Las redes de cibercriminales tienen gerente, márketing y hasta atención al usuario

La figura del ciberdelincuente "como un lobo solitario con una capucha cometiendo actos delictivos quedó atrás", sentencia Julio Vargas, subcomisario del Cibercrimen Metropolitano de la PDI.
Ahora son verdaderas organizaciones criminales las que realizan los ataques. Tienen una sofisticada estructura de operaciones y los mandamases no se involucran en los ataques: tienen a ejércitos de personas haciéndolo.
"El volumen de delitos que cometen los llevó a eso: a ser verdaderas empresas criminales, con sujetos que cumplen distintas funciones, incluso contratan a contadores y abogados", dice Vargas.
Concuerda Juan Carlos Beltrán, chief technology officer del Centro de Excelencia de Ciberseguridad GTD. "Es una tendencia global que se ha intensificado en América Latina. Los grupos cibercriminales operan con estructuras bien organizadas, similares a empresas, con roles definidos como operadores técnicos, especialistas en márketing y atención al cliente. Esta profesionalización ha hecho que el crimen digital sea más eficiente y difícil de detectar".
"Han logrado escalar lo que podríamos llamar su 'modelo de negocio', estableciendo organizaciones complejas", dice Rodolfo Castro, gerente de Ingeniería para Latinoamérica en Sophos.
De hecho, dice Castro, una tendencia creciente es el ransomware as a service (RaaS, o ransomware como un servicio). Se trata de una técnica en que los ciberdelincuentes infectan un computador o una red de ellos y encriptan la información. Luego, cobran un rescate cuyo monto depende del tamaño de la organización y cuánto afecta el ataque a sus operaciones normales.
Castro explica que en el RaaS una organización crea una herramienta para realizar la infección y luego la encriptación de los datos, pero son otras personas (los afiliados) las que las usan pagando una especie de suscripción.
Las organizaciones cibercriminales "ofrecen a sus afiliados paquetes de software listos para usar, y especialmente diseñados para desplegar un ataque de ransomware . Esto permite a ciberdelincuentes, sin los suficientes conocimientos técnicos, lanzar ataques de forma rápida y simple", cuenta Castro.
En el Foro de Seguridad Informática de Eset, realizado en Uruguay la semana pasada, Camilo Gutiérrez, gerente de Awareness & Research para Latinoamérica de Eset, ejemplificó este tipo de organizaciones complejas con el caso de LockBit, un grupo criminal de origen ruso.
Antes de su disolución fue el grupo de ciberdelincuentes de mayor impacto a nivel mundial, "llegando a afectar organizaciones en todas partes del mundo, desde entidades gubernamentales a empresas, llegando a ser el grupo más activo en la propagación de ransomware ", dice Gutiérrez.
Foros clandestinos
Para reclutar personas, en vez de usar LinkedIn, usan foros clandestinos. "Organizaron un concurso con un premio a quien hiciera una investigación sobre encriptación de datos, que son los conocimientos que a ellos les sirven para desarrollar ransomware ", acota Gutiérrez. El premio: US$ 15 mil.
Luego, LockBit apuntó a la masificación, y para ello creó un plan de afiliado: un operador podía usar el kit de ransomware de LockBit y si alguien pagaba el rescate entre el 40% y 60%, era para el operador y el otro, para los mandamases de LockBit. El dinero se pagaba en bitcoins en la billetera digital de LockBit y ellos pagaban al afiliado.
"Luego hicieron que el pago llegara directamente al afiliado y los jefes de LockBit recibían el 20%. Con eso, la herramienta rápidamente agarró masividad", dice Gutiérrez.
Pero la profesionalización siguió: sacaron una versión 2.0 de su herramienta, incluso pagaron a quienes le encontraran errores, crearon un sistema de búsqueda inteligente de archivos importantes de una empresa para encriptarlos primero y así concretar rápidamente un ataque que dejara consecuencias graves, y hasta crearon manuales de usuario para que los afiliados aprendieran a usar bien la herramienta. Si alguien quería pagar el rescate, había una especie de atención al cliente donde en un sitio web se le explica muy bien cómo hacerlo, y hasta se establecían canales de comunicación.
Incluso contaban con márketing: "Pagaban entre US$ 500 y US$ 1.000 en bitcoins a quienes se hicieran tatuajes con el logo de LockBit", explica Gutiérrez.
Y si bien esta banda fue desbarata por la operación Cronos, en la que policías de varios países trabajaron en conjunto, ese modelo de negocio y de operación ha sido replicado por otras bandas de cibercriminales, dice Gutiérrez.
En Chile se han desbaratado bandas como los "zares de la web", que no hacían ransomware , pero sí phishing (suplantar la identidad de una persona o empresa de confianza para engañar a las víctimas) bancario, dice el subcomisario Araya. Así, algunos hacían phishing y otros llamaban por teléfono para que las personas entregaran su segundo factor de autenticación del banco.
Además, reclutaban gente que prestaba sus cuentas bancarias a cambio de recibir parte del botín para ir blanqueando el dinero y retirarlo del banco.
"Incluso, contratan a especies de cuadrillas de seguridad para darles protección cuando sacan el dinero desde el banco o para que quienes saquen el dinero no se escapen con él. Esto es crimen organizado", explica Araya.
De acuerdo con una investigación reciente de Sophos, llamada "Beyond the Kill Chain", los atacantes no solo mantienen en el mundo digital las ganancias obtenidas con sus acciones ilícitas, sino que también blanquean el dinero invirtiendo en industrias legales y tradicionales, como por ejemplo restaurantes, bienes raíces y, aunque resulte paradójico, hasta en empresas de ciberseguridad. "Esto demuestra que el poder que están obteniendo estos grupos organizados en torno a la ciberdelincuencia es inusitado, y debe ser un motivo de preocupación permanente en todo el mundo", añade Castro.
Para el especialista de Cibercrimen de la PDI es clave la cooperación internacional de las policías y la capacitación constante de los profesionales para detectar este modus operandi cada vez más sofisticado.
Qué hacer"La forma más eficaz de reducir el rango de acción de estos grupos es concientizando, y que los usuarios sean responsables tanto en el manejo de su información en la casa como en sus lugares de trabajo, y sospechar de los más mínimos detalles", dice Castro.
Agrega que, a pesar de lo sofisticado de las organizaciones, los métodos utilizados para atacar no necesariamente son complejos utilizando el phishing y otros engaños para llevar a cabo sus ataques.