Lejos queda la imagen casi romántica del hacker solitario colándose en los sistemas de una gran corporación a base de genio programador y noches sin dormir. El panorama del cibercrimen hoy es mucho más pragmático y se acerca al funcionamiento de un negocio cualquiera. Una de las últimas tendencias en el mundo del hampa digital es el cybercrime as a service —CaaS, siglas en inglés de cibercrimen como un servicio—. Su nombre deriva del término SaaS (software as a service), popular en el ámbito empresarial para indicar la prestación de un servicio online. Solo que en este caso el servicio se presta mediante un programa malicioso o datos robados.
Constantinos Patsakis, investigador en ciberseguridad en el Athena Research Center (Grecia), cuenta que gran parte de esta actividad se encuentra en la deep web (contenido no indexado por buscadores) y la dark web (la parte accesible solo a través de herramientas como Tor). “Puedes encontrar foros o servicios que venden credenciales, gente que vende servicios que tienen que ver con blanqueo de dinero o con la venta de malware. Por ejemplo, algunos venden el código fuente o el builder (facilita la creación de objetos complejos en programación) para crear un ransomware as a service”, apunta.
“La gente lo compra e infecta otros dispositivos”, destaca Patsakis, quien coordina el proyecto europeo SafeHorizon. Una iniciativa donde colabora personal del CSIC y de diferentes centros de investigación —tanto privados como públicos— en varios países de la UE. Su objetivo es aumentar la resiliencia de la región ante los ciberataques y presta una especial atención al CaaS. “Tratamos de entender el modus operandi de los cibercriminales, recoger datos y hacer correlaciones. Intentamos entender cómo funciona un malware con ingeniería inversa, qué es lo que hace y dónde envía los datos robados”, explica el investigador griego. La colaboración estrecha con las autoridades es clave. Así que en el proyecto participan fuerzas y cuerpos de seguridad como las policías de Finlandia, Polonia o Moldavia.
Hay todo un mercado, con sus productores (de software malicioso) y sus intermediarios. Existen plataformas de compra-venta y otros canales de distribución con una oferta variada. Se ofrecen malware, vulnerabilidades, acceso a redes y todo tipo de datos robados, como en un gran bazar del cibercrimen. El concepto de cibercrimen como un servicio abarca los más concretos MaaS (malware as a service) o RaaS (ransomware as a service).
“Se trata de trasponer el concepto de cualquier software popular, como Microsoft Office, a un software, que en lugar de edición de texto, ejecuta malware”, comenta Marc Almeida, investigador en ciberseguridad que trabaja en CIRMA, un proyecto asociado a SafeHorizon. “Si el motor técnico lo pueden adquirir, la parte más compleja, técnicamente hablando, la erradican de la ecuación. Su trabajo se reduce a ejecutar el engaño, para que alguien haga el famoso clic [en un enlace o para descargar un archivo], o comprar o adquirir el acceso a redes de empresas a través de vulnerabilidades”.
Este esquema se extiende a gran velocidad. Un informe anual de la compañía británica de ciberseguridad Darktrace estima que el MaaS ya es responsable del 57% de los ciberataques a empresas e instituciones, según recoge la publicación especializada Cyber Magazine. El salto en los últimos meses ha sido abrupto. A mediados de 2024 estos ataques representaban todavía un 40%.
“Les cuesta mucho menos de lo que les hubiera costado hacerlo desde cero”, insiste Almeida. “De la otra forma, tendrían que haber programado el software malicioso, encontrar las vulnerabilidades y esconderse, que esto también tienen que hacerlo para que no les pillen”. El desarrollo del malware suele recaer en grupos pequeños con conocimiento técnico, incluso grupos patrocinados por Estados. A veces son individuos que trabajan solos. Y la motivación mayoritaria es el lucro, aunque también existen móviles vinculados a la geoestrategia.
Estos programas maliciosos se distribuyen a través de mercados y foros en la dark web. Pero también mediante servicios tan conocidos como de Telegram o Discord. “A veces tienes vendedores independientes, como por ejemplo un pequeño hacker que ha creado una herramienta específica para robar una información concreta”, expone Patsakis. “También se da el caso de que alguien tiene acceso a datos confidenciales de una organización, por ejemplo, y sencillamente escribe en un foro ‘Hola chicos, tengo información de la empresa X’ y pide que los interesados le manden un mensaje o le envíen bitcoins a un monedero virtual para comprarla”.
Los datos robados son otro de los productos estrella en el ámbito del CaaS. Una entidad cibercriminal utiliza un programa para sustraer información que después vende a cualquiera que pague el precio. Convencen a una gran cantidad de usuarios para que se instalen un infostealer (un troyano), que monitoriza lo que escribes en el teclado o las direcciones que visitas. “Pueden concluir que has iniciado sesión en una determinada plataforma y has usado ciertas credenciales”, señala Patsakis.
Una vez cosechada la información, el grupo la envía a una infraestructura central propia. “A veces tienen personal que se dedica a evaluar la información robada. Esto quiere decir que si tienen datos de 10.000 usuarios, no todos estos datos de usuario tienen el mismo valor”, subraya el coordinador de SafeHorizon. “En algunos casos serán usuarios de perfil alto o cuentas de banco de perfil alto, que valen más. O pueden tener tarjetas de crédito que no se pueden usar”. El grupo cibercriminal se dedica a clasificar todos los datos robados como haría un distribuidor de fruta. Cada información tiene su valor de mercado.
Cibercriminales que operan como empresas
Los grupos que forman este ecosistema del cibercrimen buscan la eficiencia de su “negocio”. Para ello adoptan estrategias comerciales que estamos acostumbrados a ver en el mundo digital legítimo. Existe la venta directa de un malware, pero también modelos de suscripción, que permiten acceder a un catálogo de herramientas de ataque que se renueva periódicamente.
A veces el comprador puede modificar algunos parámetros del malware para ajustarlo a sus objetivos. Es la misma idea que cuando una empresa adapta el software de terceros a sus necesidades. Almeida observa que los vendedores tienen diferentes paquetes comerciales: “Es como una empresa. Si quieres puedes comprar solamente el ejecutable o también el servidor Command & control, desde donde se puede controlar cómo se ejecutan los programas maliciosos, incluso comprobar si hay que hacer actualizaciones. Es lo que se ve en el lado legítimo del software, pero trasladado al malware”.
¿Y quién puede comprar estos productos maliciosos derivados del CaaS? Almeida es tajante: “Potencialmente, cualquiera”, recalca el investigador en ciberseguridad. “Se simplifica la parte más farragosa, más técnica. Con lo cual, la curva de entrada en estas actividades tiende a cero. Antes este tipo de software llevaba un desarrollo, no era solamente darle al botoncito. Ahora eso lo eliminas de la ecuación”. Como ocurre con toda actividad económica que crece, el cibercrimen ha descubierto la división del trabajo.
