La Dark Web es una red descentralizada de sitios de Internet que intenta que los usuarios sean lo más anónimos posible, enrutando todas sus comunicaciones a través de múltiples servidores y cifrándolas en cada paso.
Internet es un lugar extenso, con varias zonas según la posibilidad de acceso:
Arturo Torres, estratega de ciberseguridad de FortiGuard Labs de Fortinet para América Latina y Caribe, afirma a iProUP : "La Dark Web es la más utilizada por los cibercriminales, ya que permite distribuir el tráfico a través de distintos nodos y cifrar la información para mantener el anonimato y ocultar su ubicación".
"Mientras exista un mercado y dinero que ganar, siempre habrá delincuentes desarrollando nuevos ataques para ofrecer como servicio. La Dark Web es donde suceden esas transacciones", sentencia el ejecutivo.
Gery Coronel, Country Manager Southern LatAm en Check Point Software Technologies, remarca a iProUP que "esta parte de la web está asociada a transacciones de drogas, falsificaciones y datos robados, como tarjetas de crédito e historias clínicas".
"Hay una tendencia muy llamativa, que comenzó a finales de 2020. Hay personas que se están dirigiendo a la Dark Web y a diversos foros de hacking para ofrecer sus servicios, disponibilidad y experiencia para trabajar en puestos considerados como no legales", completa.
Juan Aguirre, Sales Engineering Sr. Manager LATAM de Sophos, asegura a iProUP que una característica clave de esta parte de Internet es su inestabilidad: "Los sitios aparecen y desaparecen rápidamente, especialmente los ilegales administrados por delincuentes, que se sabe que mueven operaciones repetidamente para evadir a la policía".
¿Cómo opera el mercado negro 4.0?
Cecilia Pastorino, especialista en Seguridad Informática de ESET Latinoamérica, señala a iProUP que un grupo cibercriminal está conformado por al menos 10 personas, cada una de ellas con diferentes roles y tareas, entre los cuales se encuentran:
- Desarrolladores de malware: programan los códigos maliciosos y aplican diferentes técnicas para evadir la detección de los antivirus
- Spammers: se ocupan de la cadena de distribución, enviando correos y generando enlaces de descarga y anuncios falsos
- Equipo de infraestructura: aseguran que los servidores y redes que utiliza el grupo permanezcan anónimas y operativas
- Equipo financiero: cobran por los servicios ofrecidos. Se encargan del lavado de criptomonedas y reclutar mulas
- Mulas: el último eslabón y muchas veces el más importante, ya que permite que los fondos lleguen a los delincuentes
De acuerdo con el FBI, las mulas suelen ser reclutadas mediante falsos avisos de trabajo online en puestos como agentes de pagos y transferencias, prometiendo ganar dinero navegando en Internet u otra ocupación que implique mover fondos y ganar una comisión.
Los ciberlincuentes suelen utilizar criptomonedas para subcontratar ataques o recibir rescates
"Los ciberdelincuentes cobran a través de sistemas de pago online y criptodivisas", añade el vocero de Check Point, quien señala: "En algunos casos también aceptan giftcards de compañías de eCommerce, por ejemplo, y su método de contacto es a través de correo electrónico y herramientas de mensajería instantánea y colaboración".
Por su parte, Juan Francisco Tapia, Preventa Regional Especialista en Microsoft Security en Licencias OnLine, plantea a iProUP que estos criminales abarcan varias subcategorías pese a compartir motivaciones: ganancia financiera o inteligencia social o política.
"El enfoque suele ser directo. Se infiltran en un sistema de datos financieros, despedazando microcantidades demasiado pequeñas para no ser detectados y salir antes de ser descubiertos. Mantener una presencia persistente y clandestina es fundamental para cumplir su objetivo", señala.
Y agrega que "lo que se busca es robar la propiedad intelectual para que el cibercriminal actúe como intermediario para ofrecer un diseño de producto, código fuente u otra información que tenga valor para una entidad específica. Más de la mitad de estas actividades son perpetradas por grupos criminales organizados".
Por último, el ejecutivo de Sophos remarca que "en la Dark Web los criminales no sólo se venden datos de empresas y personas, como números de tarjetas de crédito, registros de bases de datos o nombres de usuario y contraseñas; sino que también se planean y diseñan ataques".
Lo que más cotiza
De acuerdo con la experta de ESET, los exploits (códigos para la explotación de vulnerabilidades) y los software maliciosos son muy codiciados en el mercado negro.
"Inj3ct0r es una colección de miles de exploits para vulnerabilidades conocidas. Muchos pueden descargarse gratis, pero probablemente sean para vulnerabilidades ya corregidas, aunque también se encuentran algunos más críticos que se venden de 0,1 a 0,5 bitcoins", señala Pastorino.
De acuerdo con la ejecutiva, "si se buscan los codiciados exploits para vulnerabilidades zero-day (recientemente descubiertos), hay que pagar un depósito de u$s1.000 para ingresar a esta área restringida. Si bien queda como crédito, muchos de ellos son aún más caros".
Los cibercriminales también comercializan sistemas comprometidos e información robada de miles de usuarios. En el portal UAS RDP Shop se ofrece acceso a los servidores de cualquier país del mundo, a los que se puede acceder a distancia y controlar a antojo. Suelen usarse para lanzar ataques, guardar información ilegal temporalmente o efectuar actividades sin dejar rastros.
"Los precios rondan los 10 a 12 dólares por servidor, aunque pueden llegar a u$s15 dólares cuando el equipo cuenta con más recursos y un sistema operativo más actualizado", señala Pastorino.
La experta señala que en ese mismo sitio "puede adquirirse por sólo u$s5 una nueva identidad, que incluye correo electrónico, contraseña, dirección, documento y hasta números de seguro social o empadronamiento".
Y esta no es la única información personal que se comercializa: también se venden cuentas de Amazon, Paypal y otros servicios de pago online por un valor del 10% del saldo disponible.
En el sitio C2Bit se comercializan tarjetas de débito y crédito a entre u$s15 y u$s40 (dependiendo del país de emisión, tipo de plástico y límite disponible). Además, se transaccionan servicios de ingeniería social para obtener, por ejemplo, acceso a las redes: en Dream Market se cobra u$s99 por cuentas de Snapchat o Tinder y u$s199 por las de Instagram o Facebook.
Pastorino enumera otras prestaciones muy demandadas:
-
Servicios de Hacking: el acceso ilegal a sitios web u organización cuestan entre 500 y 3.500 dólares. Además, ofrecen cambiar calificaciones en el sistema de una universidad (entre 1.200 y 3.750 dólares), acceso a celulares (u$s600) o correo electrónico y redes sociales (u$s800)
-
Colgar sitios web: en The Dream Market se pueden ver ofertas de ataques de denegación de servicios (DDos), es decir, hacer inaccesible un sitio al colapsarlo de visitas mediante grandes redes de bots (botnets) distribuidas. Los precios van desde u$s99 (un día) hasta u$s623 (una semana)
-
Lavado de criptos: dado que la blockchain que almacena las transacciones es pública y rastreable, los "bitcoin mixers" permiten realizar numerosas pequeñas transacciones entre distintas direcciones y monedas para evitar su trazabilidad
Pastorino remarca que estos servicios no sólo están disponibles en la Dark Web, sino que los mensajeros Telegram y Discord son muy utilizados por los cibercriminales para ofrecer todo tipo de prestaciones, alojar malware y vender información robada.
El impacto en el usuario
El cibercrimen es hoy una industria millonaria en expansión y es algo que tanto empresas como usuarios finales deben tener en cuenta. Hoy, la información de cualquier individuo tiene valor y es comercializada en el mercado negro, así como también la de grandes empresas.
Renato Marchi, Sales Engineer South of Latin America de WatchGuard Technologies, señala a iProUP que la mayoría de las compañías no tiene los recursos para defenderse. "Estos ataques se dirigen a empresas de todos los tamaños", asegura.
"Una vez que se comprometió la computadora de uno de los empleados, esta puede infectar al resto de los equipos de las redes internas, incluyendo los servidores donde se encuentran los sistemas de gestión y las bases de datos", alerta a iProUP Miguel Rodríguez, director de Seguridad Informática en Megatech.
Un incidente de seguridad, como el robo o secuestro de información, puede tener diferentes impactos sobre la empresa, como implicancias legales, daños a la imagen y pérdidas económicas.
En el caso de los usuarios, los principales peligros son la suplantación de identidad y robo de información financiera, que deriva en múltiples compras realizadas a nombre de la víctima o el vaciamiento de cuentas bancarias, además del robo de accesos a redes sociales para su venta o uso para cometer otros delitos.
Estar atentos
Según Torres, de Fortinet, "todo esto puede sonar un poco abrumador para quienes no son profesionales en ciberseguridad. Por eso, la concientización y la capacitación en mejores prácticas es tan importante para cualquier persona, independientemente de su edad, localización u ocupación".
En sintonía, la experta de ESET enfatiza que "conocer la industria del cibercrimen y el modo en que se manejan estos grupos permite ser más conscientes del accionar malicioso y así mejorar las herramientas de protección".
Cualquiera puede ser víctima de un ataque informático o infección de malware. Por tal motivo, expertos recomiendan medidas básicas como usar un antivirus, doble factor de autenticación y mantener dispositivos actualizados. Desde Check Point comparten a iProUP una serie de medidas preventivas:
- Comprar en sitios reconocidos y estar alerta a direcciones parecidas
- Las ofertas que son demasiado buenas para ser verdad, son estafas
- Buscar siempre el candado en la barra de direcciones
-
Estar siempre atento a los correos de restablecimiento de contraseñas, especialmente en jornadas como el Black Friday
La mejor defensa es la prevención. Mantener las buenas prácticas puede prevenir el accionar de los ciberdelincuentes, que trabajan las 24 horas para conseguir sus botines.