¿Quién dijo que eran unos cuántos frikis? Combatir el ciberdelito hoy día requiere nuevas estrategias, apartadas de las técnicas policiales tradicionales. Lo asegura el informe The Internet Organised Crime Threat Assessment (iOCTA) 2014, de la Oficina Europea de Policía, más conocida como Europol, que analiza exhaustivamente el ascendente fenómeno de industrialización y comercialización como la gran tendencia de los delitos digitales. Un nuevo modelo de negocio que tiene nombre y hasta sigla: Crime-as-a-Service (CaaS), acorde con un tiempos en que el software [también el malicioso] se va trasmutando en servicio en el que se aplica la exitosa fórmula de pago por uso.
El documento iOCTA, elaborado por el Centro Europeo de Ciberinteligencia (EC3) de Europol, detalla el funcionamiento interno de la economía digital sumergida, que opera mediante foros clandestinos, marketplaces negros, el anonimato que proporciona la Darknet y las criptomonedas tan de actualidad. Se trata, advierte Europol, de una auténtica industria basada en servicios, que amplía la capacidad de ataque hasta personas y grupos sin necesidad de que tengan conocimientos técnicos específicos, y que bandas mafiosas [y estados] llevan tiempo utilizando. Llama la atención el informe sobre la profesionalización y las ´políticas de personal` en esta variante criminal.
Uno de los rasgos del estudio, en el que difiere de otros elaborados por empresas especializadas en ciberseguridad, es que adopta un claro sesgo policial. La ´pasma digital` llega a la conclusión de que el ciberdelito abre nuevas trincheras para una confrontación en la que, según se trasluce de la lectura, los jokers de todo el mundo parece que llevan ventaja.
En sólo una década, la ciberdelincuencia ha madurado desde la actuación de pequeños grupos de hacking y phreaking dedicados al ocio y a ganarse prestigio en su medio, hacia la constitución de una economía as-a-service cuyos procesos y conocimientos pueden ´monetizarse` y que merma las arcas legales en cantidades estimadas en 300.000 millones de dólares. El hecho de que el fraude online con tarjetas de crédito haya superado la cuantía de las operaciones legítimas con dinero de plástico, es una prueba elocuente del perjuicio económico.
Con más de 3.000 millones de internautas y 10.000 millones de dispositivos inteligentes conectados a Internet, los ciberdelincuentes se frotan las manos, por lo que Europol augura un futuro tan próspero para ellos como para los que venden Big Data, cloud computing o Internet de las Cosas.
Advierte Rob Wainwright, director de Europol, en el prefacio: «dados los altos niveles de acceso a Internet y la creciente dependencia de nuestras economías respecto de la red, hay motivos para preocuparse por estas amenazas a la seguridad y la prosperidad de Europa. Por naturaleza, el ciberdelito es transnacional, y si esto se combina con la sofisticación de los ataques, los problemas forenses para su atribución, así como el abuso de servicios legítimos, nos enfrentamos a desafíos desconocidos para los que la legislación no está preparada».
En contraste con el mundo offline, en el que ´los malos` necesitan estar físicamente en la escena del crimen, el ciberdelito no es presencial y no puede ser pillado in fraganti; ni siquiera tiene que viajar al país donde se van a sentir las consecuencias. Casi tiene trazas de omnipotencia, ya que puede atacar a un gran número de víctimas localizadas en distintas partes del globo, con un mínimo esfuerzo y escaso riesgo de ser detectado. Estos atributos, subraya Wainwright, van en aumento.
El crimen organizado ha encontrado un nuevo filón: puede disfrutar de un esquema empresarial con el que la Cosa Nostra hubiera hecho maravillas: le facilita la contratación en un mercado donde se vende casi de todo menos bienes tangibles: botnets, ataques DNS, desarrollo de malware a medida, robo on-demand de datos, identidades, historias clínicas, sicarios cibernéticos, etcétera. Si se tira del hilo, sugiere el estudio, puede que lleve a delitos mayores, como el narcotráfico, la venta de armas, productos farmacéuticos, documentos falsificados, lotes de tarjetas de crédito o herramientas de hacking explotables de inmediato.
El EC3 no ahorra adjetivos. Considera este modelo de negocio como «la opción ganadora», que es capaz de asegurar la innovación y sofisticación de las ´soluciones` que ofrece. Las barreras de entrada al lado oscuro se difuminan, al extremo de que un delincuente bisoño, sin conocimientos técnicos previos, puede aventurarse por esta senda. Lo único que necesita es saber cómo entrar en relación con un marketplace del malware y pinchar en el correspondiente carrito de la compra. Moraleja: cualquiera puede convertirse en ciberdelincuente, alcanza con ser el mejor postor.
Esta economía digital sumergida subyace en foros jerarquizados, que han madurado en procedimientos, oferta y seguridad operativa. Puede que se dediquen a un solo ramo del negocio (tarjetas de crédito, por ejemplo) o ser generalistas y suministrar todo lo que haga falta para cometer un delito digital. Europol tiene estudiado que dentro de los foros existe un estricto organigrama encargado de diseñar roles y responsabilidades, así como las respectivas políticas de actuación, niveles de participación y reglas a seguir contra los miembros problemáticos o ´indeseables`. Incluso la admisión suele requerir el aval de un veterano.
Estos foros tienen administradores, encargados de diseñar las estructuras de hosting, determinar el propósito general, su operativa y de establecer reglas de reclutamiento y de comportamiento. Cada subforo, si lo hubiera, está supervisado por uno o más moderadores, expertos en una materia concreta, que gestionan el contenido y las disputas que puedan surgir. Al fin, como la finalidad es ganar dinero, cada departamento dispone de un cierto número de comerciales, especializados por servicios y productos bajo supervisión del moderador. Objetivo final: mantener la reputación/satisfacción del cliente. Lo único que el pormenorizado informe no confirma es si hay temporada de rebajas.
El CaaS es un agregado complejo de modalidades que podrían tomarse a broma si no fueran algo tan grave. Europol se apropia de la sigla IaaS que permite a los proveedores maliciosos de hosting jugar un papel clave en el almacenamiento seguro de las herramientas de ataque. DaaS (data-as-a-service) ofrece lo más vital, los datos, mientras que HaaS (hacking-as-a-service) incluye cuentas de correo, de redes sociales y funciones más elaboradas.
Prosigue la lista de variantes. El papel de TaaS (translation-as-a-service) es la provisión de traducciones para que en cada país se utilizan las scripts correctas. Money Laundering as-a-service utiliza una combinación de soluciones offline («mulas de efectivo») y online como, por ejemplo, las transferencias interbancarias que disimulan el rastro del dinero blanqueado. Pay-per-install se llama un servicio muy popular entre los distribuidores de malware: el pago al proveedor se hace en función del número de descargas que consigue el cliente. Ahora viene la estrella que emergen en estos tiempos de profesionalización: Malware-as-a-service brinda soporte 24/7 de parcheado y actualización, que refinan el producto continuamente. De hecho, «MaaS se está convirtiendo en el componente esencial de la economía digital sumergida», asegura el informe policial.
Tradicionalmente, estos foros han residido dentro de la Deep Web, como se conoce a la porción de Internet no indexada por los motores de búsqueda. Sin embargo, han ganado terreno las redes anónimas como TOR, Freenet o Invisible Internet Project que configuran la ahora llamada Darknet. Al parecer, los ciberpolis han constatado que las actividades más sofisticadas siguen operando mayoritariamente en la Web profunda. Tal vez se deba a que en ella la seguridad es más fácil de controlar y porque la velocidad de conexión es más alta. «A pesar del uso creciente de Darknet, los foros más amenazantes operan aún en la Deep Web«, avisa Europol.
Es a través de esas mallas donde se instalan los marketplaces, mercados negros digitales en los que se cruzan oferta y demanda. En agosto de 2014 había al menos 39 de estos zocos opacos en operación.
La fase final de todo ciberdelito es poner el botín a buen recaudo, lo que quiere decir en circuitos legales en distintas jurisdicciones. El trasiego físico – a través de las llamadas ´mulas` – de grandes cantidades de dinero, sigue siendo una opción, aunque su uso disminuye frente a otros métodos más eficaces, como las transferencias a cuentas bancarias abiertas con documentación falsa, transacciones a través de redes como Western Union o Moneygram, el uso de apuestas online o, últimamente, las monedas virtuales Bitcoin, Darkcoin y otras.
Al cabo de la lectura, resulta que el informe de Europol es mucho más prolijo en el catálogo de formas y métodos delictivos que en la descripción del mejor modo de luchar contra el fenómeno. Apuesta, como era de suponer, por una intensa colaboración transnacional, la involucración de todas las partes afectadas y la actualización de las leyes para alcanzar una cooperación judicial eficaz. Advierte, a modo de colofón, que la existencia de «diferentes legislaciones e instrumentos europeos para detectar, atribuir e intercambiar información en relación a estos delitos, son causa de impedimentos, que afectan a las fuerzas del orden y a su cooperación necesaria con el sector privado». Aquí asoma la vieja dicotomía: seguridad o privacidad.
[informe de Lola Sánchez]