En 2010, el FBI se unió a autoridades mundiales para desmantelar una operación criminal que hurtó $70 millones de dólares (mdd) de bancos estadounidenses. El arma que eligió el grupo no fue una pistola automática o una serie de herramientas de cracking. En su lugar, la organización se apoyó en el famoso troyano ZeuS para violar las cuentas de los clientes.
La actividad del grupo criminal apunta a una tendencia mayor en el mundo de la seguridad. Ya quedaron atrás los dÃas cuando los hackers se dedicaban a ese oficio por diversión. En el cibermundo subterráneo actual, el motivo de los atacantes gira en gran parte alrededor de obtener números de tarjetas de crédito, credenciales de correo electrónico, datos de ingreso a sitios de banca y otra información que se puede convertir velozmente en dinero.
En este mercado de datos obtenidos ilÃcitamente ha surgido una mezcla de grupos independientes y organizados motivados por el lucro y en algunos casos por lapolÃtica. Ya sea que la ciberdelincuencia sea impulsada por hacktivistas o pandillas cibernéticas dirigidos a las casas de bolsa, dos cosas son seguras: estos grupos han cambiado la realidad de la seguridad para las empresas y comprenderlos es primordial para desmantelarlos.
Comprender la estructura de estos grupos ofrece a los expertos en seguridad una oportunidad de obstaculizarlos al dirigirse a varios vÃnculos en la cadena de actividad de los hackers. Esto puede incluir todo desde monitorear sitios donde venden la información de tarjetas de crédito, hasta dirigirse a proveedores de servicios de Internet (ISPs) delincuentes conocidos por ser amigables con bandas criminales.
Es bueno tener en cuenta que las bandas de hackers con motivaciones criminales vienen en todas las formas y tamaños. Algunas tienen operaciones que usted esperarÃa ver en compañÃas legÃtimas como un equipo de preguntas y respuestas y gerentes de proyectos. Otras tienen miembros con habilidades de mercadeo – donde las amenazas y la información se pueden propagar fácilmente en sitios de redes sociales y en foros donde pueden promover sus botnets y malware.
En la mayorÃa de los casos estos equipos laboran independientemente con figuras centrales que supervisan la operación total para mantenerla encaminada. Pero no todos en el mundo cibernético subterráneo son parte de un grupo. Algunos se mantienen independientes y alquilan porciones de botnets que han ensamblado. Otros hacen dinero en lo que son buenos: descubrir nuevas vulnerabilidades de software y haciendo herramientas ofensivas para otros hackers. Estas vulnerabilidades conocidas en los cÃrculos de seguridad como dÃas cero se pueden llamar fácilmente fuentes de efectivo para aquellos que pueden encontrarlas y explotarlas. Dependiendo del software que ataquen y de su confiabilidad, estas explotaciones pueden extraer desde diez mil dólares hasta $500 mil dólares en el mercado negro.
Explotaciones antiguas y de dÃa cero llegan a menudo a conjuntos de herramientas de ataques disponibles en foros web por tan sólo $40 dólares con las versiones de gama alta que cuestan miles de dólares. Estos conjuntos generalmente se apoyan en la realidad de que muchos usuarios no se actualizan con las últimas versiones de software y usan vulnerabilidades bien conocidas en lugar de explotaciones de dÃa cero. En algunos casos los atacantes comprometerán sitios web legÃtimos y luego intentarán redireccionar a los usuarios a sitios maliciosos que sirven el conjunto de explotación. El efecto de estos conjuntos de ataques ha sido tremendo.
En general los datos valiosos siguen siendo la meta de los delincuentes. Sin embargo actualmente los datos de tarjetas de crédito comparten espacio en las góndolas de las tiendas de hackeo virtuales con objetos como ingresos de Facebook y credenciales de correo electrónico. Algo de esto se debe a que los bancos utilizan autenticación multiforma para verificar transacciones en lÃnea las cuales exigen que los hackers tengan más información con el fin de violar una cuenta. Los criminales cibernéticos han evolucionado su malware con esto en mente incluyendo formas de inyección web que ahora buscan información como el número International Equipment Identity (IMEI) en el teléfono móvil de una persona asà los atacantes pueden contactar al proveedor de servicio móvil de la vÃctima para engañarlo y pedir que les envÃe a los hackers a una nueva tarjeta SIM (Subscriber Identity Module). Con la tarjeta SIM los atacantes pueden interceptar ahora la comunicación entre el banco y el cliente.
Naturalmente, entre más información tengan los atacantes sobre un blanco mejor fabricado será su ataque – y mayor la probabilidad de éxito. Por ejemplo, un hombre llamado John Smith puede prestar más atención a un correo electrónico dirigido especÃficamente a él que uno que diga, “Atención señorâ€. Esta técnica se conoce como spear phishing y ha estado ligada a algunas de las fugas corporativas más severas recientemente incluyendo el ataque bien publicitado contra la división de seguridad RSA de EMC. La lucha contra el crimen cibernético exige en parte educar a los usuarios acerca algunas de las señales de correos electrónicos sospechosos comenzando con mensajes que contienen peticiones inusuales de información o palabras clave que engañan a la gente para que descargue anexos potencialmente maliciosos.
Con los hackers enfocados en los datos es imperativo que las compañÃas se enfoquen en eso también. Las empresas necesitan identificar los datos crÃticos y colocar las protecciones adecuadas desde firewalls hasta la codificación a las tecnologÃas de monitoreo de actividades. Tomo prestada una cita textual del famoso estratega militar chino Sun Tzu: “Si no te conoces a ti mismo ni a tu enemigo siempre te pondrás en peligroâ€.
Tomer Teller es evangelista de seguridad e investigador de Check Point Software Technologies.
