La ciberdelincuencia “como servicio” tiene un crecimiento exponencial y permite a los atacantes ejecutar los ataques por un costo significativamente más bajo.
Como los servicios en la Nube, el mercado de proveedores de “ciberdelincuencia como servicio” permite a las diferentes partes malintencionadas ejecutar ataques que entregan una eficiencia mayor y flexibilidad a los delincuentes cibernéticos.
De acuerdo con McAfee, la ciberdelincuencia como servicio se extiende mucho más allá de la contratación de personas para realizar actividades específicas (como la programación de una vulnerabilidad de seguridad) e incluye una gran gama de productos y servicios a la venta o por alquiler.
En este mercado tiene diferentes partes involucradas, desde organizaciones formales y legítimas que venden vulnerabilidades a clientes que se ajustan a estrictos criterios de elegibilidad, hasta sitios Web falsos que permiten ofrecer servicios ilegales. La atención que la policía y las fuerzas de seguridad pública han puesto en la ciberdelincuencia en nivel mundial provocó que los modelos “como servicio” se volvieran más clandestinos.
En tanto, las plataformas clandestinas utilizan mecanismos más robustos para garantizar que los participantes son quienes dicen ser; sin embargo, a medida que las plataformas que facilitan el mercado de servicios para las actividades fraudulentas son clandestinas, el comercio de vulnerabilidades zero-day es más transparente.
McAfee señaló que adiferencia de otras categorías, la investigación como servicio no tiene por qué originarse en fuentes ilegales: hay espacio para un mercado gris. Es decir, existen empresas comerciales que ofrecen a la venta vulnerabilidades zero-day a determinadas organizaciones que cumplan con sus criterios de elegibilidad. También hay personas que actúan como intermediarios, que venden este tipo de propiedad intelectual a clientes interesados que pueden tener o no los mismos criterios de elegibilidad estrictos.
- Vulnerabilidades a la venta: un mercado comercial. El mercado atiende a los interesados en la adquisición de vulnerabilidades zero-day: vulnerabilidades de software sin solución conocida a la hora de su descubrimiento. Esta categoría se reconoce por los requisitos de elegibilidad para los clientes: se exige, por ejemplo, que los clientes sean funcionarios de las fuerzas de seguridad pública u organizaciones gubernamentales. Estos servicios se pueden usar para adquirir información secreta sobre vulnerabilidades para usarlas en ataques.
- Intermediarios de vulnerabilidades de seguridad. Aunque la compra de vulnerabilidades se realizan a través de una entidad comercial, existe la posibilidad de comprarlas vía servicios intermediarios., puede ser una persona independiente que actúa como intermediario motivado por las comisiones para facilitar las ventas a terceros.
- Servicios de spam. Los spammers pueden adquirir una lista de direcciones de correo electrónico. Aparte de la personalización del mensaje en un idioma determinado, el mensaje electrónico no solicitado puede requerir de ajustes más específicos.
La categoría del Crimeware como servicio incluye la identificación y desarrollo de vulnerabilidades de seguridad para una operación prevista; puede incluir la creación de material suplementario para apoyar el ataque (como instaladores, descargadores, capturadores de teclado, bots). Se incluyen herramientas que se usan para ocultar el malware de los mecanismos de protección de seguridad como cifradores, compiladores polimórficos, enlazadores, crackers y similares; además de herramientas de spam y robots como XRumer. La categoría incluye hardware que se podría utilizar para fraudes financieros.
- Servicios profesionales. La contratación externa del desarrollo de código malicioso es un fenómeno conocido desde hace bastante tiempo.
- Servicios contra malware. Los clientes pueden adquirir código desarrollado en forma previa para realizar ataques como troyanos, servicios de rootkits y ransomware.
- Servicios de vulnerabilidades de seguridad. El crimeware como servicio agrega paquetes de vulnerabilidades de seguridad que ofrecen funciones como los servicios de cifrado para encubrir un ataque y evitar la detección. Otros proveedores de servicios someten el malware de los ciberdelincuentes a prueba contra software antivirus y ponen el spam a prueba contra listas negras de dominios.
La categoría de Infraestructura de ciberdelincuencia como servicio se refiere a que una vez que se desarrolló el conjunto de herramientas, los ciberdelincuentes se enfrentan con la dificultad de hacer llegar las vulnerabilidades de seguridad a las víctimas previstas, por ejemplo los ataques de denegación de servicio (DoS).
Por su parte, los ataques informáticos como servicio se relaciona a la compra de los componentes individuales de un ataque como una opción; hay servicios que permiten externalizar el ataque por completo. Esta opción exige conocimientos técnicos mínimos.
Algunos ejemplos claros son los servicios de descodificación de contraseñas; la denegación de servicio.