Se publican continuamente estudios sobre la economía del cibercrimen. Lo más frecuente es que se ocupen de los sospechosos habituales, China o Rusia. El equipo de investogación de amenazas de la compañía especializada TrendMicro ha preferido esta vez analizar el asunto desde otra óptica, tal como se manifiesta en Estados Unidos y Canadá. Bajo el título ‘North American Underground: The Glass Tank‘, su informe, elige poner de relieve tanto las similitudes como las diferencias culturales y de estrategias de negocio con otros fenómenos clandestinos. Internet no es (o no es sólo) un paraíso de la libertad de expresión, sino que alberga espacios oscuros en la llamada Deep Web o Internet profunda.
En contraste con la ciberdelincuencia de otras latitudes, la radicada en Norteamérica fomenta por igual la actividad de los principiantes y los profesionales experimentados; lo realmente distintivo es la amplitud de miras que resume la metáfora del título: glass tank. En otros países prevalece un modelo que circunscribe el acceso sólo a delincuentes de confianza, mientras que el estudiado por TrendMicro resulta ser más abierto. De hecho, escriben los autores, “tanto los proveedores como los usuarios hacen lo posible para facilitar a personas no expertas el acceso a la Deep Web y a sus mercados subterráneos».
Esta tolerancia es, en realidad, un mecanismo de creación de demanda de las mercancías comercializadas, que emula el funcionamiento de los mercados tradicionales de bienes y servicios legales. También sirve como rito iniciático para que un delincuente tradicional pueda convertirse fácilmente en cibernético.
El caso es que esta clandestinidad genera negocio multimillonario. Sus marketplaces tienen mecanismos que bien podrían envidiar unos retailers legales, obsesionados con su transformación digital. Son competitivos, con vendedores que comercializan productos muy similares, una práctica que empuja los precios a la baja, según han comprobado los analistas de TrendMicro. Una gran cantidad de operaciones del cibercrimen en Norteamérica no rehúye traficar en entornos abiertos. Por el contrario, muchas de sus ofertas pueden rastrearse en la Web supericial, y se publicitan con descaro en forosy en la jungla de YouTube. Que un fenómeno como este sea a la vez transparente, desafia la lógica, pero es el fruto de la tolerancia que durante años – y aún hoy – han gozado ciertos usos perversos de Internet. Si piratear música o películas es aceptable, ¿por qué no otros tráficos con marchamo alternativo?
Es llamativo que esto ocurra en Estados Unidos y Canadá, países miembros del órgano supranacional de inteligencia conocido como «los cinco ojos» [también lo son Reino Unido, Australia y Nueva Zelanda] que en su día denunciaron al fugitivo Edward Snowden. Cualquier persona con cierta habilidad puede encontrar páginas en las que se consuma el juego de oferta y demanda. Esto hace más visibles a los vendedores, y quizá por ello los sites tienen una vida más corta: aparecen, desaparecen y vuelven a asomar en algún otro lugar del ciberespacio.
Los autores de esta investigación, Kyle Wilhoit y Stephen Hilt, sostienen que la ciberdelincuencia en la región norteamericana ha madurado, pasando de las actividades relacionadas con las drogas o las armas – al fin y al cabo, tradicionales – a convertirse en un próspero y muy diverso zoco de descarga de datos y documentos falsos, entre otras «mercancías». Es un mercado que se caracteriza por la mejora continua de su oferta y por la facilidad de acceso y uso por parte de vendedores y compradores.
TrendMicro dedica buena parte de su informe a detallar los bienes y servicios que pueden encontrarse en la Deep Web, clasificándolos en tres grandes categorías: 1) crimeware, 2) vertederos de datos robados y documentos falsos y 3) tráfico de drogas y armas.
En la primera categoría, algunos foros norteamericanos venden exclusivamente herramientas relacionadas con el crimeware tales como servicios de cifrado o de hacking (keyloggers, spam, control de acceso y botnets), servicios de alojamiento blindados (Bullet Proof Hosting o BHPS) y de VPN/proxies, ataques de denegación de servicio (DDoS) y de web-stressing.
Hasta aquí, nada sorprendente. Los servicios de cifrado (cripting los llama TrendMicro) son hasta la fecha los más codiciados en el underground norteamericano. Los vendedores tienen que enviar su malware a los proveedores de servicios para que estos los crucen con las herramientas antimalware estándar disponibles. A continuación, cifran el malware tantas veces como sea necesario hasta que pueden ser detectados. Por ejemplo, el Xena RAT Builder puede adquirirse con dos niveles de soporte de servicio: plata y oro.
El informe subraya que los precios de los servicios crimeware han bajado con el tiempo, mientras que la variedad de la oferta aumentaba, lo que pone de manifiesto que este mercado es “ferozmente competitivo”: se ofrecen diferentes niveles de bienes y servicios y, con frecuencia, incluyen opciones de soporte técnico.
Los productos para crimeware pueden abarcar una amplia disparidad de precios. Hasta es posible comprar «paquetes» que incluyen una licencia de malware junto con el soporte y asistencia adicionales. En otras instancias, la mercancía se vende por piezas; un programa único de keylogger puede oscilar entre 1 y 4 dólares, un botnet entre 5 y 200 dólares, mientras que un ransomware se vende por menos de 10 dólares. ¿Cómo no van a ser rentables?
Los cibercriminales acuden a estos submundos porque quieren ´monetizar` los datos que han robado, y este es uno de los servicios más demandados: credenciales de tarjetas de crédito, clones o copias de tarjetas robadas. Los precios varían, dependiendo del país en que fue emitida (Estados Unidos, Canadá o una nación europea), del límite de crédito asociado y del anonimato del usuario. Un conjunto de 100 credenciales de tarjetas de crédito emitidas en Estados Unidos puede costar entre 19 y 22 dólares, mientras que una única tarjeta emitida en el mismo país, pero física, ronda los 875 dólares. Las tarjetas inteligentes EMV (Europay, MasterCard y Visa) son habitualmente vendidas en las redes norteamericanas con una tarifa que supera en 30 ó 40 dólares la de las tarjetas normales.
Los detalles de las tarjetas de crédito no son la única información que se comercializa en estos foros. Otra tendencia creciente es la venta de credenciales utilizadas en servicios online como Netflix y Spotify y que permiten a los compradores actuar como si fueran usuarios legítimos. Otro apartado son los documentos de identidad o pasaportes falsos y robados. También en este caso, las credenciales robadas son más populares que las falsificaciones: un pasaporte estadounidense falsificado, por ejemplo, se obtiene por 800 dólares. Las transacciones se realizan utilizando principalmente como intermediarios a Western Union y Money Web, con el bitcoin como moneda corriente.
Las drogas constituyen la parte más espectacular del cibercrimen norteamericano (62% del volumen de negocio) y la información sobre los productos y la forma de consumirlos está ampliamente disponible. De hecho, esta mercancía se remonta a los orígenes de estos marketplaces clandestinos.
Los individuos implicados en transacciones con drogas esperan mantener el anonimato. Por tanto, muchos los foros underground utilizan códigos endiablados para encubrir qué se busca y qué se vende, enmascarando el producto como comida, por ejemplo. El cannabis, sin embargo, se publicita con poco disimulo. Además de las drogas en sentido estricto, también se está incrementando el tráfico de recetas médicas falsificadas.
Como es fácil imaginar, en Estados Unidos otro gran apartado son las armas. Una amplia variedad de armamento letal y no letal se puede encontrar a la venta, con facilidades para eludir el control de antecedentes penales. A modo de ejemplo: un spray de pimienta alcanza los 8 dólares por recipiente, una nudillera los 18 dólares, una pistola Beretta 550 dólares (con silenciador sube a 1.500 dólares) y un fusil de asalto AK-47 (Kalashnikov) se cotiza en 1.500 dólares.
Suma y sigue. El asesinato y los servicios de alquiler de palizas o para causar daños materiales también se pueden encontrar, y en la Deep Web hay descripciones de los métodos más eficientes, sin que falten los servicios a prestar en el extranjero. Como es razonable, los precios reflean el riesgo potencial para los atacantes, la relevancia de la víctima, la existencia o no de escolta, etc. Sólo por curiosidad, sepa el lector que matar a una persona normal y corriente simulando un accidente cuesta unos 75.000 dólares, pero si se trata de un personaje público que va rodeado por hasta cinco escoltas (sic), los honorarios subiran hasta los 900.000 dólares. Una ganga..
[informe de Lola Sánchez]