Síguenos:
Ciberseguridad
25 de Enero de 2016

“Crime as a service”: ciberdelincuencia al alcance de cualquiera

“Crime as a service”: ciberdelincuencia al alcance de cualquiera

“Crime as a service”: ciberdelincuencia al alcance de cualquiera

Escrito por , 25/01/2016

Durante milenios el ser humano ha encontrado distintas formas de acometer delitos, fraudes, engaños o maneras de aprovecharse de sus semejantes, muchas veces por envidia: ”¡Quiero eso que tú tienes y yo no!”. No es nada nuevo, pero en el siglo XXI, con una vida cada vez más digital, eran necesarios ciertos conocimientos de seguridad informática para realizar las típicas tropelías a las que la naturaleza humana nos tiene acostumbrados. Pero el paradigma ha cambiado, ahora sólo son necesarios una mínima motivación y un medio de pago.

¿Alquien quiere la contraseña de Facebook de su exnovia?, ¿la cuenta del banco?, ¿los whatsapps de un compañero de trabajo?, ¿DNIs o pasaportes falsos?, ¿inutilizar la web de la competencia?, ¿comprar drogas, armas o incluso un asesinato a la carta…?, ¿ un riñón o cinco trabajadoras sexuales?, ¿conseguir los nuevos inventos de una empresa puntera?… Todo esto y más ya es posible desde la comodidad de su casa con un PC o desde el móvil: es el crimen informático como servicio, “CaaS” son las siglas en inglés de Crime as a Service. Ya no hacen falta conocimientos de seguridad informática o hacking para cometer delitos en el ciberespacio, basta con pagar para que otros lo hagan. Como diría mi querido Homer Simpson, “¿es que eso no puede hacerlo otro?”. Hay barra libre para cometer estafas.

Es un problema en auge y lo que más inseguridad y terror genera es que a la simplicidad para contratar estos servicios se suman los obstáculos para realizar un seguimiento de los delincuentes y aplicar la ley.

El auténtico protagonista del siglo XXI en lo que al crimen se refiere es la ciberdelincuencia, la cual mueve más dinero que el narcotráfico en el mundo.

La solución resulta complicada porque, por un lado, existe una carencia de profesionales cualificados, expertos y profesionales y también falta concienciación en todos los segmentos, desde la gran empresa, hasta la mediana y la pyme.

La protección de perímetro básica se ha vuelto insuficiente, aunque necesaria (firewalls) y se requieren medidas complementarias, debido al vertiginoso avance de las vulnerabilidades y su explotación por parte ya no de simples curiosos, sino de criminales contratados y formados: el nuevo trabajo de las mafias.

Las herramientas tecnológicas actuales brindan al cibercriminal factores que propician un buen caldo de cultivo para el crimen:

  • Anonimato y suplantación de identidad: la relativa facilidad para “desaparecer” en el mundo virtual dificulta el rastreo de los responsables de acciones maliciosas o ilegales, con proxys como la red Tor.
  • Facilidad de adaptación: las herramientas pueden ser modificadas fácilmente para adaptarse al medio y a las dificultades encontradas durante su empleo.
  • Escalabilidad: un solo programa puede generar grandes ingresos.
  • Universalidad de acceso: cualquiera puede convertirse en un delincuente porque las herramientas “están al alcance de todos”, al igual que las víctimas, tanto en las redes normales como en la “Deep web”.
  • Proliferación de herramientas y códigos: Internet provee las herramientas necesarias para que cualquier persona con escasos conocimientos pueda llevar adelante un delito informático, cualquiera puede vender estos servicios.

Para paliar, mitigar o incluso frenar esta escalada de “pirateo” por unos euros o unos bitcoins, existen medidas como la monitorización constante, mecanismos de respuesta adecuados (CSIRT), sistemas corporativos de gestión de dispositivos y aplicaciones móviles (MDM/MAM), servicios de seguridad gestionada (SOC), autenticación avanzada, biometría, doble o triple factor (Latch), el hacking ético persistente (FAAST), y la simulación de incidentes de ciberseguridad de manera continua que consiste en no sólo realizar un ataque/auditoria/hacking ético/test de intrusión unos días al año, sino automatizar la detección del vulnerabilidades de manera diaria: es mejor ver un “video” de la seguridad que una “foto” puntual.

Telefónica entiende la seguridad como una necesidad cada vez mayor y está comprometida con ella: potencia su concienciación y brinda las herramientas necesarias para estar razonablemente seguros.

Imagen: Adam Thomas

Sobre el autor

Javier Soria Pastor

Javier Soria Pastor

He convertido mi principal hobby en mi profesión y trabajo en Seguridad TI desde los trece años. Tengo una amplia experiencia en el sector público y privado, tanto del ámbito nacional como internacional. He realizado actividades tan diversas como análisis forense, hacking ético/pentesting, auditorías, diseño de arquitecturas seguras, administración de sistemas/redes... Y también me he dedicado a la docencia/formación/masterclass en diversas universidades, como la UDIMA, donde soy profesor titular de ciberseguridad en el Master en Informática forense y delitos informáticos.
Ver todos sus artículos »