¿Quién protege de las estafas a los estafadores? Por absurdo que parezca, la industria del cibercrimen tiene sus propias herramientas, destinadas en mayor o menor medida a mejorar el servicio al consumidor que ofrecen, y sobre todo, la confianza que el consumidor deposita en sus servicios.
No estoy bromeando. Es hora de que dejemos de pensar en los ciberdelincuentes como esos nerds ocultos en la habitación de casa de sus padres, y pensemos más en una persona con traje y corbata como la que aparece en la imagen que acompaña este artículo.
El cibercrimen es un negocio. Un negocio multimillonario, que opera como cualquier otra industria de forma modular y profundamente sistematizada.
Cada trabajador de esta industria tiene un rol específico, y eso compete tanto a los que cometen el delito como a los que diseñan, venden u ofrecen como servicio las herramientas para cometerlo. Una industria con empresas tapaderas y compañías totalmente legítimas que pueden o no ser conscientes de que están trabajando para esta industria. No hay blancos o negros, solo un largo abanico de grises.
Una vez comprendemos el sector más como una maquinaria que debe operar en perfecto ritmo, y no como un conjunto de esporádicas y caóticas acciones sin estrategia detrás, podremos aceptar la existencia de herramientas cuyo cometido es proteger el bien más preciado del cibercriminal: su reputación.
Y para ello habría que recurrir a los lugares que estos frecuencian: los markets y foros del cibercrimen.
La reputación lo es todo para un cibercriminal
Imagine que usted se dedica a vender aspiradoras en Amazon. O a ofrecer sus servicios como consultor y analista tecnológico.
¿Qué hace llegar más clientes que el propio feedback positivo de los que ya lo han sido? El que sean aquellos que han tenido relación con nosotros quienes dejen registro de sus impresiones al respecto.
El mundo profesional (y realmente, la sociabilidad humana) se basa en este principio. Valoramos a una persona en primera instancia por su presencia, y por lo que representa esa presencia (parece descuidado, es atractivo ergo tiene éxito, va bien vestido…), y por lo que conocemos de ella (a Pepito no le cae bien, Manganito me dijo que tuviera cuidado con él…).
La identidad es por tanto un elemento formado por criterios endógenos (innatos en la persona) y exógenos.
Cuando nosotros queremos llegar a un acuerdo con otra persona de forma presencial, entran en juego ambos, pero cuando esa relación se produce digitalmente, los primeros quedan relegados a aquellos elementos de identidad que la propia plataforma nos ofrece (el nick y la foto de perfil, su historial de relaciones con otros clientes, su exposición pública, la valoración de ellos,…).
Pero, ¿qué pasa cuando estos elementos de identidad no pueden ser identificativos?
Me explico:
Un vendendor en un market “legal” como Amazon puede no tener problema en dar a conocer su nombre real, o el nombre de su compañía. Y los clientes que dejen su valoración harán lo propio. Sin embargo, en un market ilegal como puede ser un foro de compra-venta de exploit kits, ni el vendedor, ni los clientes estarán interesados en dar a conocer su identidad por razones obvias. Para colmo, el éxito de ese market depende de que tanto los vendedores como los compradores tengan la suficiente confianza como para comunicarse por él a sabiendas que éste es incapaz de rastrearlos, y por ende, identificarlo si así lo estima oportuno la autoridad de turno. Y esto a priori conlleva que la mayoría de controles soft que podríamos habilitar en un servicio digital (conexiones IP, por ejemplo) no pueden utilizarse, lo que favorece aún más la tergiversación de valoraciones (anunciantes auto-valorándose positivamente y/o valorando negativamente a la competencia).
El nick del vendedor, y en especial, su perfil dentro del market, se vuelve aún más crítico que en entornos abiertos. Lo es sencilla y llanamente todo, ya que volver a empezar supone volver a empezar con un nick no asociado a un feedback positivo, ergo, invisible ante potenciales clientes, sabedores que están tratando con cibercriminales, y por ende, con personas u organizaciones con una ética un tanto laxa.
¿Confiaría en alguien que se dedica a vender droga o estafar a terceros sino fuera porque todos estos antiguos clientes (con un listado de nicks, fechas, compras y valoración que el market certifica que se han producido) constatan que en efecto, una vez pagado, han recibido el producto pedido?
Pues eso.
¿Cómo se resuelve este dilema?
Estableciendo listas de confianza, y por consiguiente, lista de sospechosos de fraude. Listas de rippers, la peor calaña entre los cibercriminales, ya que hablamos de sujetos que se dedican a estafar al resto de cibercriminales.
Ripper.cc (RU) es una de las más conocidas. Una página accesible desde el Internet abierto en el que cualquiera puede denunciar a un ripper enlazando a las pruebas de que ha sido estafado (normalmente pantallazos de pantalla y/o conversaciones de IRC).
El servicio revisa los casos, crea un expediente con su información de contacto, e incluso, en base al apoyo de la comunidad, su posible identidad real, con idea de que en primera instancia el cliente de este tipo de productos y servicios ilegales se enfrente a un entorno lo más confiable posible, y en segunda, que las autoridades oportunas puedan dar caza al ripper que está causando una bajada reputacional en su negocio.
Es, en otras palabras, una caza de brujas en la que toda la industria se vuelca. Si hay algún ripper estafando a sus clientes, hay que tomar las medidas oportunas, y eso pasa por denunciarlo y perseguirlo hasta la saciedad. Todo por mejorar la experiencia y valoración que el potencial cliente tiene en los servicios ofertados en su industria.
Ripper.cc tiene hasta plugin para Jaber (RU/un método de comunicación anónimo habitualmente utilizado dentro de la industria) para que éste alerte a sus usuarios tan pronto en un canal se mete alguien tachado como ripper. Y lo mismo ocurre con las extensiones disponibles para Firefox y Chrome (RU) que ofrecen exactamente lo mismo en un numero cada vez mayor de markets y foros ilegales.
Los bajos fondos se autoprotegen. Y hay niveles, marcados por la tipología e historial de estafas. Exactamente igual que en cualquier relación profesional que se precie.
Solo que en este caso aplicado a negocios ilegales, y a un entorno en el que el anonimato no puede estar reñido con la confianza.