publicidad
  11/12/2015

Desde Rusia, con malware

La intersección entre ciberseguridad y geopolítica es evidente pero sibilina. Las grandes potencias se espían – incluso entre aliados – a la vez que se acusan mutuamente de espionaje. Los ciberataques serán todo lo globales que se quiera, pero las fronteras nacionales importan mucho. Las grandes empresas privadas de cibersguridad tienden a recibir una parte significativa de sus ingresos de los gobiernos de sus países de origen. Dave deWalt, CEO de FireEye, en reciente conversación con el autor de este blog, defendió la legitimidad de contratar con las «agencias gubernamentales de tres letras». De hecho, su empresa ha reclutado especialistas procedentes de esos organismos.

Israel es un vivero constante de empresas de seguridad, muchas de las cuales son adquiridas por compañías occidentales para incorporar la tecnología que han desarrollado. De China todo el mundo sospecha, pero se sabe poco o nada, y no ha de ser una excepción.

¿Y Rusia? La empresa de seguridad más conocida del país es Kaspersky Labs, que supuestamente ocupa la sexta plaza en un ranking del sector. La fundó en los años 90 Eugene Kaspersky, antiguo especialista en criptografía del ejército. Para unos ese antecedente es una ventaja, para otros un estigma. Hace siete u ocho años, entrevistado en Moscú por el autor para La Vanguardia, Kaspersky negó categóricamente que su nacionalidad fuera un obstáculo para operar en los países occidentales; más bien lo contrario, llegó a decir: «porque conozco muchas puertas traseras». Al poco tiempo, creó una sociedad instrumental con sede en Londres para su expansión internacional, y se asoció con un fondo de inversión norteamericano.

publicidad

En 2015, Eugene Kaspersky se ha visto envuelto en una polémica con la agencia Bloomberg, que difundió un texto de redacción capciosa, en el que se denuncia su asidua presencia en en «veladas de banya (sauna rusa)» junto con amigos que siguen activos como espías. Según el artículo, el antiguo CTO de la compañía, Nikolay Gebrennikov, fue despedido en 2014 tras sugerir a su jefe la conveniencia de dejar el rol ejecutivo a una persona no cuestionable.

Sugiere Bloomberg que Kaspersky ha puesto más celo en las tropelías de otros países, entre ellos China, que en las del propio. Casualmente (o no), la denuncia ha coincidido con el agravamiento de las relaciones entre el gobierno de Estados Unidos y el de Vladimir Putin. Otra prueba de que en esta materia hay turbiedad. En su irónica respuesta, Kaspersky eludió entrar al trapo.

Esta historia, de modesto fondo novelesco, adquiere actualidad gracias a un informe que acaba de publicar Kaspersky Labs en el que traza una suerte de radiografía de la ciberdelincuencia de habla rusa: cada vez más organizada, en condiciones favorables para cometer delitos a sus anchas y con una ronda de grupos que aparecen y desaparecen para volver a las andadas con relativa impunidad.

Según el informe, entre 2012 y 2015 las fuerzas de seguridad de varios países (Estados Unidos y la UE, pero también Rusia, Bielorrusia y Ucrania) detuvieron a más de 160 delincuentes de habla rusa que formaban parte de esos grupos delictivos.

La expresión «de habla rusa» se emplea en el informe para señalar que estas bandas de ciberdelincuentes están formadas por ciudadanos de la Federación Rusa y de varios países de la antigua Unión Soviética, «con predominio de Ucrania y los países bálticos». Los expertos de Kaspersky Labs han hecho un seguimiento durante años de estos grupos clandestinos y han publicado regularmente informaciones sobre sus andanzas, pero esta es la primera vez que generan un informe completo y sistemático.

Uno de los tipos más comunes de la ciberdelincuencia analizada era (y sigue siendo) el pago con tarjetas robadas. Las empresas que procesan transacciones con medios de pago electrónico están entre las víctimas más codiciadas. Las detenciones de los últimos años han identificado a los responsables de sustraer unos 790 millones de dólares, y de este monto el 65% afectaron a usuarios de fuera de las fronteras de la antigua URSS. Por supuesto, la estimación sólo incluye las pérdidas confirmadas por las fuerzas policiales, de modo que la cifra real ha de ser muy superior.

El número de detenciones de sospechosos de ciberdelincuencia financiera – el informe no analiza otro tipo de ataques – el mercado criminal sigue repleto: en los últimos tres años, las bandas habrían reclutado más de un millar de personas, incluyendo las que participan en tareas de infraestructura, escritura y distribución de código malicioso así como los que se ocupan de cobrar y transportar el dinero robado. La mayoría de los detenidos – dice el documento – sigue en la cárcel.

Kaspersky Labs atribuye el auge de esta modalidad delictiva a que las policías no cuentan con personal cualificado, y a la ausencia de reglas de cooperación internacional entre los organismos encargados de combatirla y los expertos en cada país. A pesar del reclutamiento masivo, el informe subraya que todo el tinglado es liderado por una veintena de personas, según se deduce de la información que comparten en foros clandestinos. Los investigadores de la empresa moscovita creen que hay al menos cinco grandes grupos activos.

Interesante de leer resulta la descripción del mercado criminal. Abarca un conjunto de «productos y servicios» relacionados con varias formas de ilegalidad en el ciberespacio. Se ofrecen a usuarios de las comunidades especializadas, la mayoría de ellas cerradas a extranjeros para evitar la infiltración policial. Los «productos y servicios» se compran y se venden en varias combinaciones posibles.

Dependiendo del tipo y magnitud de la empresa criminal, cada jefe de grupo tiene un «personal propio» al que paga un salario fijo, o trabaja como freelance remunerado por proyecto. En general, se puede distinguir dos tipos de agentes: los que son conscientes de la ilegalidad del trabajo que hacen, y los que (al menos al principio) no saben de qué se trata. En este segundo caso, son personas a cargo de funciones subsidiarias como la copia del interfaz de los sistemas bancarios y páginas web.

El documento incluye imágenes de una bolsa de trabajo, que indican la búsqueda de personas residentes en regiones remotas de Rusia y en países vecinos (principalmente Ucrania) donde hay escasas oportunidades de empleo para programadores.

Por regla general, la comisión de estos delitos lleva meses de preparación. Incluye la construcción de una infraestructura compleja, y la selección y desarrollo de software, así como un estudio a fondo de la organización: que se va a atacar, su funcionamiento interno y las vulnerabilidades de sus sistemas. Cada miembro del grupo tiene asignada su responsabilidad: programador de virus, desarrolladores web, distribuidores, hackers, administradores de sistemas, ´mulas`…

Tras exponer esta tipología, los redactores del informe señalan que las condiciones actuales para los cibercriminales de habla rusa son favorables: el riesgo de ser perseguido por las autoridades es bajo, y las recompensas muy altas. Como resultado, espera que el número de delitos y el perjuicio causado sea cada vez más alto. El mercado crece, aunque duela decirlo.

[informe de Arantxa Herranz]


Contacto Suscríbete RSS


Sobre el autor. Copyright © 2022 El dominio norbertogallego.com es propiedad y está administrado por Diandro SL. B85905537. Creative Commons