Escuchar este artículo

¿Cómo ganan dinero los cibercriminales?

Sábado, 23 de Octubre de 2021
Ha aumentado la actividad del mercado de credenciales de acceso a redes.

La pandemia de COVID-19 no solo cambió la manera de vivir, trabajar y llevó a las personas y empresa a reinventarse para no dejarse agobiar por la crisis genera. Pero también hizo que los criminales del ciberespacio se inventarán nuevas maneras de hacer sus prácticas delictivas, ante la vulnerabilidad de las organizaciones y de las personas, que no estaban preparadas para el teletrabajo.

Apoya a La Opinión haciendo clic aquí: https://bit.ly/3ljBtXC

Uno de los delitos que se hizo más reiterativo es el phishing. Entonces, algunos cibercriminales comenzaron a enviar correos electrónicos utilizando el nombre de Netflix notificando la suspensión de la suscripción, sabiendo que el televidente accedería resolver los problemas con su registro para seguir disfrutando de esta plataforma de entretenimiento. 

El propósito de ese mensaje malicioso era que el usuario restableciera sus datos con el objetivo de conseguir tus datos bancarios.

Otro caso de ciberataque que se conoció en el mundo comenzado la pandemia fue el que ocurrió contra el Hospital Universitario de Brno de República Checa, el cual se vio obligado a suspender las cirugías y a trasladar a centros cercanos a pacientes graves, tras paralizarse todos sus sistemas informáticos como consecuencia de un virus informático.

Lea además Crece la venta de datos de acceso a redes de empresas

De acuerdo con el estudio ‘Flashcard Report: Monetización del Cibercrimen’ de Lumu Technologies, compañía de seguridad tecnológica, se viene dando un aumento acelerado en la actividad de los mercados de los dark web, que son los sitios no indexables por buscadores convencionales como Google y Bing, es decir, que no se pueden encontrar allí, los cuales comercian con credenciales de acceso a redes comprometidas. 

El informe reveló que este negocio ha evolucionado hasta el punto de vender elementos que eran poco frecuentes hace unos años, debido a que solían centrarse principalmente en la venta de datos de tarjetas de crédito

Destacó que, aunque obtener datos de tarjetas de crédito de forma fraudulenta facilitaba la monetización del cibercrimen, se ha detectado un incremento en la monetización de cualquier actividad asociada con esta práctica, especialmente de aquellos elementos que no son igual de rentables que los datos de tarjetas de crédito.

“Los cibercriminales, para poder vender todos esos datos han acudido a mercados negros, que se conocen como dark web, los cuales se han profesionalizado mucho, antes eran simples foros en donde intercambiaban información, hasta convertirse en comercios electrónicos ilegales, que te pueden dar soportes y pagar con criptomendas”, expresó Fernando Cuervo, director de Product Growth de Lumu Technologies.

Destacó que se ve mucho ahora la venta de credenciales de Office 365, que termina siendo el punto de entrada a las organizaciones. Agregó que casi todos los receteos de contraseña finalizan ligados al correo electrónico y si se pierde el control del correo electrónico, no solo se pierde el control de los emails que están allí, sino de muchos datos, lo que permite a los cibercriminales ir escalando privilegios.

“Los cibercriminales no solo se limitan a vender este tipo de credenciales. Quieren monetizar de toda las formas posibles. Cuando ya tienen una infraestructura comprometida pueden vender, por ejemplo, acceso a servidores para enviar spam, acceso a VPN para poder tener ingreso a las organizaciones”, agregó Cuervo.

 

Image
Venta de listas de accesos 2020 - 2021. / Gráfico: Lumu Technologies
Image
Las credenciales ofrecen un acceso fácil a la red.

 

Ataques de ransomware

El directivo de Lumu Technologies explicó que los ataques de ransomware son aquellos que encriptan la información y luego piden un rescate, modalidad que no se ha podido frenar, porque sigue siendo muy provechosos económicamente para los ciberatacantes.

Le puede interesar Colombia 4.0: expertos en tecnología se encontrarán en Ocaña

Vale decir que, en Latinoamérica, Colombia se ubica como cuarto país como más exposición a ransomware, antecedido por Brasil (primero), México, Argentina y Perú.

Mucho antes de que se materialice un incidente de ransomware, las redes de las organizaciones comprometidas evidencian un exagerado número de actividades que rara vez se asocian con incidentes de ransomware, como el phishing, los contactos frecuentes con botnets de minería de criptomonedas y la interacción con botnets de spam.

Los incidentes modernos de ransomware requieren tiempo para comprometer tantos activos como sea posible, interrumpir las operaciones de forma drástica, extraer la mayor cantidad de datos y ejercer la máxima presión a través de la extorsión. Este tiempo varía en función del propósito, los recursos, la forma de operar y las habilidades de los cibercriminales.

Fernando Cuervo sostuvo que los ataques de phishing, que es cuando por ejemplo envían a la eventual víctima un correo electrónico o un mensaje para intentar engañar, sigue siendo un punto de entrada a las empresas.

Manifestó que otros ataques frecuentes son de malware o softwares maliciosos y de crypto-mail, que consiste en utilizar la infraestructura de un tercero para minar criptomonedas. “Minar criptomenadas, perse, no es ilegal, pero hacerlo sin autorización sin duda lo es”, puntualizó.

Entonces es común ver la utilización de minado de criptomonedas, el cual aprovecha los equipos de cómputo conectados a la red o revende la infraestructura comprometida mediante el lanzamiento de campañas de spam, para comprometer dispositivos adicionales de la misma organización. De este modo, diversos tipos de credenciales de acceso a estas redes comprometidas acaban en los mercados de la dark web.

 

Image
Ciberataques / Gráfico: Lumu Technologies

 

“No existen amenazas pequeñas”

Para Cristian Torres, director de Product Crowth de Lumu Technologies, “no existen amenazas pequeñas y mucho menos cuando vemos cómo los ciberatacantes están evolucionando en técnicas de monetización a nivel global”.

Resaltó que el phishing, que existe desde hace muchos años, ha evolucionado y que ya no solo busca engañar o posar como el banco, sino ahora se muestra cuenta con un soporte técnico de una organización para poder recetar las credenciales de acceso al correo electrónico.

Agregó que una vez los cibercriminales se instalan en una red pueden valerse de varias técnicas para beneficiarse de ese control sobre esta arquitectura. Estas técnicas son:

 

Image
Técnicas de monetización. / Gráfico: Lumu Technologies

 

La forma más fácil y rápida de monetizar el acceso a la red es a través de los botnets. Por lo tanto, este suele ser el primer tipo de compromiso que se ve en la red. Los cibercriminales siempre buscarán la vía de menor resistencia, menor esfuerzo y mayor impacto para perpetuar sus ataques. 

Le puede interesar Campaña de malware apunta a entidades gubernamentales y de educación

El ataque se intensificará cuando el atacante tenga suficientes recursos, tiempo y pruebas de que el ataque de ransomware va a representar una alta probabilidad de monetización y que la misma será de un alto valor. Los ataques de ransomware tardan tan solo tres días en madurar desde el compromiso inicial.

En el caso del minado minado de criptomonedas, Torres se refirió por ejemplo a Monero, en donde han visto que más del 40% esta criptodivisa, que circula en el mercado, ha sido generada a través de estas técnicas de secuestro de arquitectura para generar ese minado.

 

Image
Los ataques evolucionan con diferentes técnicas. / Gráfico: Lumu Technologies

 

En ataque de ransomware casi nunca es un hecho aislado

En ataque de ransomware casi nunca es un hecho aislado. El ataque suele comenzar con un compromiso "menor", que se lanza fácilmente a través del acceso que ofrecen los mercados de credenciales online.

El “ransomware como servicio” (Ransomware as a Service en inglés) es un modelo de negocio bien establecido en el que se puede comprar ransomware a un precio muy bajo y que requiere habilidades mínimas para su manipulación y usufructo.

A partir de abril de 2019, los agentes amenazantes empezaron a utilizar el malware tradicional para penetrar y establecerse en una empresa que pudieran vender a los especialistas en ransomware, en una táctica llamada malware- delivery-as-a-service. Esto ha llevado a la aparición de "cadenas de ransomware" en las que el ataque de ransomware está precedido por la utilización de un tipo de malware asociado.

Gracias por valorar La Opinión Digital. Suscríbete y disfruta de todos los contenidos y beneficios en http://bit.ly/SuscripcionesLaOpinion

Image
Leonardo Favio Oliveros Medina
Leonardo Favio Oliveros

Exclusivo para nuestros suscriptores

Patrocinado por:
Empresas