Marketing, economía e industrialización del “crime as a service”: CaaS

CaaS

De pura casualidad llegaba al ePub que la Europol publicaba en referencia a la evolución del crimen digital (EN).

Más de 300 páginas con un riguroso análisis de la tendencia hacia la industrialización del crimen que estamos viviendo. Algo de lo que ya hemos hablado en más de una ocasión, pero que me parece interesante volver a tratar por la diferenciación que los chicos de la Oficina Europea de Policías realizan al hablar de las distintas tipologías de cibercrimen que se están encontrando, así como sus estrategias de expansión, comunicación y monetización.

Una industria basada en la segmentación y los servicios

Es quizás el punto más importante del informe, necesario para entender a qué nos estamos enfrentado.

En su momento hablamos de la paulatina evolución que sufrió el sector desde aquellos inicios que muchos vivimos con ilusión como una vía rápida (y asequible) de acceder a videojuegos y/o llamadas telefónicas, a la estructuración del mercado como salida a las injusticias vividas en el mundo físico (ciberactivismo) o el afán de labrarse una reputación en los chats (hacking reputacional), para luego industrializarse por medio de las consultoras (de hacking pasó a llamarse seguridad informática), hasta el escenario actual, donde los malos también se han industrializado (llevan de hecho la delantera), y operan como verdaderas corporaciones, causando pérdidas cuantificadas en cerca de 300.000 millones de dólares anuales.

Pasamos así de una actividad no remunerada por el simple hobby, a una actividad no remunerada por pura reputación, a una actividad remunerada con fines de negocio, tanto en un lado como en el otro.

Eso trajo consigo un cambio de paradigma muy a considerar, y es que pasamos también de unos desarrollos dirigidos a explotar las defensas de algún sistema con el único fin de “liberar” la información al resto de la comunidad, a otro en el que los desarrollos tenían como fin causar daño molesto (crash en los sistemas que apagaban el ordenador o lo dejaban inutilizable) a los dispositivos de cuantos más usuarios mejor, para llegar a otro escenario en el que el desarrollo de malware tiene como objetivo pasar totalmente desapercibido y causar daños económicos a las víctimas que enriquezcan las arcas de los delincuentes.

Y hoy en día, estamos viviendo una cuarta etapa en la que ese desarrollo pasa a ofrecerse no como producto, sino como servicio que un tercero, sin conocimiento alguno de informática, puede utilizar para realizar actividades delictivas.

Es decir, el cibercrimen de esta década vira hacia el llamado “crimen como servicio” (CaaS), en el que quien realiza el daño no es quien ha desarrollado el arma, sino el que la ha contratado.

Para ello, se recurre a una compleja economía e industrialización en escala: Empresas totalmente legítimas son contratadas por otras empresas “grises” que cuartean desarrollos totalmente legítimos con otros desarrollos cuyo fin será delictivo, contratando a su vez personal especializado que en ningún momento sabrá que está trabajando para la industria del crimen.

Esos múltiples desarrollos, una vez unificados, se transforman en armas que son habitualmente alojadas como un servicio bajo el amparo de la darknet, en servidores totalmente anonimizados, que comparten recursos con foros y tiendas de páginas de la darkweb donde se realizan las mismas labores de marketing y comunicación esperables en un negocio legal, y a los que se llega bien sea por recomendación de gente de “la comunidad”, bien sea por publicidad en otros foros y páginas de la web profunda (EN).

Estos ecommerces y foros cuentan con personal especializado, que dirige y modera su parte, y que funcionan como comerciales y soporte técnico para todos aquellos clientes interesados en los servicios que venden. Un trato de tú a tú que se realiza bajo seudónimos.

Puesto que en este tipo de compras se debe anteponer la privacidad por encima de todo y existe un riesgo considerable de ser víctima de un fraude (productos que ofrecen features que en verdad no tienen, o productos bien desarrollados que de la noche a la mañana desaparecen con el dinero de terceros que estaban en espera para probarlo), cobra verdadero valor el marketing de referencias y confianza, en el que compradores anónimos certifican que el producto ofrece las garantías contratadas mediante valoraciones y comentarios.

El pago, como era de esperar, se realiza mediante intermediarios que forman parte de los engranajes económicos de esta industria, y con monedas virtuales que dificultan su rastreabilidad.

Una vez contratado, el delincuente tiene acceso a un panel de control en el que, a golpe de click, puede realizar sus fechorías. Y los desarrolladores detrás de este servicio se encargarán de mantenerlo al día con continuas actualizaciones, bien sea con controles para evitar antivirus, bien sea para que el cliente tenga siempre a mano tarjetas robadas aún sin explotar, bien sea…

Omnipresencia y segmentación para una operativa sin precedentes

La Europol no se corta al decir que esta estrategia es “La opción ganadora“, en tanto en cuanto los ataques se realizan desde cualquier punto, operando en decenas de países simultáneamente, y complicando por tanto el trabajo de los cuerpos de policía, que deben enfrentarse a una legislación creada ex profeso para la realidad de hace varias décadas.

El cibercrimen goza de una omnipresencia que no entiende de barreras, ni geopolíticas, ni de conocimiento. Cualquiera, con el dinero y los contactos necesario, sin tan siquiera tener nociones de informática, puede generar un negocio fraudulento que opera fuera de su territorio. No debe preocuparse de nada más que de pinchar un ratón, eligiendo el plan que vea conveniente, y asumiendo el riesgo de que en alguna redada pueda llegar a caer.

Así es como la industrialización del crimen genera un entorno distribuido de servicios:

  • Data as a Service (DaaS): IaaS de la industria destinados al almacenaje y control de datos sensibles robados a terceros, como cuentas en perfiles sociales, datos médicos, números de cuenta,…
  • Hacking as a Service (HaaS): Gestión de la parte funcional del crackeo de cuentas que permite obtener los datos almacenados en los DaaS. Operan por tanto como un servicio, hinchando continuamente los datos a los que los clientes tendrán acceso.
  • Translation as a Service (TaaS): Ofrecen servicios de traducción y localización para campañas de phishing y fraude multi idioma y/o multi región.
  • Money Laundering as-a-service (MLaaS): Servicio de mulas para blanquear el dinero, unido a transferencias entre bancos y con los intermediarios habituales. Todo con el fin de dificultar el rastreo de esos movimientos (si se enteran de este tipo de servicios los políticos…).
  • Malware as a Service (MaaS): La gallina de los huevos de oro. Habitualmente pagada en formatos pay-per-install (si necesitas 2000 víctimas, pagas por esas 2000 instalaciones), ofrecen paquetes de malware que están 24/7 actualizándose para evitar que se queden desfasados, y cuentan con sus propios sistemas de garantías (en caso de que alguna de esas víctimas se salga del yugo de la botnet, se incluyen nuevas víctimas para cubrir las contratadas).

Un panorama tan terrorífico como real. Con cerca de 39 grandes marketplaces de CaaS registrados en 2014, se espera que el número vaya en aumento conforme esta forma de trabajar se estandarice.

Y entre medias, el eterno debate sobre cómo controlar este mercado negro.

Por la policía lo tienen muy claro: Mayor control (ergo menos privacidad personal).

Un servidor, como bien sabe, discrepa.