferentes y sorpresivos.
¿Cuál es la mejor arma para defenderse? Algo que no se mide en dólares, algo que todos tenemos (o deberíamos tener), y que no se programa ni está dentro de la PC: el sentido común. En palabras del Director para América Latina del Equipo Global de Investigación y Análisis de Kaspersky Lab: “Si es demasiado bueno para ser verdad, seguramente no sea verdad”. Esa es la primera barrera para la defensa… ahora ¿qué hacemos con el antivirus?
Por Diego Spaciuk, enviado especial