Ahora, describimos los delitos que tienen un objetivo financiero y se llevan a cabo utilizando infraestructuras técnicas complejas (por ejemplo, botnets). A diferencia de los delitos cibernéticos descritos en la sección anterior, en los que el delincuente esencialmente está replicando una operación delictiva física y utilizando Internet para mejorar su alcance, en el caso de los delitos ciberdependientes, los delincuentes tienen que configurar complejos sistemas tecnológicos, infraestructuras para lograr sus objetivos. La complejidad de estas operaciones ha provocado una compartimentación en el ecosistema criminal, donde cada actor malintencionado se especializa en una parte específica de una operación ciberdelincuente (por ejemplo, infectar computadoras con malware o realizar lavado de dinero) y trabaja en conjunto para lograr un objetivo común. En esta sección, proporcionamos algunos ejemplos de delitos ciberdependientes que han sido estudiados por la literatura de investigación en los últimos años.
Correo no deseado. El correo no deseado ha sido una gran molestia para los usuarios de Internet durante las últimas dos décadas, pero también ha estado a la vanguardia de operaciones delictivas muy exitosas, que han logrado monetizar la venta de productos falsificados y productos farmacéuticos al llegar a miles de millones de clientes potenciales a través de programas maliciosos mensajes. El spam de correo electrónico se define como correo electrónico masivo no solicitado; Esta definición destaca los dos elementos principales del problema: el hecho de que los mensajes recibidos por las víctimas no son solicitados (es decir, no fueron solicitados en primer lugar) y que se envían de forma masiva para llegar a la mayor cantidad posible de víctimas.
Aunque el primer correo electrónico no deseado se registró en 1978, el correo electrónico no deseado saltó a la fama en la década de 1990, cuando los delincuentes establecieron pequeñas operaciones, no muy diferentes de las de fraude de pago anticipado descritas en la sección anterior. El objetivo de estas operaciones era vender productos en línea, que podían abarcar desde suplementos dietéticos hasta recuerdos nazis. En esta etapa, confiando en su propia experiencia y en la ayuda de un pequeño número de asociados, los delincuentes llevarían a cabo todas las actividades necesarias para configurar una operación de spam exitosa: (i) recolectando direcciones de correo electrónico para enviar los mensajes maliciosos, ( ii) crear el contenido del correo electrónico, (iii) enviar los correos electrónicos no deseados en masa, (iv) procesar los pedidos de personas que querían comprar los artículos anunciados, (v) reaccionar a las redadas de las fuerzas del orden (por ejemplo, la incautación de un servidor de correo electrónico). Aunque todavía eran rudimentarios en comparación con las operaciones de spam que se produjeron durante la próxima década, estos esfuerzos delictivos impulsaron el desarrollo de una legislación para regular los correos electrónicos masivos no solicitados, como la Directiva sobre privacidad y comunicaciones electrónicas en la UE, el Reglamento de privacidad y comunicaciones electrónicas en el Reino Unido y la Ley CAN-SPAM en los EE. UU. Estos textos legislativos ayudaron a enjuiciar a algunos de los primeros spammers. En 2004, America Online (AOL) ganó un caso judicial contra Davis Wolfgang Hawke, que vendía dispositivos nazis a través de correos electrónicos no deseados. Hawke fue condenado a pagar una multa de 12,8 millones de dólares.
Los avances técnicos de principios de la década de 2000, y en particular el desarrollo de botnets, redes de computadoras comprometidas controladas por el mismo ciberdelincuente, brindaron oportunidades sin precedentes a los delincuentes que hoy quieren participar en el correo basura. El spam de correo electrónico ya no es una operación de una sola persona, sino que está respaldado por ecosistemas criminales prósperos. Los spammers pueden alquilar botnets a delincuentes especializados en infectar ordenadores con malware, comprar listas de direcciones de correo electrónico de destino de agentes especializados y registrarse en un programa de afiliados, que proporcionará al spammer una forma de publicidad, así como encargarse de envíos y pagos.
La carrera armamentista relacionada con la mitigación del spam se ha desarrollado desde la década de 1990, y se han propuesto varias mitigaciones. Actualmente, las técnicas antispam garantizan que la gran mayoría de los correos electrónicos maliciosos nunca lleguen a los buzones de correo de sus víctimas. Para resolver este problema, los delincuentes deben enviar decenas de miles de millones de correos electrónicos para mantener la rentabilidad de sus operaciones. Otro problema es que, de las víctimas a las que llegan esos correos electrónicos no deseados que llegan, solo una pequeña fracción comprará los productos anunciados y generará ganancias para los delincuentes. Los investigadores realizaron un estudio de caso para la botnet Storm, que muestra que de los 469 millones de correos electrónicos no deseados enviados por la botnet, solo el 0,01% alcanza sus objetivos. De ellos, sólo el 0,005% de los usuarios hacen clic en los enlaces contenidos en los correos electrónicos, mientras que un número aún menor acaba comprando artículos, sólo 28 usuarios en total de los 469 millones alcanzados, o el 0,0004% del total. A pesar de esta fuerte caída, McCoy et al. mostró que los programas populares de afiliados de spam podían generar hasta 85 millones de dólares en ingresos durante un período de tres años. También demostraron que la clave de este éxito son los clientes que regresan. De hecho, los correos electrónicos no deseados deben llegar a un cliente interesado solo una vez, y esta persona puede seguir comprando en el sitio más adelante sin tener que preocuparse por los filtros de correo no deseado.
Suplantación de identidad. Un tipo particular de spam es el phishing, en el que los delincuentes envían correos electrónicos que pretenden ser de servicios genuinos (por ejemplo, banca en línea, sitios web de redes sociales). Estos correos electrónicos generalmente atraen a los usuarios para que entreguen sus nombres de usuario y contraseñas a estos servicios presentándoles un correo electrónico creíble pidiéndoles que visiten el sitio web (por ejemplo, para recuperar su último estado de cuenta). Al hacer clic en el enlace del correo electrónico, los usuarios son dirigidos a un sitio web que muestra páginas de inicio de sesión falsas pero realistas. Una vez que han ingresado sus credenciales, los delincuentes obtienen acceso a ellos y luego podrán iniciar sesión en esos servicios en nombre de los usuarios, potencialmente ganando dinero directamente o vendiendo las credenciales en el mercado negro.
Para el delincuente, un componente clave para el éxito de las páginas de phishing es configurar páginas web que se parezcan lo más posible a las originales. Para facilitar esta tarea, los ciberdelincuentes especializados desarrollan y venden los denominados kits de phishing, programas que pueden instalarse en un servidor y producirán una página web de aspecto apropiado para muchos servicios populares. Por lo general, estos kits también proporcionan funcionalidades para facilitar al delincuente la recopilación y el seguimiento de las credenciales robadas. Otro elemento que necesitan los delincuentes para alojar estas páginas son los servidores bajo su control. Al igual que ocurre con el spam, los delincuentes, los investigadores y los profesionales están involucrados en una carrera armamentista para identificar y poner en la lista negra las páginas web de phishing, por lo que no tiene sentido económico para los delincuentes configurar sus propios servidores. Más bien, los delincuentes suelen alojar estos sitios web en servidores comprometidos, por los que no tienen que pagar.
Después de robar una gran cantidad de credenciales, los delincuentes pueden explotar estas cuentas ellos mismos o vender los nombres de usuario y las contraseñas en el mercado negro. Investigaciones anteriores han demostrado que, a menudo, estos delincuentes inician sesión ellos mismos en las cuentas y dedican tiempo a evaluar su valor, por ejemplo, buscando información financiera en cuentas de correo web.
Malware financiero. Otra operación delictiva popular es el malware financiero. En este entorno, los delincuentes tienen como objetivo instalar malware en las computadoras de sus víctimas y robar credenciales financieras, como números de tarjetas de crédito y nombres de usuario y contraseñas de banca en línea. Esta tendencia comenzó con el malware Zeus, que los delincuentes podían comprar en el mercado negro y utilizar para configurar sus operaciones. Una vez instalado en una computadora víctima, Zeus esperaría a que el usuario visitara un sitio web en una lista preconfigurada de interesantes que el criminal podría especificar. Luego, registraría los nombres de usuario y las contraseñas a medida que el usuario los ingresaba y los enviaría al servidor de comando y control configurado por el delincuente.
Una botnet de robo de información más sofisticada fue Torpig. A diferencia de Zeus, Torpig utilizó un modelo de botnet como servicio, en el que un solo delincuente especializado era responsable de alojar la infraestructura de la botnet, mientras que otros delincuentes podían ejecutar sus campañas para infectar las computadoras de las víctimas, pagar una tarifa para usar la infraestructura de torpig y más tarde recuperar las credenciales robadas. Los investigadores demostraron que, en 2009, la botnet Torpig pudo robar 8.310 credenciales de cuentas bancarias únicas y 1.660 números de tarjetas de crédito únicos durante un período de diez días..
Para monetizar sus operaciones, los ciberdelincuentes pueden vender la información financiera robada en foros clandestinos dedicados. El precio que los delincuentes pueden pedir por estas credenciales varía según el tipo de registros que pudieron robar. Por ejemplo, en el mercado clandestino hay dos tipos de registros de tarjetas de crédito que se comercializan: dumpz, que contiene la información que permite a un delincuente clonar una tarjeta de crédito (es decir, número de tarjeta, fecha de vencimiento, código de seguridad) y fullz, que también contiene la dirección de facturación asociada con la tarjeta. Los fullz valen más dinero en el mercado negro, porque permiten a los malhechores comprar artículos en línea.
Un tipo de delito relacionado que se está volviendo más popular es el robo de tarjetas. En este delito cibernético, los delincuentes instalan dispositivos en las máquinas ATM que recopilan detalles de las tarjetas insertadas en las máquinas por usuarios involuntarios. Luego, el delincuente puede recolectar los dispositivos para recuperar las credenciales financieras robadas. Si bien este tipo de delito es grave, también es un buen ejemplo de las limitaciones del delito físico en comparación con sus contrapartes en línea: la necesidad de acción física por parte del delincuente limita la escala de la operación, mientras que las operaciones de malware financiero pueden afectar a un número mucho mayor de víctimas. Por ejemplo, el malware Torpig se instaló en más de 100.000 ordenadores.
Tenga en cuenta que el malware no siempre es necesario para realizar un fraude financiero. En algunos casos, las amenazas internas dentro de las organizaciones financieras podrían actuar de manera maliciosa y defraudar tanto a sus instituciones como a sus clientes. En otros casos, se podría robar información financiera, como números de tarjetas de crédito, aprovechando una vulnerabilidad en un sistema en línea (por ejemplo, volcando la base de datos de una tienda en línea). En otros casos, las credenciales SWIFT de bancos robadas pueden utilizarse para realizar grandes transferencias de dinero fraudulentas.
Haga clic en fraude. Los anuncios web son la principal forma de monetizar la web. Un administrador web puede decidir alojar anuncios en su sitio web, y cada vez que los visitantes los ven o hacen clic en ellos, reciben una pequeña tarifa de un anunciante. Para mediar en esta interacción, han surgido servicios especializados conocidos como intercambios de anuncios. Debido a su fácil monetización, los anuncios web están listos para el fraude. En particular, los delincuentes pueden alojar anuncios en sus propios sitios web y luego generar clics «falsos» (por ejemplo, mediante el uso de bots). Esto da como resultado un intercambio de anuncios que paga a los delincuentes por impresiones de anuncios que no eran «genuinos» y, finalmente, defrauda al anunciante.
Una vez más, los delincuentes están involucrados en una carrera armamentista con intercambios de anuncios, que están interesados en mantener al mínimo el fraude en sus servicios. Para ayudar a los delincuentes a generar una gran cantidad de clics y permanecer fuera del radar al obtener acceso desde un gran número de direcciones IP, han surgido las denominadas botnets de fraude de clics. Un ejemplo es Zeroaccess, que estuvo activo en 2013. En una máquina infectada, este malware actuaría como un usuario normal, navegando por sitios web y haciendo clic en los anuncios que eligió su propietario. Los investigadores demostraron que esta botnet era responsable de pérdidas para la industria publicitaria de aproximadamente 100.000 USD por día.
Minería de criptomonedas no autorizada. Con la creciente popularidad de las criptomonedas, se ha abierto una nueva oportunidad para los delincuentes: usar computadoras infectadas para extraer moneda. En 2014, Huang et al revelaron esta amenaza, mostrando que se utilizaron botnets para minar Bitcoin. Al revelar esta nueva monetización para el malware, los autores también concluyeron que estas operaciones no parecían estar generando mucho dinero, totalizando como máximo 900 USD por día.
Sin embargo, un estudio más reciente mostró que la minería de criptomonedas mediante botnets podría ser mucho más gratificante de lo que se pensaba anteriormente. Pastrana y Suarez-Tangil demostraron que mediante la extracción de Monero y el uso de una serie de técnicas para aumentar sus posibilidades de extraer moneda (por ejemplo, utilizando grupos de minería), los delincuentes podrían ganar hasta 18 millones de dólares en un período de dos años.
Otra tendencia emergente en el delito cibernético consiste en aprovechar los navegadores web para extraer criptomonedas. En lugar de instalar malware en las computadoras de las víctimas y usarlas para minar, los malhechores agregan scripts a las páginas web y hacen que sus visitantes extraigan criptomonedas. Este tipo de actividad maliciosa se llama cryptojacking. Aunque el uso de estos scripts no es necesariamente ilegal (es decir, los administradores web pueden instalarlos legítimamente en sus páginas web de manera similar a los anuncios), se ha sorprendido a los delincuentes agregándolos a sitios web comprometidos en múltiples ocasiones. Konoth y col. demostró que una campaña maliciosa puede generar 31.000 libras esterlinas en una semana, mientras que Rüth et al. mostró que el 1,18% de los bloques extraídos en la cadena de bloques de Monero se pueden atribuir a Coinhive, la biblioteca de criptojacking más popular.
Secuestro de datos. La última tendencia en malware es Ransomware. Como parte de esta operación, los delincuentes infectan los sistemas de sus víctimas con malware que cifra los archivos personales del usuario (por ejemplo, documentos) y envía la clave de cifrado al delincuente, quien luego solicita un rescate a cambio de darle acceso al usuario a sus datos nuevamente. La idea de software malintencionado que utiliza criptografía de clave pública para retener los datos de la víctima como rehenes no es nueva y ya fue teorizada por Yung en 1996. Sin embargo, en 20 años, los avances tecnológicos en el extremo de la entrega de malware han hecho posible llegar a un gran número de víctimas, y la introducción de métodos de pago anónimos como Bitcoin ha hecho que sea más seguro para los delincuentes cobrar estos pagos.
El ransomware es, en el momento de redactar este documento, el estándar de oro para los ciberdelincuentes. Este tipo de operación de malware ha resuelto los problemas de monetización que eran tan importantes en otro tipo de esquemas ciberdelincuentes: el delincuente no tiene que convencer a la víctima para que compre un bien, como en el caso del correo no deseado, ni para caer en una trampa fraude, como en el caso del phishing. Además, la víctima está muy incentivada a pagar el rescate, porque la probabilidad de que los delincuentes tengan archivos cifrados que el usuario necesitará (y para los que no tienen una copia de seguridad) es alta. De hecho, una investigación reciente pudo rastrear 16 millones de dólares en pagos en la cadena de bloques de Bitcoin que pueden atribuirse a campañas de ransomware.
Aunque las campañas de ransomware más sofisticadas implican cifrar los archivos de la víctima, Kharraz et al. demostró que no es raro que los autores de malware utilicen otras técnicas para bloquear a la víctima fuera de su computadora. Estas técnicas incluyen configurar un gestor de arranque protegido con contraseña y no dar la contraseña al usuario a menos que pague. Si bien es probable que estas técnicas generen ganancias para el delincuente, también son más fáciles de mitigar, ya que los archivos de la víctima están a salvo en la computadora y una simple limpieza del malware (y la restauración del registro de inicio maestro original) pueden solucionarlo el problema.
Negación de servicio. Una característica que tienen todos los dispositivos conectados a Internet es la conectividad de red. Un delincuente puede aprovechar el ancho de banda de un dispositivo infectado para realizar un ataque de denegación de servicio distribuido (DDoS) contra un objetivo. Los delincuentes pueden simplemente usar el ancho de banda generado por la botnet o aprovechar los ataques de amplificación (es decir, el tráfico de red generado por dispositivos de red mal configurados o dispositivos con una configuración predeterminada deficiente) para mejorar la potencia de sus ataques DSD.
Los delincuentes pueden configurar servicios en los que ofrecen DDoS para contratarlos. Estos servicios son atractivos, por ejemplo, para actores sin escrúpulos que quieren que sus competidores comerciales se desconecten o para jugadores en línea que quieren sacar a sus oponentes de Internet para ganar el juego. Para ocultar la naturaleza ilícita de su negocio, estos servicios a menudo se anuncian a sí mismos como «probadores de estrés», servicios que un administrador web puede utilizar para probar cómo funcionan sus aplicaciones web bajo estrés. En realidad, sin embargo, estos servicios no comprueban si el cliente que compra aDDoSattack es realmente la misma persona que posee el dominio de destino.