De ciberdelincuentes a empresarios

Lo que empezó siendo poco más que un juego, el robo de calderilla a la compañía de telefónica, se ha convertido en un negocio que supera, en ingresos, al de la droga, que no deja de crecer, y que se ha profesionalizado. Hablamos del cibercrimen, que ha convertido los datos y la información en moneda de cambio. En un negocio rentable.

Este reportaje aparece publicado en el número de noviembre de la revista IT Digital Security, cuyo tema de portada se centró en Next Generation endpoint Security. Puedes acceder al PDF desde este enlace.

También puedes leer... La nueva Mafia El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

La evolución del cibercrimen está muy ligada a la propia evolución de internet. A más capacidad de las redes y de los dispositivos, mayores los ataques; cuanta más gente y dispositivos conectados haya, más objetivos. Pura matemática exponencial.

La primera gran oleada del cibercrimen se produjo en los 80, con la proliferación del correo electrónico. La siguiente, en los años 90, coincidió con la evolución de los navegadores; no sólo había muchas opciones, sino muchas vulnerabilidades y los virus se expandían rápidamente. Al principio del 2000 se añadieron a la ecuación las redes sociales, o miles de millones de usuarios exponiendo información personal que los ciberdelincuentes supieron utilizar para realizar robos de identidad. Ahora el cibercrimen es una industria que funciona y genera cientos de miles de millones de dólares cada año.

Historia del cibercrimen

Cuando se habla de cibercrimen y ciberdelincuentes, es casi imposible saber cuándo se produjo el primer ciberataque, el primera atentado contra internet y sus sistemas. Pero sí que hay una serie de hitos que han marcado la historia negra de Internet, hechos que marcaron un antes y un después.

Para muchos John Draperg es el primer hacker. A primeros de los años 70 descubrió la manera de estafar a la compañía eléctrica. Sus investigaciones le llevaron a construir una caja que reproducía un silbato que permitía hacer llamadas de larga distancia gratuitas. Publicó la información sobre cómo hacerlo en Internet.

No había acabado la década de los 70 cuando apareció el primer tablón de anuncios electrónico online, convirtiéndose en un método preferido de comunicación entre usuarios de internet. Este sistema permitió el libre, y rápido, intercambio de conocimientos, incluyendo consejos y trucos para hackear ordenadores.

La primera persona convicta por delitos de cibercrimen fue, a primeros de los 80, Ian Murphy, más conocido como Captain Zap. Junto con tres amigos, Murphy hackeó los sistemas de la compañía telefónica AT&T para modificar la hora del reloj que mide los tramos de facturación.  De forma que los clientes que llamaron al mediodía se beneficiaron de tarifas reducidas, mientras que a los que esperaron a la medianoche para telefonear a sus parientes lejanos, se les tarificó por hora punta.

El primer virus informático que salió de los laboratorios y tuvo una expansión real fue Elk Cloner. Fue escrito por Rich Skrenta, un estudiante de 15 años, para los Apple II en 1982 y se extendía a través de los floppy disk.

En 1983 se estrena la película Juegos de Guerra, popularizando la figura del hacker. En la película un adolescente hackea el sistema informático del gobierno a través de una puerta trasera hasta casi provocar la tercera guerra mundial.

En 1988 Robert T. Morris, hijo de un científico de Nacional Security Agency, creó un gusano capaz de replicarse y auto enviarse para comprobar la extensión de internet. Infravaloró a la criatura, que fue capaz de infectar a más de 600.000 equipos. Fue juzgado y condenado en enero de 1990 a pagar una multa de 10.000 dólares, cumplir 400 horas de servicio comunitario y tres años de libertad vigilada. Sólo se libró de la cárcel porque el juez consideró que no había “intención de fraude ni engaño” en su ‘modus operandi’.   

Aunque el ransomware esté ahora más de moda que nunca, fue en 1989 cuando se produjo el primer caso a gran escalad de ransomware. El virus llegó a través de un cuestionario sobre el virus del SIDA y, una vez descargado, mantenía datos informáticos secuestrados, pidiendo un rescate de 500 dólares. En la misma fecha se arresta a un grupo por robar datos del gobierno de los Estados Unidos y del sector privado y vendérselos a la KGB.

Las actividades de Masters of Deception y Legion of Doom, fundados respectivamente Acid Phreak (MoD) y Lex Luthor (LoD), a finales de los 80 llevaron a hablar de las Guerras de Hackers. Ambos grupos andaban a la gresca, bloqueando activamente las conexiones del otro, hackeando los ordenadores y robando datos. Parece que la lucha se inició en uno de esos tablones de anuncios electrónico online que hemos mencionado, un Bulletin Board System (BBS), donde se reunían miembros de ambos grupos.

Sus constantes gamberradas y ciberataques acabaron con la Operación Sundevil, una gran redada efectuada los días 7 y 8 de mayo de 1990 en diferentes ciudades de Estados Unidos por más de 150 agentes del Servicio Secreto y policía local contra el hacking al sistema telefónico y tráfico de tarjetas de crédito robadas (dos de las principales actividades de estos grupos de hackers). El resultado de la operación fue de tres detenidos, 27 órdenes de búsqueda, además de 42 ordenadores y más de 23.000 floppy disk; pero sobre todo fue el gran mensaje que se envió a la comunidad de hackers: No sois impunes.

A Kevin Lee Poulson fue al primer hacker condenado al que se le prohibió el uso de Internet en su sentencia. Se hizo famoso por hackear las líneas telefónicas de Los Angeles y de la radio KIIS-FM, para asegurarse que él sería la persona que tras una llamada ganara el premio de un Porsche. Tras ser detenido fue declarado culpable de los delitos de escuchas ilegales, espionaje electrónico, fraude, blanqueo de dinero y obstrucción a la justicia, y condenado a cinco años de cárcel.

El lanzamiento de la World Wide Web en 1994 permitió a los hackers crear sus propias páginas web donde compartir conocimiento. Precisamente fue el acceso a ese tipo de información lo que le sirvió a un estudiante inglés para hackear el programa nuclear de Corea, la NASA y otras agencias de Estados Unidos utilizando un Commodore Amiga.

Un año después, en 1995, aparece el primer virus macro, un tipo de virus escrito en lenguaje informático y embebido en las aplicaciones. Al ejecutarse cada vez que se abre una aplicación, es fácil para los hackers extender su creación. Los virus macro se siguen utilizando.

En 1997 un informe de FBI dejaba claro el alcance del cibercrimen al asegurar que el 85% de las empresas de Estados Unidos habían sido hackedas, y que la mayoría ni siquiera lo sabían. De hecho, ese mismo año el Chaos Computer Club hackeó el software Quicken, siendo capaz de realizar transferencias financieras sin que los bancos o sus clientes se dieran cuenta.

Durante el último año de la década de los 90 se produjo la que ha sido una de las mayores infecciones informáticas de la historia. Su protagonista fue Melissa, un virus macro desarrollado con la intención de utilizar cuentas de email para enviar campañas masivas de email. Los daños ascendieron a más de 80 millones de dólares.

A partir del siglo XXI el número y tipo de ataques online crecieron exponencialmente, los ataques de denegación de servicio distribuido alcanzan ya 1TBps y a empresas de todos los tamaños, con los mayores recursos han sido víctimas de ataques que han dejado expuesta la información de miles de millones de usuarios; hablamos de AOL, de Yahoo!, de Sony...

Los hackers han pasado de ser adolescentes que probaban sus habilidades a ciberdelincuentes con horarios y vacaciones, a empresarios que contratan talento e invierten en herramientas y objetivos.

Un negocio bien montado

Se calcula que detrás del 80% de los ciberataques hay una organización cibercriminal, una empresa que funciona como cualquier otra, con sus jerarquías, departamentos y horarios. Parecería, por tanto, que fuera sencilla su detección y detención. Sin embargo, el negocio está muy bien montado.

En primer lugar, los ciberdelincuentes se esconden detrás de un ordenador y han aprendido a hacer uso de las técnicas de hardware y software necesarias capaces de enmascarar sus actividades. Igual de importante es que si se quiera hacer algo ilegal, no se tiene que ser un experto, tan sólo hay que saber lo que se quiere y dónde encontrarlo.

Ahí es donde entra la llamada Deep Web, o Dark Web, para algunos el Deep Dark Web, donde las actividades ilegales se ofrecen al mejor postor. Son sitios difíciles de encontrar, a menudo sólo para socios y donde se puede comprar un malware, o contratar un ataque de denegación de servicio. En esa Deep Web el malware-as-a-service está a la orden del día, igual que el anonimato.

Se calcula que en 2016 el cibercrimen costó a la economía mundial 450.000 millones de dólares y que se robaron unos 2.000 millones de registros con información personal. Es una epidemia que se extiende y no es probable que vaya a decaer. De hecho, hay quien ya ha realizado sus cálculos y prevé que para 2019 el negocio del cibercrimen tenga unos costes de hasta 2.100 billones de dólares, y de 6.000 billones para 2021.

Quién es quién

En este mundo del cibercrimen organizado cada uno juega su papel. Se trata de una economía integrada por especialistas, cada uno de los cuales se ha focalizado en una tarea. Están los que escriben los virus y quienes infectan los ordenadores, los que crean redes de botnets con esos ordenadores infectados y los que son capaces de monetizar los datos robados.

Por un lado están los llamados Kinping, que son las personas que buscan especialistas para llevar a cabo sus planes. Estos Kinpings tienen en su equipo administradores encargados de movilizar la fuerza laboral, pagar los contratistas y hacer el trabajo sucio relacionado con la tare de convertir los datos robados en dinero.

Existen también los escritores de exploits kits, que son herramientas que permiten explotar vulnerabilidades de forma automática en el lado del cliente y que cualquier usuario podría utilizar. Quizá el mercado de los exploits kits ya no es el que era, pero estos kits siguen siendo capaces de generar un gran impacto.

Los llamados Pastores de Bots son los especialistas capaces de crear botnets, o redes de bots. Puede utilizar un kit de exploit o escribir su propio código para infectar máquinas que añadir a esa red de máquinas zombies que después se pueden utilizar dentro de un ataque de denegación de servicio o para lanzar campañas de spam.

También está el Cazador de Vulnerabilidades. Bucea en Internet y busca en sites de banca o comercio electrónico fundamentalmente en busca de fallos que pueda explotar para adentrarse en los sistemas y robar información, productos o dinero.

Los clonadores de tarjetas son los expertos en convertir la información robada sobre una tarjeta de crédito en una tarjeta bancaria falsa que se pude utilizar en un cajero o un terminal para robar dinero o hacer compras. Dentro de este grupo están los llamados Cashers, que son los que se dedican a coger las tarjetas robadas para sacar dinero de los cajeros.

Las llamadas mulas suelen ser usuarios poco precavidos a los que se les contacta para que abran cuentas bancarias y muevan el dinero robado para blanquearlo.