Preparados y con medios: así operan las bandas organizadas del cibercrimen

El avance de la tecnología no solo hace más fácil la vida de los usuarios. También permite que los cibercriminales cuenten, cada vez, con más medios para los ataques que lanzan contra empresas y particulares. Así se extrae del último informe sobre ciberseguridad « Data Breach Investigations Report 2020» elaborado por la telefónica Verizon, una de las tecnológicas más importantes de Estados Unidos. Entre sus páginas se afirma que el cibercriminal tipo está muy lejos de esa imagen estereotipada del individuo autónomo sentado ante la pantalla del ordenador. Por el contrario, el 55 por ciento de los ataques cuentan con la firma de grupos amplios, organizados y preparados.

«Las bandas de cibercriminales cada vez son más, están mejor organizadas y cuentan con más medios. Casi nunca se da el caso del lobo solitario. Es algo raro. Sí que ha habido casos de ataques lanzados por particulares en los que se sospechaba que estaban dirigidos por solo dos o tres personales. Pero ya te digo que no es lo normal. Lo habitual es que detrás se encuentren organizaciones más grandes y con apoyo financiero», explica a ABC Jorge Hurtado, jefe de ventas de la empresa de ciberseguridad S21Sec, la única española que ha participado en la elaboración del informe.

El experto apunta, asimismo, que estos grupos tienden a estar muy estructurados. Cada integrante cuenta con un función predeterminada que debe cumplir. Desde el desarrollador de «software» hasta el intermediario, encargado de acordar el pago de los rescates con la víctima de los ataques, pasando por su propio departamento de «recursos humanos»: «Nosotros estamos haciendo seguimiento de algunos que nos consta que cuentan con más de cien integrantes. Tienen los roles muy establecidos. Tienen, incluso, responsables de reclutamiento».

Cibercrimen como servicio

La principal motivación de las bandas para lanzar un ataque, de acuerdo con el informe de Verizon, es el lucro económico. Y una de sus fuentes de ingresos más importantes se encuentra en el comercio con vulnerabilidades, «malware» y datos robados a usuarios y empresas en la «dark web».

«Un factor clave para entender la evolución de las bandas organizadas y de cómo se ha llegado a la situación actual es la existencia de un «underground» cibercriminal donde se venden e intercambian todo tipo de servicios relacionados. Este underground es una especie de mercado o zoco donde los cibercriminales contactan con otros especialistas en diferentes áreas y adquieren las partes de los ataques que ellos no pueden o no quieren desarrollar», explica a este medio David Sancho, experto en amenazas web y tecnologías emergentes en la empresa de ciberseguridad Trend Micro.

«Está muy de moda el alquiler de «ransomware» -virus capaz de secuestrar todos los datos que alberga un dispositivo-. Si tenemos Netflix o Spotify para ver cine o escuchar música, también existen plataformas que te permiten contratar ataques a la carta. No hace falta que seas experto para convertirte en una amenaza. Es muy sencillo. Con poca inversión, unas pocas decenas de euros o de dólares, puedes tener un gran éxito», explicaba a ABC recientemente Juan Santamaría, director general de la empresa de ciberseguridad española Panda Security.

Espionaje

Más allá del lucro económico, destaca el ciberespionaje. Una tendencia a la que las naciones estado, como segundo actor (15 por ciento de los casos) por detrás de las bandas organizadas, cada vez muestran más interés. «Mezclan el espionaje con la ciberdelincuencia. Cuando una organización encuentra información que interesa la pone a la venta y, obviamente, hay países -nos vienen a la cabeza siempre los mismos, que están al este de nosotros y son muy grandes- que financian ataques por razones de espionaje o políticas», expresa el jefe de ventas de S21sec.

Sancho, por su parte, apunta que este tipo de acciones suelen estar destinadas al robo de información de estados antagonistas: «Cuando un país realiza ciberataques suele ser por intereses estratégicos. O bien quieren espiar a países enemigos o individuos sospechosos o bien quieren obtener información de lo que sus enemigos están creando o en lo que están trabajando. Con este fin vemos que existen campañas procedentes de países que buscan recabar información de proyectos que otros países con los que compiten están llevando a cabo. Se podría decir que los proyectos de "malware" (virus informático) a nivel país son el equivalente moderno de las organizaciones nacionales de inteligencia que siguen existiendo, pero empleando código malicioso en lugar de espías tradicionales».

El «ransomware», la pesadilla de las empresas

No cabe duda de que WannaCry es uno de los software maliciosos que más daño y temor han causado entre las empresas en los últimos tiempos. Se trata de un virus de tipo «ransomware», lo que implica que cuenta con capacidad para secuestrar la información y los equipos de la víctima y, a continuación, pedir un rescate. Según el «Data Breach Investigation Reports 2020», los códigos maliciosos con estas funcionalidades son los segundos más empleados en las incidencias provocadas por virus, solo superados por los programas destinados específicamente al robo de contraseñas.

De acuerdo con otro estudio, en este caso elaborado por la firma de ciberseguidad Sophos, durante 2019 el 51 por ciento de las compañías sufrieron un ataque por «ransomware». Cifra que crece en el caso concreto de España hasta alcanzar el 53 por ciento. «Un ataque de "ransomware" tiene muchas implicaciones. Por un lado, económicas. El gasto de recuperar el control se encuentra en los 730.000 dólares de media a nivel mundial. Por lo que el impacto económico es grande. Luego, evidentemente, también supone problemas operacionales y reputacionales para la compañía que lo sufre», explicaba haces unas semanas a este medio Ricardo Mate, director general de Sophos Iberia.

Durante los últimos años, este tipo de virus no ha hecho más que evolucionar. Según apunta Hurtado, WannaCry, que surgió en 2016, comparado con las amenazas más actuales, parece casi una broma: «Es una tontería en comparación con lo que estamos encontrando ahora. En estos momentos, los atacantes pueden pasarse meses espiando una organización y buscando sus informaciones más valiosas. Cuando han mapeado completamente la infraestructura interna y, saben dónde duele más que te metan el virus, es cuando lanzan la segunda fase del ataque, que es el código con el que te pueden cifrar, incluso, el servidor en el que guardas las copias de seguridad».

Uno de los mejores ejemplos de la efectividad de este tipo de ataques lo encontramos el pasado noviembre. A principios de mes, empresas como Prisa Radio y Everis fueron infectadas por un «ransomware» conocido como Ryuk. Tan solo unas semanas después, la compañía de seguridad Prosegur sufrió un ataque del mismo tipo que la obligó a paralizar todos sus servicios. «Ryuk lleva activo desde 2018 y es muy sofisticado. Se usa en ataques muy específicos. Una vez compromete un equipo intenta trasladarse de forma lateral al resto de dispositivos que comparten un dominio. Utiliza ingeniería social para engañar al usuario y que lo descargue», explicaba entonces a este medio el «hacker» Deepak Daswani.

El «ransomware» también se ha dejado ver en los últimos meses. Y ha hecho especial ruido en lo se refiere a los ataques contra hospitales y empresas dedicadas al suministro de material sanitario. «Nosotros recientemente tuvimos que colaborar con una empresa que participaba en la cadena de suministro de los hospitales y habían sido víctimas de un ataque que les impedía funcionar por completo. La situación era dramática, porque si esa compañía dejaba de proporcionar servicio a los hospitales los centros tendrían un problema grave», expresa el jefe de ventas de S21sec.

Un futuro poco esperanzador

La pandemia de Covid-19 ha supuesto una de las sacudidas históricas más importantes de las últimas décadas. La normalidad se ha evaporado, y con su desaparición hemos adquirido hábitos nuevos. Como la generalización del teletrabajo y el uso de «apps» de videollamada. Las bandas de cibercriminales no desconocen esta situación. Llevan meses tratando de sacarle todo el partido posible a la «nueva normalidad». Así lo demuestra, por ejemplo, un reciente estudio de la empresa de ciberseguridad CheckPoint en el que se afirma que sus expertos detectaron 192.000 ciberataques por semana en los que se empleaba el coronavirus como cebo entre finales abril y principios mayo.

En un mundo hiperconectado, en el que el desarrollo cada vez requiere menos especialización, las bandas cuentan con los medios para prosperar. «El cibercrimen proporciona un gran beneficio a los cibercriminales y conlleva menos riesgo que el crimen físico, es lógico pensar que cada vez va a ser más interesante para aquellos con baja moral. Antes era necesario tener un mayor nivel técnico para diseñar ataques maliciosos por internet, pero la existencia de mercados ilegales permite que cualquier emprendedor pueda acometer este tipo de proyectos sin ninguna necesidad de conocimientos técnicos», explica el experto en amenazas web y tecnologías emergentes de Trend Micro.

Para combatir el cibercrimen, Sancho afirma que hace falta mayor colaboración entre los cuerpos de seguridad a nivel internacional: «Es necesario una mayor coordinación por parte de las entidades policiales de cada uno de los países, así como una armonización de los sistemas legales para conseguir que estos ataques sean delito independientemente de dónde se cometan y quién sea la víctima. Hoy en día existen muchos agujeros legales que permiten que estos criminales a menudo puedan evadir la acción de la justicia».