(Por Rubén Borlenghi, el Microsaurio) Los tiempos han cambiado y ya no se programan virus sólo por la satisfacción de ver quien la tiene más larga. Un trabajo de investigación criminal que llevó varios años, a cargo de la policía británica y la finlandesa, terminó con la detención y procesamiento de varios delincuentes, que hasta habían montado una empresa de seguridad informática. Llamémoslo Ciberdelito o, mejor dicho, delito a secas, y a los delincuentes, por su prontuario.
En la primera semana de octubre se realizó la Conferencia Internacional Virus Bulletin número 21, en Barcelona. La presentación de apertura, como para que vayan entendiendo la razón del título de esta nota, fue “La investigación m00p: las fuerzas policiales y la industria antivirus trabajando en sociedad”.
Los presentadores fueron Bob Burls, oficial de investigaciones de la unidad de e-crimen de la Policía Metropolitana de Londres, y Mikko Hypponen, directivo e investigador de la empresa de seguridad informática finlandesa F-Secure. Ahí detallaron un trabajo de investigación criminal que llevó varios años, a cargo de la policía británica y la finlandesa, que terminó con la detención y procesamiento de varios delincuentes.
La actividad de los detenidos, que se identificaban como “grupo m00p” estaba tan bien organizada que hasta habían montado una empresa… de seguridad informática (!!!) que se usaba como fachada; tenían cómplices en Finlandia, Escocia, Francia, Italia, Estados Unidos, Canadá y… Kuwait, y los “negocios” principales eran la difusión de sp*m en enormes cantidades a través de máquinas capturadas, y el robo de dinero luego de la captura de información personal dentro de las computadoras de las víctimas.
Como perverso agregado, uno de los detenidos se dedicaba, además, a asustar a algunas víctimas amenazándolas a través de una conexión directa con sus PC, en las que activaba la cámara para tomarles fotos (sin permiso, claro) y luego mostrárselas con intenciones intimidatorias o de extorsión. Corolario, tres de ellos fueron a la cárcel con sentencias variadas, aunque la existencia de diferencias entre las legislaciones que tratan sobre delito informático en distintos países conspira contra la posibilidad de acciones judiciales coordinadas.
Nuevos actores
Los tiempos han cambiado, ya no se programan virus sólo por la satisfacción de ver quien la tiene más larga (diría Serrat…), ahora de trata de delito, a secas. Robo, extorsión, preparativos para un secuestro, vayan completando la lista. La computadora, y las conexiones de red, no son más que herramientas y medios de comunicación para los delincuentes. En lugar de romper la puerta de un comercio para robar una caja fuerte, entran en la computadora del gerente y se llevan la clave de la cuenta corriente del banco. Una diferencia instrumental, metodológica. Así que, igual que en la crónica policial cotidiana, acá hay víctimas, y delincuentes, cómplices, encubridores, “mulas” que colaboran con movimientos de dinero o mercadería, revendedores, reducidores… todo un conjunto con calificaciones conocidas.
¿Y por casa cómo andamos?
Si la casa es Latinoamérica, andamos… mal. Una de las exposiciones más completas sobre el tema es la que pudo presenciar el grupo de periodistas que asistió a la Primera Cumbre Iberoamericana de Analistas de malware organizada por Kaspersky Lab en Cancún y en la cual fui el moderador del Panel de Cierre. Justamente en esa reunión que resumió las conferencias, y en la presentación que hoy les comento, está la clave de un necesario cambio en el enfoque de las actividades de los atacantes de las PC: no son informáticos que delinquen, son delincuentes que usan la PC en lugar de una barreta de acero o una llave maestra.
El ecosistema del cibercrimen iberoamericano
Ese fue el título de la presentación de Dmitry Bestuzhev a la cual aludí en el párrafo anterior. Bestuzhev (que también estuvo en la conferencia de Virus Bulletin) es el director para América Latina del Equipo Global de Investigación y Análisis de Kaspersky Lab (GReAT es la sigla que corresponde a esas palabras, en inglés) y para señalar la gravedad de la situación del delito informático, inició su exposición hablando de Mónaco; un país que ocupa poco menos de 2 kilómetros cuadrados, en el cual los ataques producidos por malware aumentaron de unos 200 en 2009 a casi 1600 en 2010; el 670%. Si se considera que una buena cantidad de residentes de Mónaco son personas que manejan importantes sumas de dinero, y luego de pensar que tal vez lo hagan por medio de transacciones electrónicas, la cosa tiene explicación. En Latinoamérica el aumento de los ataques, señaló Bestuzhev, se incrementó en un 490% entre 2009 y lo que va de 2011. En España y Portugal, un 337% entre 2009 y 2010; y la razón es simple: esta actividad delictiva produce más dinero que trabajar en una oficina todo el día.
Un cambio de personajes
Si la relación entre víctima y victimario era más o menos directa en años anteriores, en las nuevas actividades delictivas informáticas se encuentra a desarrolladores de malware, delincuentes cibernéticos, mulas de lavado de dinero, revendedores de mercadería, a otros delincuentes colaboradores o cómplices, y por fin, a las víctimas. La “mercadería” tiene precios que se publican en websites especializados, (tarjetas de crédito clonadas, cuentas para transferir dinero por Western Union, password de cuentas bancarias, ofertas de sexo…) y los proveedores de la “mercadería financiera” son calificados por su confiabilidad en listados de otros websites, a fin de que los posibles adquirentes no sean engañados.
Nuevos “profesionales del delito”
En la presentación se mostraron también algunas actividades rentadas que llevan a cabo quienes actúan como proveedores. Hay desarrolladores de malware (el código fuente para armar una botnet se puede conseguir por 150 dólares) que hasta ofrecen a los “clientes” soporte para sus productos; también están quienes proveen skimmers (las máquinas que pueden leer los datos de la banda magnética de una tarjeta de crédito para luego hacer una copia) y otros materiales a los carders (los delincuentes que trafican con tarjetas de crédito); también hay enseñanza de programación enfocada al delito (cómo hacer un troyano, por ejemplo).
Además intervienen en el circuito delictivo los revendedores, que ofrecen todo tipo de información financiera robada, y quienes recolectan las sumas de dinero producto del delito. Esta actividad puede ser llevada a cabo por particulares, a quienes se conoce como “mulas” impulsados por el conocido email “trabaje desde su casa y haga mil dólares por semana” o por comercios que revenden, a través de páginas web, la mercadería que se adquiere por medio de las tarjetas de crédito clonadas.
Cambios de costumbres
De acuerdo a las investigaciones de los integrantes del laboratorio presentadas por Dmitry Bestuzhev, los medios más usados para infectar máquinas, en 2011, han sido: la web, en un 50%; las memorias USB, en un 8%, y hubo un 42% de medios “mixtos” (hacerle clic a un adjunto de un email, por ejemplo.)
Los delincuentes informáticos, según las mismas estadísticas, reciclan tecnologías de malware que el especialista calificó de “obsoletas”, tanto en lo que hace a lenguajes de programación como a las técnicas de infección, pero se empeñan en modificar su software, a fin de usar ataques de Día Cero (vulnerabilidades que aún no tienen parche oficial de fábrica) y así pasar la barrera de un antivirus. Los ataques a máquinas de América Latina, España y Portugal fueron detectados durante 2011, en un 67% por medio de sistemas de heurística, y en un 33% por medio de las “firmas” que reconoce el antivirus.
Algunas conclusiones
La extensa exposición brindada por Dmitry Bestuzhev, que se completó con una entrevista donde pude recabar más datos, se puede resumir así:
- La gran cantidad de ataques demuestra que los delincuentes están obteniendo un gran beneficio económico, y que tienen suficiente impunidad para continuar;
- Los ataques que se observan a máquinas de Iberoamérica proceden tanto del interior como del exterior del subcontinente;
- Los delincuentes locales están adquiriendo mayor habilidad.
- Es posible que en el futuro el delito informático se califique como “delito”, a secas.
Tres pronósticos a tener en cuenta
- La actividad del crimen organizado se extenderá a variantes informáticas, como otra actividad delictiva más; eso traerá mayores perjuicios para los usuarios. Acoto: no es lo mismo soportar la acción de un programador transgresor ubicado en un suburbio de una gran ciudad, que ser blanco de una banda con vínculos mafiosos y buena financiación previa…
- Habrá más ataques dirigidos a obtener información financiera, producidos con mayor sofisticación.
- En unos cinco años se verán en Latinoamérica los primeros ataques del tipo APT realizados por atacantes locales, a blancos locales.
Dos observaciones personales (mías)
Sobre “ataques (…) información financiera…”, esto es lo que en la Wikipedia es llamado spear phishing; el blanco, dice ahí, suelen ser ejecutivos de corporaciones.
Sobre “…ataques del tipo APT…”, si nos vamos a la misma fuente, son los se realizan teniendo como blanco algunas veces a una entidad gubernamental, y algunas veces el diseñador también trabaja para un gobierno y… yo sé que los lectores asiduos de esta columna saben leer entre líneas.
Crédito de imagen: Captura de pantalla de software para control de zombis, por Jorge Mieres, Kaspersky Labs