El cibercrimen se ha convertido en la tercera economía mundial, por detrás de Estados Unidos y China, según datos de Bitdefender, empresa de ciberseguridad. En ese mercado oculto se mueve toda clase de actividades ilegales. Para perseguir y cerrar a sus responsables, la policía cuenta con la colaboración de investigadores como el equipo de Bogdan Botezatu, director threat research en Bitdefender, quien lleva 18 años trabajando en la compañía.
Casi dos décadas en las que ha acumulado una larga lista de anécdotas sobre lo que se puede uno encontrar en el oculto mundo del cibercrimen, algunas puede contarlas y otras no. “He ayudado a organizaciones y consumidores a recuperar información después de ataques de ransomware. También he rastreado botnets, grandes infraestructuras de dispositivos infectados que se utilizaban para atacar hospitales, servicios en Estados Unidos, bancos y demás”, explica EL ESPAÑOL – Omicrono.
Botezatu dirige, entre otros proyectos, un equipo de investigadores que analiza dispositivos IT, como cámaras inteligentes, monitores para bebés o lavavajillas inteligentes. A través de estos dispositivos se esconde una inmensa red de ciberataques.
Este investigador también nos habla de su trabajo para ayudar a la policía a desarticular lo que se conoce como mercados negros, redes ocultas de compraventa de toda clase de actividades ilegales. “La mayoría de las veces somos los primeros en detectar patrones de cibercrimen porque contamos con una enorme red de sensores. La policía normalmente interviene cuando ya existe una causa suficiente para actuar, pero no suele ver los patrones emergentes”, explica.
Este pasado mes, la empresa ha participado en una operación policial en la que han participado 18 países. Bajo el nombre de “Saffron” ha supuesto la intervención de 33 servidores y dominios asociados al servicio de First VPN, un servicio de anonimización utilizado por actores de ransomware, fraude y robo de datos. También se ha detenido al administrador de la infraestructura en Ucrania e identificado a 506 usuarios vinculados a actividades delictivas.
Hackers, como empresas
El especialista explica que esa imagen del hacker como lobo solitario sólo queda para las películas: son empresas. “Los grupos de cibercrimen hoy funcionan más como corporaciones que como individuos. Claro que existen hackers solitarios o activistas que quieren demostrar algo hackeando una web y publicando un mensaje político, pero ahí no es donde ocurre la mayor parte del cibercrimen”
Actualmente el cibercrimen genera pérdidas de unos 9 billones de dólares. Hay redes de tarjetas de crédito robadas muy bien organizadas, con sistemas de lavado de dinero, personas creando páginas de phishing, otras enviando spam, etcétera.
“Tenemos operadores de ransomware que desarrollan malware, hacen control de calidad y prueban el software antes de lanzarlo. Tienen equipos de marketing que contactan afiliados: ‘¿Quieres licenciar mi malware para infectar ordenadores y compartir beneficios?'”.
Bogdan Botezatu, dando una conferencia de Bitdefender en Ferrari
Módena (Italia)
Quizá la forma más certera de pensar en el cibercrimen moderno es hacerlo como si fuese un mueble de IKEA: “consigues un bot de spam aquí, una lista de víctimas allá, una plantilla de phishing de otra persona y servidores de otro proveedor. Pagas con dinero robado, tarjetas robadas o Bitcoin obtenido mediante delitos, y de repente construyes un ecosistema mezclando piezas de distintos sitios”, explica. Eso es el cibercrimen avanzado, sentencia el experto.
Ante esta magnitud de operativa, la pregunta es obvia: ¿cómo consiguen trabajar en la sombra sin filtraciones? Bogdan explica no solo tienen habilidades técnicas y recursos financieros para actuar como corporaciones, sino también protocolos de seguridad operativa muy avanzados para asegurarse de contratar a la gente adecuada.
Así por ejemplo estos grupos están tan especializados que algunos centros de llamadas contrataban empleados solo después de pasar un detector de mentiras. “Hacían entrevistas conectando a las personas a un polígrafo para asegurarse de que no fueran policías infiltrados”.
Del mismo modo, el nivel de profesionalización, escala de tal forma que “algunas de estas organizaciones tienen tanto dinero que pueden contratar servicios de marketing para difamar a los investigadores”. En ocasiones, lanzan campañas publicitarias falsas en internet diciendo que ciertos productos de seguridad no funcionan, o publican mensajes en foros asegurando que empresas como Bitdefender no detectan determinado ransomware. O presumen de que pueden saltarse nuestras soluciones de seguridad para infectar a la gente. “La mayoría de esas afirmaciones son falsas, pero aun así ocurren y no podemos controlarlo todo”.
Lo más preocupante
Ante esta profesionalización del sector, cabe preguntarse qué es lo próximo que podemos esperar, o qué es lo que el experto en ciberseguridad haya visto que más le haya preocupado. Su respuesta es clara: los mercados negros. “Representan un peligro físico real”
En ellos no sólo se vende malware o información virtual robada, “también venden drogas, que terminan alimentando redes de distribución que pueden afectar incluso a tus hijos (…) una de las cosas de las que estamos más orgullosos es de nuestra contribución al cierre de mercados negros. Deben cerrarse inmediatamente ya que son una amenaza para todos. No solo por quienes venden o compran, sino por cómo los compradores usan esas sustancias o armas después”.
Otra de las claves que llegan para espolear las amenazas de los ciberdelincuentes es la inteligencia artificial, haciendo que “todo está evolucionando a una velocidad enorme”.
Hasta ahora, los estafadores dependían mucho de la geografía y el idioma. Con lo que, por ejemplo, alguien que sólo hablara inglés no podía fácilmente engañar a una persona rumana porque tendría que aprender el idioma. Ahora sin embargo basta con darle un mensaje a ChatGPT y este lo traduce automáticamente al idioma de la víctima.
La IA generativa también es clave para los deepfakes. El experto explica que una de las estafas que proliferan es la llamada pig butchering scam, donde normalmente hombres se enamoran de perfiles falsos de mujeres en internet.
“Para mantener la credibilidad, los ciberdelincuentes necesitan enviar fotos de mujeres en distintas situaciones: tomando café, en la playa, etc. Antes de la IA generativa, robaban esas imágenes de Facebook, pero había inconsistencias y era fácil encontrar el origen real de la foto con una búsqueda inversa en Google.”
“Por eso algunos centros de estafa en Camboya y Myanmar secuestraban mujeres y las obligaban a posar para crear historias falsas. Eso era esclavitud moderna. Era caro y arriesgado. Pero con la IA generativa, de repente podían crear imágenes realistas de mujeres en cualquier contexto simplemente escribiendo una instrucción. Todo se volvió mucho más fácil para estos grupos criminales”.
