Capituli 7

Suscríbete a DeepL Pro para poder editar este documento.
Entra en para más información.
Capítulo 7
Comportamiento adverso
Gianluca StringhiniUniversidad de Boston
223
El conjunto de conocimientos de
ciberseguridad
INTRODUCCIÓN
Los avances tecnológicos de los que ha sido testigo nuestra sociedad en las últimas
décadas han traído consigo mejoras en nuestra calidad de vida, pero también han creado
una serie de oportunidades para que los atacantes causen daño. Antes de la revolución de
Internet, la mayor parte de los delitos y actividades maliciosas requerían generalmente que
una víctima y un agresor entraran en contacto físico, y esto limitaba el alcance que tenían los
malintencionados. La tecnología ha eliminado la necesidad de contacto físico para llevar a cabo
muchos tipos de delitos, y ahora los atacantes pueden llegar a las víctimas en cualquier parte del
mundo, siempre que estén conectados a Internet. Esto ha revolucionado las
características del crimen y la guerra, permitiendo operaciones que antes no habrían sido
posibles.
En este documento, proporcionamos una visión general de las operaciones maliciosas que
se producen en la actualidad en Internet. En primer lugar, ofrecemos una taxo no mí a de las
actividades maliciosas basada en las motivaciones y capacidades del atacante, y luego pasamos
a los elementos tecnológicos y humanos que los adversarios necesitan para llevar a cabo
una operación con éxito. A continuación, analizamos una serie de marcos de trabajo que
se han pro puesto para mo del ar las operaciones maliciosas. Dado que los co mpo rtami
entos de los adversarios no son un tema puramente técnico, nos basamos en la investigación en
varios campos (informática, criminología, estudios bélicos). Al mismo tiempo, discutimos
cómo estos marcos pueden ser utilizados po r los investigado res y los pro fesionales para
desarrollar mi tigacio nes eficaces contra las operaciones maliciosas en línea.
7.1 UNA CARACTERIZACIÓN DE LOS ADVERSARIOS

[711][712][ 713, 714][17, 715, 716][717][ 718, 719]
En esta sección, presentamos una caracterización de los adversarios que realizan acciones
maliciosas. Esta caracterización se basa en su motivación (por ejemplo, financiera, política,
etc.). Aunque existen caracterizaciones y taxonomías alternativas (por ejemplo, desde el
campo de la psicología [720]), creemos que la que presentamos aquí es la que mejor
ilustra las capacidades de los atacantes conocidos y las herramientas necesarias para montar
una operación maliciosa con éxito, como una empresa de malware financiero. Esta caracteri zación
también sigue la evolución que ha seguido la ciberdelincuenci a en las últimas décadas, pasando de
ser una operación ad hoc llevada a cabo por un único delincuente a un ecosistema
mercantilizado en el que varios actores especializados operan juntos de forma organizada
[721,722]. La caracterización que se presenta en esta sección se basa en estudios de casos y
en ejemplos destacados recogidos en la literatura de investigación, y como tal no pretende ser
completa. Por ejemplo, no nos centramos en los delincuentes accidentales (por ejemplo, las
amenazas internas inadvertidas), ni en las operaciones delictivas para las que se carece de
literatura académica rigurosa (por ejemplo, los atentados contra instituciones financieras o
los ataques a la cadena de suministro). Sin embargo, creemos que el conjunto de delitos y
actividades maliciosas presentado es lo suficientemente amplio como para dibujar una
imagen representativa de los comportamientos adversos que se están produciendo en la
naturaleza en el momento de escribir este artículo. Comenzamos definiendo dos tipos de
ciberdelitos tal y como han sido definidos en la literatura, los ciberdelitos habilitados y los
KA Adversarial Behaviour | octubre de Página
ciberseguridad
ciberdependientes, y continuamos presentando diferentes tipos de actividades maliciosas que

han sido cubiertas por los investigadores.

Delitos que dependen del ciberespacio y del ciberespacio
Uno de los principales efectos que ha tenido Internet en la actividad maliciosa ha sido el
de aumentar el alcance de los delitos existentes, en cuanto a la facilidad para llegar a las
víctimas, eliminando efectivamente la necesidad de proximidad física entre la víctima y el
delincuente. En la literatura, estos delitos se denominan a menudo ciberhabilitados [711].
Según Clough [111], los delincuentes tienen cinco incentivo s pri ncipales para trasladar sus operaciones
a Internet: 1.Utilizando I nternet, es más fácil enco ntrar y co ntactar co n las víctimas. Las listas
de correo electrónico se venden en
mercado s terrestres [723], mientras q ue las redes sociales en línea tienen
funcio nalidades de búsq ueda incrustadas, lo que permite a los delincuentes identificar
fácilmente a las víctimas potenciales [724,725].
2. Al utilizar Internet, las operaciones delictivas pueden ser más baratas. El envío de
correos electrónicos es gratuito, mientras que antes los estafadores tenían que
pagar los gastos de envío para llegar a sus víctimas. Esto también permite a los
delincuentes aumentar la escala de sus operaciones a tamaños que antes eran
impensables.
3. En comparación con sus homólogos físicos, Internet permite que los delitos se
realicen con mayor rapidez. Por ejemplo, los correos electrónicos pueden llegar a las víctimas
en cuestión de segundos, sin tener que esperar a que se entreguen las cartas físicas.
4. Gracias a Internet, es más fácil operar a través de las fronteras internacionales, llegando
a víctimas situadas en otros países. En este contexto, a menudo la única limitación es el
idioma, ya que los delincuentes sólo se dirigen a las víctimas que hablan un idioma
con el que están familiarizados (por ejemplo, personas de países de habla inglesa)
[726].
5. Al operar a través de Internet, es más difícil que los delincuentes sean atrapados. Esto
se debe principalmente al carácter transnacional de la ciberdelincuencia y al hecho de
que el problema de armonizar las leyes correspondientes de los distintos países está
lejos de resolverse [727]. Además, las investigaciones muestran que la delincuencia en
línea no suele denunciarse, tanto porque las víctimas no saben a quién denunciar
(dado que el delincuente puede estar situado en otro país), como por el hecho de que
creen que es poco probable que les devuelvan el dinero [728].
Por otro lado, los delitos ciberdependientes son aquellos que sólo pueden cometerse con el
uso de ordenadores o dispositivos tecnológicos [711]. Aunque el objetivo final de este tipo
de delitos tiene a menudo paralelos en el mundo físico (po r ejemplo, exto rsió n, ro bo de identidad,
fraude fi nanciero ), la In- ternet y la tecnologí a generalmente permi ten a los delincuentes dar una
nueva fo rma a estos delitos, co nvirtiéndolos en esfuerzos o rgani zados a gran escala capaces
de llegar a cientos de miles, si no millones, de víctimas.
En el resto de esta sección analizamos en detalle una serie de esquemas de delincuenci a
habilitados y dependientes de la cibernética.
Infractores interpersonales
La primera categoría que vamos a analizar es la de los delitos interpersonales. Estos
delitos incluyen la violencia y el acoso selectivos, dirigidos tanto a personas cercanas (por
ejemplo, miembros de la familia) como a extraños. Aunque estos delitos siempre han
existido, Internet ha hecho que el alcance de los acosadores y delincuentes sea mucho
mayor, eliminando de hecho la necesidad de contacto físico para que se cometa el delito.
Como tal, estos delitos entran en la categoría de los ciberdelitos. En el resto de esta
sección, ofrecemos una visión general de estos comportamientos adversos.
Ciberacoso. Willard [ 712] define el ciberacoso co mo "el envío o la publicación de material
perj udicial o la participación en o tras fo rmas de agresió n social utilizando I nternet u o tras tecnologías
di gitales". Aunque no siempre es ilegal1 , el ciberacoso suele ocupar una zona gris entre lo
que se considera un acto dañino y un delito penal [ 729]. Esta práctica se ha converti do en un
grave pro blema para los jóvenes, que a menudo so n blanco de sus co mpañero s no sólo
en la vida real, sino también en las plataformas en línea [730]. Aunque la práctica del acoso no es
nada nuevo, Internet ha cambiado significativamente la dinámica de estas prácticas de
acoso. Lo que solía ser una práctica dañina limitada al horario escolar ahora puede
perpetrarse en cualquier momento, exponiendo efectivamente a las víctimas a un acoso
ininterrumpido [731].
Un aspecto que diferencia el ciberacoso del acoso físico tradicional es que las perso nas en
línea pueden ser anóni mas, y no tienen su no mbre o su cara uni dos a la actividad abusi va que están
llevando a cabo [732,733]. Los investigadores descubrieron que la interacción con las
personas en línea crea un efecto de desinhibición por el que se acentúan los rasgos
personales (es decir, las personas negativas se vuelven más malas y las positivas más
agradables) [734]. Este efecto de desinhibición puede hacer que al gunas perso nas sean más
pro pensas a realizar acti vidades abusi vas de lo que harían en el mundo o ffline [ 733]. Otro
aspecto que co ntri buye a la desinhibició n es el hecho de que el contenido en línea que se
distribuye en ciertas plataformas (por ejemplo, snapchat, 4chan) es efímero, en el sentido
de que se borra después de un cierto período de tiempo [735]. De este modo, los
acosadores sienten que sus acciones no tienen consecuencias negativas, ya que no habrá
pruebas fehacientes de ello en el futuro.
Doxing. Otro tipo de acoso en línea es la práctica del doxing, un ataque en el que la info
rmación privada de la vícti ma se hace pública en línea [ 736]. Esta o peració n suele fo rmar parte de
una campaña de acoso más amplia, en la que la divulgación de información sensible se
utiliza como forma de avergonzar a la víctima o de facilitar un mayor acoso, incluso en el
mundo físico (por ejemplo, divulgando información en el lugar de trabajo o la dirección del
domicilio de la víctima).
La práctica del doxing se ha hecho cada vez más popular en los últimos años como forma
de polarizar el debate en línea y silenciar a las personas. Un ejemplo destacado es la
contro versia del #GamerGate, en la que se atacó a menudo a mujeres activistas y se
publicó su info rmación perso nal en línea [737]. El doxing ha sido un vehículo principal para los
ataques de odio coordinados por comunidades online polarizadas como el tablero
Politically Incorrect de 4chan (/pol/) [735]. Como parte de esto s ataq ues, los usuarios anó
ni mos publican info rmación so bre sus o bjetivo s en línea (po r ejemplo, páginas de medios sociales,
números de teléfo no, direccio nes físicas), y luego invitan a o tras perso nas a llevar a cabo
ataques vagamente coordinados (llamados redadas) contra esas personas. Estos ataques
suelen consistir en discursos de odio y otro tipo de lenguaje abusivo.
Aunq ue es una práctica destacada en el ámbi to del aco so en línea, el do xi ng tambi én es
utilizado po r otro s delincuentes. Por ejemplo, es una de las técnicas empl eadas po r grupo s de
hack tivistas co mo A no ny- mo us para po ner so bre aviso a sus o bjeti vos. A co ntinuació n,
hablaremos de las otras técnicas utilizadas por los hacktivistas,
1
Aunque no existe una definición de ciberacoso en la legislación británica, algunas formas del mismo
pueden ser perseguidas en virtud de la Ley de Protección contra el Acoso de 1997.
junto con sus motivaciones, más adelante en esta sección.
Ciberacoso. Otra actividad perjudicial facilitada por Internet es el acoso. El ciberacoso es la
práctica de utilizar medios electrónicos para acosar a otra persona [738,739]. A grandes
rasgos, podemos identificar dos tipos de ciberacosado res: los que utilizan la información que encuentran
en Internet para ayudarles a acosar a su víctima en la vida real (por ejemplo, monitorizando las
redes sociales para conocer su paradero ), y los que utilizan los medios que ofrecen los servicios en
línea para acosar a su víctima puramente en línea. Además, los acosadores que operan en línea se
dividen en los que actúan de forma puramente pasiva, sin ninguna interacción con la víctima, y los
que realizan interacciones, por ejemplo, enviando sus mensajes en una plataforma de red social
[740]. Para contrarrestar el ciberacoso,
recientemente se han introducido leyes en muchos países, como la Ley de Protección de las
Libertades de 2012 en el Reino Unido y la Ley de Violencia contra las Mujeres de 2000 en
Estados Unidos.
La sextorsión. Un delito emergente que ha cobrado relevancia es la sextorsión, en la que un
delincuente atrae a las víctimas para que realicen actos sexuales delante de una cámara
(por ejemplo, una cámara web en una sala de chat), graba esos actos y posteriormente
pide un pago monetario para no divulgar las imágenes [741]. La sextorsión se está
convirtiendo en una amenaza tan importante que las agencias de prevenció n de la delincuencia,
como la Agencia contra la Delincuencia Nacional (NCA) en el Reino Unido, están lanzando
campañas de concienciación específicas contra ella. 2
Depredación de menores. Otro delito facilitado por Internet es la depredación de menores
[742]. Los servicios en línea son un terreno fértil para q ue los delincuentes encuentren víctimas,
ya sea en chats, redes sociales en línea o plataformas de juegos en línea. A continuación,
el delincuente prepara a sus víctimas para que realicen abusos físicos o en línea [742]. En
comparación con el delito correspondiente fuera de línea, la depredación sexual en línea
presenta dos diferencias principales: en primer lugar, la víctima y el agresor casi nunca se
conocen en la vida real. En segundo lugar, la demografía de las víctimas está más sesgada
hacia los adolescentes que hacia los niños pequeños, porque la edad en la que los niños
empiezan a conectarse a Internet es ligeramente superior [ 743]. Los delincuentes utilizan una
serie de tácticas, como hacerse pasar por personas jóvenes y niños para preparar a sus
víctimas [744] y las investigaciones han demostrado la vulnerabilidad potencial de los
niños de todas las edades a este tipo de engaño de identidad en línea [745].
Otros delincuentes no interactúan directamente con los niños, pero descargan y comparten
pornografía infantil en Internet. En estos casos, los agreso res co nocen a menudo a sus vícti mas y
di funden material de abuso infantil a estos "usuarios" de dicho material. Esto se ha visto facilitado
por las platafo rmas de intercambio entre pares [ 746,747], así co mo po r tecnologías de ano ni
mización co mo To r [748]. También se han estudiado los retos que plantea la identi ficación de
los creado res de nuevo materi al de abuso infantil (y las tácticas engañosas utilizadas por los
delincuentes, po r ejemplo, el vo cabul ario especi alizado de los nombres de los archivos para
frustrar las investigaciones) en estas redes entre iguales [747].
Criminales organizados con ayuda del ciberespacio

En esta secció n, nos centramo s en los delitos ci bernéticos llevado s a cabo po r delincuentes pro
fesionales. E n particular, ofrecemos dos ejemplos destacados de delitos cibernéticos que
han recibido una gran atención por parte de la comunidad investigadora: el fraude por
adelantado y el tráfico de drogas. Estos delitos no suelen ser llevados a cabo por un solo
delincuente, sino por múltiples delincuentes que actúan juntos en peq ueñas organizacio nes
ciberseguridad
[749] o en verdaderas organi zacio nes cri minales estructuradas [ 750]. Reconocemos que existen
otros delitos que han visto incrementado su alcance gracias a la tecnología. Sin embargo,
estos delitos aún no han sido estudiados en profundidad por la comunidad investigadora y,
por tanto, hemos decidido centrarnos en el que la comunidad investigadora conoce mejor.
2
http://www.nationalcrimeagency.gov.uk/crime-threats/kidnap-and-extortion/sextortion

Fraude con honorarios anticipados. En este tipo de estafa, se promete a la víctima una
recompensa (económica o de otro tipo), pero para obtenerla tiene que pagar primero una
pequeña cantidad al estafador. Una vez efectuado el pago, la vícti ma no suele vol ver a tener no
ticias del estafador, mientras que a veces la relación se prolo nga durante largos perio dos de tiempo y
la víctima es estafada repetidamente con grandes sumas de dinero [751].
El ejemplo arquetípico de fraude con comisiones por adelantado son las llamadas estafas
419 [713]. Estas estafas, que llevan el no mbre de la secció n del Có digo Penal nigeriano que trata
sobre el fraude, se hiciero n po pul ares en la década de 1980, cuando las vícti mas reci bían cartas
físicas de un supuesto príncipe ni geriano q ue pretendía transferir grandes canti dades de dinero fuera
del país. Para iniciar el proceso, se exige a la víctima que transfiera una pequeña cantidad de
dinero al estafador (por ejemplo, para cubrir los gastos legales). Como puede imaginarse,
Internet permitió que este tipo de fraude floreciera, al permitir a los delincuentes llegar
instantáneamente a un gran número de víctimas potenciales.
Otro ejemplo de fraude por adelantado es el fraude al consumidor perpetrado en sitios web
de anuncios clasificados como Craigslist [752]. Como parte de este fraude, las víctimas
responden a un anuncio clasificado de un artículo deseable (por ejemplo, un coche usado o
una propiedad de alquiler) que tiene condiciones mucho mejores (como un precio más
bajo) que otros anuncios similares. El estafador responde que necesitará un pequeño pago
por adelantado para entregar la mercancía. Tras recibirlo, la víctima no volverá a saber
nada del estafador.
Un último ejemplo de fraude de tarifa avanzada es el fraude romántico en línea. Este tipo
de fraude, que tiene lugar en sitios de citas en línea, suele consistir en que los delincuentes
se hacen pasar por personas atractivas que buscan iniciar una relació n co n la víctima. A
diferencia de la estafa 419, estas relaciones en línea suelen durar meses antes de que el
estafador exija dinero, por ejemplo, para ayudar a su familia o para abrir un negocio [ 749]. Para
entonces, es probable que la víctima, que probablemente esté involucrada
emocionalmente con la persona suplantada por el delincuente, acceda. Investigaciones
anteriores informaron de que las víctimas de este delito pueden perder entre 50 y 240.000
libras esterlinas [751]. Sin embargo, a diferencia de otros tipos de fraudes por adelantado,
el daño psicológico de la pérdida de la relación ficticia puede ser mucho mayor que el
financiero.
Un elemento común a todos los tipos de fraudes por adelantado es la necesidad de que los
delincuentes construyan una narrativa atractiva que induzca a las víctimas a pagar la cuota
fraudulenta. Para ello, los delincuentes suelen dirigirse a grupos demográficos específicos
y hacerse pasar por personas concretas. Por ejemplo, investigaciones anteriores
demostraron que los estafadores románticos suelen hacerse pasar por miembros del
ejército destinados en el extranjero [753]. De este modo, los estafadores pueden construir
una narrativa creíble sobre el motivo por el que no pueden reunirse con la víctima en
persona, y pueden crear una conexión emocional con la vícti ma, lo que aumentará las po
sibilidades de q ue cai ga en la estafa. A menudo, los estafadores se hacen pasar por hombres
viudos de mediana edad que se dirigen a mujeres viudas del mismo grupo demográfico, en
un intento de establecer una conexión emo cional con su vícti ma [ 749]. En otro s casos, los
estafadores emplean trucos psicológicos para ganarse a sus víctimas, como la presión del
tiempo o el comentario de que han elegido específicamente a la víctima por sus elevadas
características morales [713].
De forma más cínica, Herley argumenta que los estafado res están incentivado s para co nstrui r las
narrativas más absurdas posi bles, para asegurarse de q ue sólo responderán aq uellos que sean lo
suficientemente crédulos co mo para creerlos, y que estas personas serán las más
propensas a caer en la estafa [754]. Su argumento es que responder al primer mensaje
repetitivo es caro para el estafador, mientras que enviar la primera copia a todas las
víctimas que desee es gratis. Por esta razón, les interesa descartar lo antes posible a
quienes no son susceptibles de caer en la estafa.
Tráfico de drogas. Otra categoría de delitos para la que Internet ha ofrecido oportunidades
ciberseguridad
es el tráfico de drogas. Gracias a tecnologías de anonimización como Tor [ 755] y las

criptomonedas [756], han surgido mercados en línea en los que los consumidores de
drogas pueden comprar sustancias ilícitas y recibirlas directamente en su casa. Las
investigaciones han demostrado que este negocio está prosperando, a pesar de la
inestabilidad de estos mercados, que a menudo son desmantelados por las fuerzas del
orden [714,757]. Los mercados de drogas en línea suponen un interesante cambio de
paradigma para los consumidores de drogas, ya que eliminan la necesidad de que el
comprador interactúe con los delincuentes en un entorno físico y potencialmente inseguro.
Sin embargo, trabajos recientes han demostrado que la aparición del mercado de drogas en
línea no ha cambiado el ecosistema del tráfico de drogas en todo el mundo: los grandes actores que
producen y distribuyen las drogas permanecen en general sin cambios, mientras que lo que
ha cambiado es la "última milla" de la entrega (es decir, la forma en que los traficantes
locales y los consumidores de drogas se ponen en contacto y hacen negocios) [750].
Criminales organizados dependientes del ciberespacio

En esta sección, describimos los delitos que tienen un objetivo financiero y que se llevan a
cabo utilizando infraestructuras técnicas complejas (por ejemplo, botnets [ 758]). A diferencia
de los delitos cibernéticos descritos en la sección anterior, en los que el delincuente reproduce
una operación delictiva física y utiliza Internet para aumentar su alcance, en el caso de los delitos
ciberdependientes los delincuentes tienen que crear complejas infraestructuras tecnológicas
para lograr sus objetivos. La complejidad de estas operaciones ha dado lugar a una comparti
mentació n en el ecosistema delictivo, en el que cada actor malicioso se especializa en una
parte específica de una operación cibercriminal (por ejemplo, infectar ordenado res con malware
o realizar el blanqueo de dinero) y trabaja conj untamente para lograr un objetivo común. En esta
sección, ofrecemos algunos ejemplos de delitos ciberdependientes que han sido estudiados
por la literatura de investigación en los últimos años. A continuación, en la sección7. 2 ,
cubrimos en detalle los diversos elementos que los delincuentes deben poner en marcha
para que sus operaciones tengan éxito.
Spam por correo electrónico. El spam de correo electrónico ha sido una gran molestia
para los usuarios de Internet durante las últimas dos décadas, pero también ha estado a la
cabeza de operaciones criminales muy exitosas, que han logrado monetizar la venta de
productos falsificados y farmacéuticos llegando a miles de millones de clientes po tenciales a
través de mensajes maliciosos [759]. El spam po r co rreo electró nico se define co mo correo
electrónico masivo no solicitado; esta definición pone de manifiesto los dos elementos
principales del problema: el hecho de que los mensajes que reciben las víctimas no son
solicitados (es decir, no se pidieron en primer lugar), y que se envían en masa para llegar al
mayor número posible de víctimas.
Aunque el primer correo electrónico no deseado se registró en 1978 [ 760], el spam por
correo electrónico cobró importancia en la década de 1990, cuando los delincuentes crearo n
pequeñas o peracio nes, no muy diferentes de las de fraude por adelantado descritas en la
sección anterior [761]. El objetivo de estas operaciones era vender productos en línea, que
podían abarcar desde suplementos dietéticos hasta recuerdos nazis [ 761]. En esta fase,
contando con su propia experiencia y con la ayuda de un pequeño número de asociados,
los delincuentes llevaban a cabo to das las acti vidades necesarias para mo ntar una o peració n de
spam co n éxito: (i) reco pilar las direcciones de co rreo electrónico a las q ue enviar los mensajes
ciberseguridad
maliciosos, (ii) crear la tienda de co rreo electró nico, (iii) enviar los co rreo s electrónicos de spam
de forma masiva, (iv) procesar los pedidos de las perso nas q ue querían comprar los artículos
anunciados, (v) reaccionar ante las redadas de las fuerzas del orden

(por ejemplo, la incautación de un servidor de correo electrónico). Aunque todavía eran
rudimentarias en comparación con las operaciones de spam que se produjeron durante la
década siguiente, estas actividades delictivas impulsaron el desarrollo de una legislació n para
regul ar los correos electrónico s masi vos no solicitados, co mo la Directiva so bre privaci dad
y comunicaciones electró nicas de la UE3 , el Reglamento sobre privacidad y comunicaciones
electrónicas del
3
https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32002L0058
Reino Unido4 y la Ley CAN-SPAM en Estados Unidos. 5 Estas leyes ayudaron a perseguir a
algunos de los primeros spammers. En 2004, America Online (AOL) ganó un juicio contra Davis
Wolfgang Hawke, que vendía aparatos nazis a través de correos electrónicos basura. Hawke
fue condenado a pagar una multa de 12,8 millones de dólares.
Los avances técnicos de principios de la década de 2000, y en particular el desarrollo de
botnets, redes de ordenadores comprometidos controlados por el mismo ciberdelincuente
[758], dieron oportunidades sin precedentes a los delincuentes que hoy quieren dedicarse al
spam por correo electrónico. El spam por correo electrónico ya no es una operación
unipersonal, sino que se apoya en prósperos ecosistemas delictivos. Los emisores de spam
pueden alquilar botnets a delincuentes especializados en infectar ordenadores con
malware [723], comprar listas de direcciones de correo electrónico objetivo a actores
especializados [762] e inscribirse en un programa de afiliados [763,764], que proporcionará
al emisor de spam una forma de publicidad, además de encargarse de los envíos y los
pagos.
La carrera armamentística relacionada con la mitigación del spam se lleva a cabo desde los
años 90, y se han pro puesto numerosas mi tigacio nes [765]. En la actualidad, las técnicas antispam
garanti zan que la inmensa mayoría de los correos maliciosos nunca lleguen a los buzones de
sus víctimas. Para solucionar este problema, los delincuentes tienen q ue enviar decenas de miles de
millones de co rreo s electró nicos [ 723] para que sus o peracio nes sigan siendo rentables. Otro
problema es que, de las víctimas a las que llegan los correos electrónicos de spam, sólo
una pequeña parte comprará los productos anunciados y obtendrá beneficios para los
delincuentes. Los investigadores llevaron a cabo un estudio de caso para la red de bots
Storm [17], que demostró que de los 469 millones de correos electrónicos de spam
enviados por la red de bots, sólo el 0,01% llega a sus objetivos. De ellos, sólo el 0,005% de los
usuarios hace clic en los enlaces co ntenido s en los co rreo s electrónicos, mientras q ue un número
aún meno r termi na comprando artículos: sólo 28 usuarios en total de los 469 millones
alcanzados, o el 0,0004% del total. A pesar de este fuerte descenso, McCoy et al.
demostraron que los programas de afiliación de spam más populares fueron capaces de
obtener hasta 85 millones de dól ares de ingresos en un perio do de tres años [ 763]. Tambi én
demostraro n que la clave de este éxito son los clientes que regresan. De hecho, los correos
electrónicos de spam sólo tienen que llegar a un cliente interesado una vez, y esta persona
puede seguir comprando en el sitio sin tener que preocuparse por los filtros de spam.
Phishing. Un tipo particular de spam es el phishing, en el que los delincuentes envían

correos electrónicos que simulan ser de servicios genuino s (po r ejemplo, banca en línea,
sitios web de redes sociales) [715]. Estos co rreos electró nicos suelen atraer a los usuarios
para que entreguen sus nombres de usuario y contraseñas a estos servicios
presentándoles un correo electrónico creíble en el que se les pide que visiten el sitio web
(por ejemplo, para recuperar su último estado de cuenta). Al hacer clic en el enlace del
correo electrónico, los usuarios son dirigidos a un sitio web que muestra páginas de inicio
de sesión falsas pero realistas. Una vez que han introducido sus credenciales, los
delincuentes acceden a ellas y podrán posteriormente iniciar sesión en esos servicios en
nombre de los usuarios, pudiendo ganar dinero directamente o vendiendo las credenciales en el
mercado negro.
Para el delincuente, un componente clave del éxito de las páginas de phishing es la
creación de páginas web que se parezcan lo más posible a las originales. Para facilitar esta
tarea, los ciberdelincuentes especializados desarrollan y venden los llamados kits de phishing
[766], pro gramas que pueden instalarse en un servidor y que producirán una página web de
aspecto adecuado para muchos servicios populares. Estos kits también suelen
ciberseguridad
ofrecer funcio nalidades q ue facilitan al delincuente la reco gi da y el segui miento de las credenciales
ro badas [ 766]. Otro elemento q ue necesi tan los delincuentes para alojar estas páginas son los
servidores bajo su control. Al igual que ocurre con el spam, los delincuentes, los
investigadores y los profesionales están invol ucrados en una carrera armamentística para identificar
y po ner en la lista negra las pági nas web de phishing [ 767], po r lo que no tiene senti do eco nó
mico q ue los delincuentes instalen sus pro pios servi do res. En su lugar, los delincuentes suelen
alojar estas páginas web en servidores comprometidos, por los que no tienen que pagar
[768].
4
wikipediaorg/wiki/Privacy_and_Electronic_Communications_(EC_Directive)_Regulations_2003
5
https://en.wikipedia.org/wiki/CAN-SPAM_Act_of_2003

Tras ro bar un gran número de credenciales, los delincuentes pueden explo tar estas cuentas ellos
mismos o vender los nombres de usuario y las contraseñas en el mercado negro.
Investigaciones anteriores han demostrado que, a menudo, esto s delincuentes entran en las
cuentas y dedican tiempo a evaluar su valor, por ejemplo, buscando información financiera en
las cuentas de correo web[726,769].
Malware financiero. Otra operación delictiva muy popular es el malware financiero. En este
caso, los delincuentes pretenden instalar malware en los ordenadores de sus víctimas y
robar credenciales financieras como números de tarjetas de crédito y nombres de usuario
y contraseñas de la banca online. Esta tendencia se inició con el malware Zeus, que los
delincuentes podían adquirir en el mercado negro y utilizarlo para mo ntar sus o peraciones [770].
Una vez instalado en el ordenado r de la vícti ma, Zeus esperaba a que el usuario visitara un sitio
web de una lista preconfigurada de sitios interesantes que el delincuente podía especificar.
A continuació n, registraba los nombres de usuario y las contraseñas a medi da que el usuario los
escri bía, y los enviaba al servidor de mando y control configurado por el delincuente.
Un bo tnet más so fisticado para el ro bo de info rmació n fue To rpi g [716]. A diferencia de Zeus,
Torpi g utilizaba un mo delo de botnet co mo servicio, en el q ue un único delincuente especializado
se encargaba de alojar la infraestructura de la botnet, mientras que otros delincuentes podían
realizar sus campañas para infectar los ordenadores de las víctimas, pagar una cuota por
utilizar la infraestructura de Torpig y recuperar posteriormente las credenciales robadas.
Los investigadores demostraron que, en 2009, la botnet Torpig fue capaz de robar 8.310
credenciales únicas de cuentas bancarias y 1.660 números únicos de tarjetas de crédito en
un periodo de diez días. [716].
Para rentabilizar sus operaciones, los ciberdelincuentes pueden vender la info rmación financiera
ro bada en fo ro s clandestinos dedicados a ello [771]. El precio q ue los delincuentes pueden pedir po
r estas credenciales varía en función del tipo de registros que hayan podido robar. Por ejemplo,
en el mercado clandestino hay dos tipos de registros de tarjetas de crédito que se
comercializan: los dumpz, que contienen la información q ue permi te a un delincuente clonar una
tarjeta de crédi to (es decir, el número de tarjeta, la fecha de caducidad y el código de
seguridad), y los fullz, que también contienen la dirección de facturación asociada a la
tarjeta. Los fullz valen más dinero en el mercado negro, po rq ue permiten a los delincuentes
comprar artículos en línea.
Un tipo de delito relacionado que se está haciendo más popular es el skimming de tarjetas
[772]. En este delito cibernético, los delincuentes instalan dispositivos en las máquinas
ATM que recogen detalles de las tarjetas
insertados en las máquinas por usuarios involuntarios. El delincuente puede entonces
recoger los dispositivos para recuperar las credenciales financieras robadas. Aunque este
tipo de delito es grave, también es un buen ejemplo de l as limi taciones de los delitos físico s
en co mparació n con sus ho mólogo s en línea: la necesidad de una acción física por parte del
delincuente limita la escala de la operación, mientras que las operaciones de malware
financiero pueden afectar a un número mucho mayo r de vícti mas. Por ejemplo, el malware Torpig
se instaló en más de 100.000 ordenadores [716].
Hay que tener en cuenta que el malware no siempre es necesario para realizar un fraude
financiero. En algunos casos, las amenazas internas dentro de las organizaciones financieras
podrían actuar maliciosamente y defraudar tanto a sus instituciones como a sus clientes
[773,774]. En otros casos, la información financiera, como los números de las tarjetas de
crédito, podría ser robada explotando una vulnerabilidad en un sistema online (por ejemplo,
volcando la base de datos de una tienda online) [775]. En otros casos, las credenciales
SWIFT robadas de los bancos pueden utilizarse para realizar grandes transferencias de
dinero fraudulentas [776].
Fraude por clic. Los anuncios web son la principal forma de monetizar la web. Un
administrador de la web puede decidir alojar anuncios en su sitio web y, cuando los
visitantes los ven o hacen clic en ellos, reci be una peq ueña co misió n de un anunciante. P ara mediar
en esta interacció n, han surgido servicios especializados co no cido s co mo "ad exchanges". D
ebido a su fácil mo neti zación, los anuncios en la web son propicios para el fraude. En
particular, los delincuentes pueden alojar anuncios en sus propios sitios web y generar
clics "falsos" (por ejemplo, utilizando bots). El resultado es un anuncio
ciberseguridad
intercambio pagando a los delincuentes po r i mpresio nes publicitarias q ue no eran "auténticas",

lo que acababa por defraudar al anunciante.
Una vez más, los delincuentes se ven envueltos en una carrera armamentística con los ad
exchanges, interesados en que el fraude en sus servicios sea mínimo. Para ayudar a los
delincuentes a generar un gran número de clics y pasar desapercibidos, accedi endo desde un gran
número de di recciones IP, han surgido los llamados botnets de fraude de clics. Un ejemplo es
Zeroaccess [16], que estuvo activo en 2013. En una máquina infectada, este malware
actuaba como un usuario normal, navegando por sitios web y haciendo clic en los anuncios
que su propietario elegía. Los investigadores demostraron que esta red de bots era respo
nsable de pérdidas para la i ndustria publicitaria de apro xi madamente 100.000 dól ares al día [16].
Minería de criptomonedas no autorizada. Con la creciente popularidad de las
criptomonedas, se ha abierto una nueva o portunidad para los delincuentes: utilizar ordenado
res infectado s para minar la mo neda. En 2014, Huang et al. revelaron esta amenaza, mostrando
que las redes de bots se utilizaban para minar Bitcoin [15]. A la vez que revelaban esta
nueva monetización del malware, los autores también concluían que estas operaciones no
parecían ganar mucho dinero, sumando como mucho 900 dólares al día.
Sin embargo, un estudio más reciente ha demo strado que el minado de cri pto mo nedas mediante
bo tnets po dría ser mucho más rentable de lo que se pensaba. Pastrana y Suárez- Tangil demo
straro n que minando Monero y utilizando una serie de técnicas para aumentar sus posi bilidades de
minar la mo neda (po r ejemplo, utilizando pools de mi nería) los delincuentes podían ganar hasta
18 millones de dólares en un periodo de dos años. [ 777].
Otra tendencia emergente en la ci berdelincuencia consiste en apro vechar los navegado res web para
mi nar cripto mo nedas. En lugar de instalar malware en los ordenadores de las víctimas y
utilizarlos para la minería, los delincuentes añaden scripts a las páginas web y hacen que
sus visitantes minen criptomonedas. Este tipo de actividad maliciosa se deno mi na cryptojacking.
A unq ue el uso de estos scripts no es necesariamente ilegal (es decir, los admi nistrado res
web pueden instalarlos legíti mamente en sus páginas web de fo rma si milar a los anuncios), los
delincuentes han sido sorprendidos añadiéndolos a sitios web comprometidos en
múltiples ocasiones. Konoth et al. demostraron que una campaña maliciosa puede ganar
31.000 libras esterlinas en una semana [ 778], mientras q ue Rüth et al. [779] demo straro n q ue el
1,18% de los bloques mi nado s en la blockchain de Mo nero pueden atribuirse a Coinhive, la
biblioteca de criptojacking más popular.
Ransomware. La tendencia más reciente en materia de malware es el ransomware. Como
parte de esta operación, los delincuentes infectan los sistemas de sus víctimas con un
malware que cifra los archivos personales del usuario (por ejemplo, documentos) y envía la
clave de cifrado al delincuente, que luego pide un rescate a cambio de volver a dar al
usuario acceso a sus datos [780]. La idea de un software malicioso que utiliza la
cri pto grafía de clave pública para mantener los dato s de la vícti ma co mo rehenes no es nueva, y
ya fue ideada por Yung en 1996 [781]. Sin embargo, en 20 años, los avances tecnológicos
en la entrega del malware han hecho posi ble llegar a un gran número de vícti mas, y la intro
ducción de méto dos de pago anó ni mo s co mo Bitcoi n ha hecho más seguro para los delincuentes el
cobro de estos pagos.
El ranso mware es, en el mo mento de escribir estas líneas, el estándar de oro para los
ciberdelincuentes. Este tipo de operación de malware ha resuelto los problemas de
ciberseguridad
monetización que eran tan importantes en otros tipos de esquemas cibercriminales: el

criminal no tiene que convencer a la víctima de que compre un bien, como en el caso del
spam por correo electrónico, o que caiga en un fraude, como en el caso del phishing.

Además, la víctima está muy incentivada para pagar el rescate, porque la probabilidad de
que los delincuentes hayan cifrado archivos que el usuario necesitará (y de los que no
tiene copia de seguridad) es alta. De hecho, una investigación reciente pudo rastrear 16
millones de dólares en pagos en la blockchain de Bitcoin que pueden atribuirse a
campañas de ransomware [782].
Aunq ue las campañas de ranso mware más so fisticadas implican el cifrado de los archivos de
la víctima, Kharraz et al. demostraron que no es raro que los autores de malware utilicen
otras técnicas
para bloquear a la víctima de su ordenador [783]. Estas técnicas incluyen la configuración
de un cargado r de arranq ue pro tegi do por contraseña y no dar la co ntraseña al usuario a menos que
pague. Aunque es probable que estas técnicas produzcan un beneficio para el delincuente,
también son más fáciles de mitigar, ya que los archivos de la vícti ma están a salvo en el
ordenador y una si mple li mpieza del malware (y la restauración del registro de arranque maestro
original) puede solucionar el problema.
Negación de servicio. Una característica que tienen todos los dispositivos conectados a
Internet es la conectividad a la red. Un delincuente puede aprovechar el ancho de banda de un
dispositivo infectado para realizar un ataque de denegación de servicio distribuido (DDoS) contra
un objetivo. Los delincuentes pueden simplemente utilizar el ancho de banda generado por la
red de bots, o aprovechar los ataques de amplificación (es decir, el tráfico de red generado por
dispositivos de red mal configurados, o dispositivos con mala configuración por defecto) para
aumentar la potencia de sus ataquesDDoS [685].
Los delincuentes pueden entonces crear servicios en los que ofrecenDDoS de alquiler.
Estos servicios son atractivos, por ejemplo, para los actores sin escrúpulos que quieren
que sus competidores comerciales se queden fuera de línea o para los jugadores en línea
que quieren sacar a sus oponentes de Internet para ganar la partida [ 784]. Para ocultar la
naturaleza ilícita de su negocio, estos servicios a menudo se anuncian como "probado res de
estrés", servicios que un administrado r de la web puede utilizar para probar cómo funcionan
sus aplicaciones web bajo estrés [784]. En realidad, sin embargo, estos servicios no comprueban
si el cliente que compra un ataque DDoS es realmente la misma persona que posee el
dominio de destino.
Hacktivistas
Aunq ue los delincuentes co n áni mo de lucro son una gran amenaza, no to do s los adversarios se
mueven por dinero. En particular, defini mo s el acto de delincuenci a informática mo tivado po r un o
bjeti vo político co mo hacktivis mo [ 717]. Estos delitos pueden adoptar diversas formas, desde
ataques de denegación de servicio [717] hasta comprometer sistemas informáticos con el
objetivo de divulgar información sensible al público [785]. Existe un debate en curso entre
los académicos sobre si las acciones de los hacktivistas entran dentro del activismo
político (por ejemplo, desobediencia civil) o del ciberterrorismo [786]. Holt et al. estudiaron
los ciberataques llevados a cabo por grupo s de extrema izq uierda en EE.U U. y descu briero n que
habí a un aumento de los ataq ues en línea durante los periodos en los que se observaba una
disminución de la violencia física por parte de esos mismos grupos [787].
Negación de servicio. La práctica del hacktivismo comenzó en los años 90 con los
netstrikes [788]. Como parte de esta práctica, los usuarios de Internet se conectaban para
atacar simultáneamente a los sitios web para ago tar sus recurso s y hacer que no respo
ndieran. Esto se hací a a menudo para pro testar co ntra las acciones y políticas de las agencias
gubernamentales y las corporaciones. Veinte años después, con la mayo r sofisticación que
ofrece la tecnolo gía, grupos de hack tivistas co mo Ano nymous [ 789] tomaron la idea de los
netstrikes y la hicieron más grande. Este colectivo se hizo po pular por lanzar ataques de
denegación de servicio contra organizaciones culpables de realizar acciones que no
coincidían con su postura moral, como gobiernos vinculados a la represión de la Primavera
Árabe, empresas de tarjetas de crédito que no hacían donaciones a entidades como
Wikileaks u organizaciones religiosas radicales.
Para llevar a cabo sus ataques, Anonymous pedía a sus simpatizantes que instalaran un
programa informático, llamado Low Orbit Ion Cannon (LOIC), que actuaría como un bot en una red
de bots: su controlador utilizaría el ancho de banda del ordenado r para llevar a cabo un
ciberseguridad
ataque de denegació n de servicio contra un objetivo elegido. La diferencia con las redes de
bots tradicionales (y las que se utilizan para llevar a cabo ataques de DDoS
en particular) es que el usuario acepta formar parte de ella al instalar el programaLOIC , y
que por ello sufre la acción de las fuerzas del orden.
Fugas de datos. Otra tendencia que venimos observando en los últimos años en el ámbito
de los hack-

El activismo es la divulgació n de documentos ro bado s al do mi nio público, po r ejemplo, para
concienciar sobre los programas de vigilancia secretos de los gobiernos [ 790]. Un ejemplo
destacado de organización que realiza estas filtracio ne s de datos es Wikileak s [785]. Anonymous
también ha utilizado técnicas si milares (por ejemplo, sobre la identidad de
1.1 miembros del Ku Klux Klan).
Desactivación de la web. La última tendencia típica de los actores con motivaciones
políticas es la desfiguración web [791]. Co mo parte de esta acti vidad, los delincuentes apro
vechan las vulnerabilidades (q ue van desde contraseñas débiles hasta vulnerabilidades de
software) en los sitios web de las organizaciones con las que no están de acuerdo, y las
utilizan para cambiar la página de inicio del sitio web por una de co nteni do político. Un ejemplo de
una organización que utiliza de forma destacada la desfiguración de sitios web para
difundir su mensaje es el Ejército Electrónico Sirio [792], un grupo de hackers cercano al
régimen de Assad. Aunque es popular entre los delincuentes con una agenda política, la
desfiguración de páginas web no es sólo su prerrogativa. De hecho, Maimon et al.
demostraron que esta es una forma popular de demostrar su valía para los
ciberdelincuentes que empiezan su carrera [793].
Actores estatales
Otro tipo de actor malicioso involucrado en comportamientos adversos en línea son los
estados nacionales. En los último s años, hemos o bservado una escalada en el uso de ataq ues info
rmáticos por parte de acto res estatales para lograr sus o bjetivo s. A grandes rasgo s, este tipo de
ataq ues se diferencia de los realizados por ciberdelincuentes con motivación económica por
dos razones:
1. La ciberdelincuencia necesita reunir el mayor número posible de víctimas para maximizar
sus beneficios. Por ejemplo, los delincuentes que crean una red de bots para robar
información financiera de sus víctimas querrán alcanzar el mayor número posible de víctimas
para mejorar sus ingresos. Esto significa que los ataques del ciberdelincuente tienen
que ser genéricos o lo suficientemente versificados como para cubrir una gran
población de dispositivos (por ejemplo, mediante el uso de kits de explotación, como
se explica en la sección 7.2). En un ataque patrocinado por el Estado, en cambio, no hay
necesidad de ganar dinero, y normalmente la víctima está bien definida (por ejemplo,
una organización específica o una persona de interés). En este caso, el ataque se puede
adaptar a la víctima; esto aumenta las posibilidades de éxito, debido al tiempo que se
puede dedicar a diseñar el ataque y al hecho de que el ataque será único (por ejemplo,
utilizando un ataque de día cero [ 794]), y será poco probable que el software de
protección existente lo detecte.
2.Debido a la necesidad de ganar dinero, los ciberdelincuentes tradicionales necesitan que sus
ataques sean rápidos. Este no es el caso de los ataques patrocinados por el Estado, en
los que la recompensa por conseguir su objetivo (por ejemplo, robar
información sensible de un gobierno) hace que sea aceptable esperar largos periodos
de tiempo antes de finalizar el ataque.
Los ataques patrocinados por el Estado se dividen en tres categorías, dependiendo del
propósito del ataque: sabotaje, espionaje y desinformación. A continuación describimos
con más detalle estos tres tipos de ataques.
Sabotaje. Las infraestructuras críticas modernas pueden ser perturbadas por medios
electrónicos. Las investigaciones han demostrado que no es raro que instalaciones
críticas como las centrales eléctricas tengan algún tipo de conectivi dad de red entre los
ordenado res q ue controlan la maq uinaria y los q ue están conectados a Internet [ 795]. En el caso
de un adversario estatal, ni siquiera co ntar con dispositivos de seguri dad de red para proteger la
frontera entre las dos redes es suficiente, ya que, como hemos dicho, los ataques pueden
ser tan sofisticados y adaptados que las soluciones estándar no los detectan [718]. Una
vez que un trozo de malware consigue entrar en la red de control, puede hacer que la maq
uinaria funcione mal y potencial mente destruirla. Incluso cuando hay una separación física
entre la red de control y la Internet más amplia, los ataques siguen siendo posibles cuando
nos enfrentamos a adversarios con recursos prácticamente ilimitados [ 718].
Un ejemplo destacado es el gusano Stuxnet [718.796], un sofisticado ataque realizado
contra la instalación de enriquecimiento nuclear de Nathanz, en Irán, en 2010. Supuestamente,
el malware se introdujo en la instalación infectando primero el portátil de uno de los
consultores que se encargaba del mantenimiento de la maquinaria. Una vez que el malware
se encontraba en el entorno adecuado, identificaba las piezas del equipo para las que
estaba diseñado y saboteaba los experimentos de enriquecimiento, haciendo que las
centrifugadoras giraran sin control. Hasta la fecha, Stuxnet es un ejemplo de libro de los extremo s
a los que pueden llegar los atacantes patrocinados por el Estado para lograr sus objetivos, y de la
sofisticación que pueden alcanzar sus ataques.
El sabo taje no siempre está vinculado a acto res estatales. Alguno s incidentes impo rtantes han sido
causados por empleados descontentos de las empresas que actuaron como amenazas
internas, como en el caso de Maroochy Water Services [797]. En este incidente, un
empleado con información privilegiada, cuyo empleo no había sido confirmado, decidió
vengarse de la empresa derramando aguas residuales, lo que provocó importantes daños
medioambientales [797].
Espionaje. Otro objetivo de los actores patrocinados por el Estado para sus ataques es el
espionaje de los activistas y adversarios destacados. La investigación ha demostrado que
los actores estatales hacen un uso destacado del spearphishing (es decir, el phishing
dirigido) para atraer a activistas y empresas para que instalen malware que luego se utiliza
para espiarlos [726,798]. En otros casos, los actores estatales infectan los sistemas
sensibles (por ejemplo, los servidores de las grandes empresas), con el objetivo de robar
información sensible [799]. La industria de la seguridad ha bautizado estos sofisticados
ataques de larga duración como Amenazas Persistentes Avanzadas.
Desinformación. En los últimos dos años han surgido pruebas de que actores
patrocinados por el Estado han participado en la difusión de desinformación en las redes
sociales [719,800,801,802]. Este
se ha hecho a través de cuentas de trolls que han actuado para polarizar el debate en línea
sobre temas delicados [803]. Aunque redes soci ales co mo Twitter han puesto a disposició n del
público datos so bre cuentas rel acionadas co n la desi nformació n patroci nada po r el Estado [719,
800], aún faltan pruebas riguro sas so bre có mo se llevan a cabo estas o peraciones en el back end.
Por ejemplo, no está claro hasta q ué punto las cuentas implicadas en la desinformación están
controladas por operadores humanos y no por bots.
7.2 LOS ELEMENTOS DE UNA OPERACIÓN MALICIOSA

[804][805][806][807,808][722][809,810]
Como mostramos en la sección7.1, las operaciones maliciosas pueden utilizar
infraestructuras bastante complejas, especial mente en el caso de la delincuencia organi zada, que
está moti vada principal mente po r dos hechos. En pri mer lugar, el delincuente necesi ta que estas o
peracio nes sean lo más rentables posi ble (y, en co nsecuencia, o btener el mayor beneficio
posible). En segundo lugar, múltiples actores (fuerzas del orden, empresas de seguridad,
los propios usuarios) intentan constantemente acabar con estas operaciones maliciosas,
por lo que el delincuente tiene la necesidad de hacerlas resistentes a estos intentos de
desmantelamiento.
Para garantizar la satisfacción de las necesidades de los delincuentes en este escenario,
en los últimos años se ha observado una especialización en el ecosistema de la
ciberdelincuencia, en el que diferentes actores se especializan en un elemento especí fico
necesario para el éxito de la operació n; los delincuentes comercian entonces con estos
servicios en el mercado negro. En esta sección, ofrecemos una visión general de los
elemento s necesarios para q ue una o peració n de delincuenci a organizada dependiente del
ciberespacio tenga éxito, tal y como se describe
en la sección7.1. Sin embargo, muchos de los elementos discutidos también se aplican a
los otros tipos de comportamientos adversos descritos en esa sección.
Programas de afiliación
El principal objetivo de la delincuencia organizada es ganar dinero con sus operaciones.
Esto requiere no sólo una infraestructura técnica bien engrasada para asegurarse de que sus bo
tnets funcionen co rrectamente, sino, lo que es quizás más importante, un método de trabajo
para recaudar los pagos de las víctimas (o de los patrocinadores, en el caso del DoS), al
tiempo que se asegura de que todos los actores implicados en la operación cobren.
En el mundo de la ciberdelincuenci a, esto se hace no rmal mente a través de programas de afiliación.
Un programa de afiliados es un esquema en el que la organización principal proporciona una
"marca" y todos los medios necesarios para realizar pedido s, envíos y pagos. Los afiliados
pueden unirse al pro grama, diri gir el tráfico a la plataforma y obtener una parte de las ventas de
las que son responsables. Aunque este esquema existe para las empresas legítimas (por
ejemplo, Amazon tiene un programa de afiliados), ha tenido un éxito especial para las
operaciones de los ciberdelincuentes. La principal diferencia entre los programas de
afiliación legítimos y los delictivos es que la segunda categoría de operaciones suele tratar co
n pro ductos q ue se consideran ilegales en la mayo ría de las jurisdiccio nes (po r ejemplo, pro ducto
s farmacéuticos falsificados, juegos de azar, pro ducto s de diseño falsificados) y suelen respal dar
técnicas de pro moció n delictivas (por ejemplo, el uso de malware o la optimización de
motores de búsqueda de sombrero negro).
Los programas de afiliación son populares en el mundo de la ciberdelincuencia porque
permiten que los afiliados no tengan que montar sus operaciones de principio a fin, sino que
se centran en atraer tráfico, por ejemplo, creando redes de bots y enviando spam por
correo electrónico para anunciar el mercado de afiliados. Los primeros ejemplos exitosos
de programas de afiliación para la ciberdelincuencia se centraron en el spam por correo
electrónico, y anunciaban producto s farmacéutico s falsificados [ 759,763, 764]. Sin embargo, los
programas de afiliación están presentes en la mayoría de los tipos de ciberdelincuencia,
como por ejemplo la operación de ransomware Cryptowall. 6
Además de proporcionar la monetización necesaria para las operaciones de los
ciberdelincuentes, los programas de afiliación también actúan como facilitadores para que
los delincuentes se pongan en contacto e intercambien los servicios necesarios para que
la operación tenga éxito. Esto se suele hacer mediante la creación de un foro en el que los
afiliados pueden comerciar con sus servicios [723,763]. El acceso a estos foros suele
requerir el examen de los administradores de los programas de afiliación.
Vectores de infección
Como ya se ha comentado, el primer paso que necesitan los delincuentes para llevar a
cabo una actividad maliciosa es infectar a sus víctimas con malware. Para ello, los
delincuentes tienen que exponer primero a sus víctimas potenciales al contenido malicioso,
y luego hacer que lo instalen en sus máquinas (medi ante engaño o explotando una
vulnerabilidad de so ftware en su sistema). A co ntinuación, analizamos tres métodos populares
para hacer llegar el malware a los ordenadores de las víctimas. Hay que tener en cuenta
que, aunque son posibles otros vectores de infección, como el acceso físico a una red o el
pirateo de una red inalámbrica, hasta la fecha no tenemo s co nstancia de ningún co mpro
miso a gran escal a que implique estos vectores de infección, por lo que no nos
centramos en ellos.
Adjuntos maliciosos. Posiblemente el método más antiguo de distribución de malware es
adjuntar software malicioso a los correos electrónicos de spam, disfrazándolo de
contenido útil que el usuario podría querer abrir. Esta técnica de propagación fue
popularizada por los gusanos de correo electrónico a principios de la década de 2000,
como
6
https://www.secureworks.com/research/cryptowall-ransomware
ciberseguridad
co mo el gusano "I love yo u" [ 811], pero si gue siendo una forma po pular de hacer llegar el malware
a las vícti mas [723]. En la economía mercantilizada descrita anteriormente, es frecuente que un
delincuente que quiere pro pagar una i nfección de malware pague a o tro delincuente q ue ya tiene el
co ntrol de una red de bots para entregar las cargas útiles [ 716]. Para tener éxito, el conteni do
utilizado para este vecto r de infección debe convencer al usuario para que haga clic en el archivo
adjunto y lo instale. Para ello, los delincuentes suelen utilizar técnicas de engaño para
hacer que el contenido parezca interesante y atractivo, de forma similar a las técnicas
comentadas para el phishing [ 715]. Este engaño entra en el ámbito de la ingeniería social
[812].
Optimización de sombrero negro para motores de búsqueda. La optimización para
motores de búsqueda (SEO) es una práctica popular por la que los webmasters optimizan sus
contenidos para que sean mejor indexados por los motores de búsqueda y aparezcan entre l os
primeros resultados de las búsquedas relevantes. A los ciberdelincuentes también les interesa que
sus páginas web maliciosas aparezcan en los primeros puestos de los resultados de
búsqueda, ya que así aumentan las posibilidades de que las víctimas potenciales las
encuentren y hagan clic en ellas. Para ello, los delincuentes especializados ofrecen servicios
de black hatSEO. Como resultado de estos servicios, los sitios web maliciosos son
empujados hacia arriba en los rankings de los motores de búsqueda para palabras clave que
no están relacionadas con el sitio web [813]. Esto ocurre con especial frecuencia en las
proximidades de eventos populares (por ejemplo, eventos deportivos y políticos), ya que es
más probable que la gente busque palabras clave relaci onadas con el evento. Para lograr un black
hatSEO eficaz, los ciberdelincuentes comprometen sitios web vulnerables y los utilizan para
promocionar las páginas web de sus clientes (por ejemplo, añadiendo enlaces invisibles y texto
que apunta a la página web objetivo).
Ataques drive-by download. Aunque engañar a los usuarios para que instalen el malware funciona,
tener un método automatizado que no requiera la interacción humana es más
ventajoso para los ciberdelincuentes. Para ello, los ciberdelincuentes han perfeccionado los
llamados ataques drive-by download [805]. Como parte de uno de estos ataques, la víctima
visita una página web bajo el control del criminal (por ejemplo, encontrada a través de black
hatSEO). La página web contiene código JavaScri pt malicioso que intentará explotar una
vulnerabilidad en el navegado r web del usuario o en uno de sus plugins. Si tiene éxito, el navegador
web recibirá instrucciones para descargar e instalar automáticamente el malware.
Para alojar sus scripts maliciosos, los ciberdelincuentes suelen comprometer sitios web
legítimos [814]. Una tendencia alternativa es la de comprar espacio publicitario en la web y
servir el cono malicioso como parte del anuncio, en una práctica conocida como
malvertisement [815].
Compromiso de los dispositivos conectados a Internet. A medida que más dispositivos se
conectan a la red (por ejemplo, los dispositivos de la Internet de las Cosas (IoT)), una
oportunidad adicional que se ofrece a los atacantes es la de escanear Internet en busca de
dispositi vos q ue presenten vulnerabilidades co noci das y explotarlas para co nstruir grandes redes
de bots. Un ejemplo destacado de esto fue la red de bots Mirai [ 682].
Infraestructura
Otro elemento importante que los delincuentes necesitan para que sus operaci ones
ciberseguridad
tengan éxito es dónde alojar su infraestructura. Esto es importante tanto para los
programas de afiliación (por ejemplo, dónde alojar los sitios web de compras fraudulentas)
como para las operaciones de las redes de bots. Las fuerzas del orden y los proveedores

ciberseguridad
de servicios de Internet (ISP) vigilan continuamente los servidores en busca de indicios de

actividad maliciosa [806], y los retiran si se puede confirmar esta actividad, lo que pondría
en peligro la operación delictiva.
Proveedores de servicios de alojamiento a prueba de balas. Para maximizar las
posibilidades de que sus operaciones sean duraderas, los ciberdelincuentes recurren a los
llamados pro veedo res de servicios de alojamiento a prueba de balas [759, 816]. Se sabe q ue estos
pro veedo res no cumpl en co n las solicitudes de retirada de datos de las fuerzas de seguridad.

ciberseguridad
Esto es posible gracias a que están ubicados en países con una legislación poco estricta
en materia de ciberdelincuencia o a que los operadores de los proveedores de servicios
sobornan activamente a las fuerzas del orden locales [759]. Los proveedores de servicios
de alojamiento a prueba de balas suelen cobrar a sus clientes más dinero del que cobraría
un proveedor de servicios de Internet normal. Por ello, se convierten en un foco de
actividad ilícita, ya que los usuarios malintencionados se congregan allí debido a sus garantías,
pero los usuarios legítimos no tienen ningún incentivo para utilizarlos. A pesar de ofrecer
mayores garantías a los ciberdelincuentes, los proveedores de servicios de alojamiento a
prueba de balas no son invencibles a los esfuerzos de desmantelamiento. En particular, los
proveedores de servicios de Internet necesitan estar conectados entre sí para poder
enrutar el tráfico, y un proveedor de servicios de Internet que aloje exclusivamente contenido
malicioso podría ser
desconectado por los otros proveedo res sin muchas consecuencias para el tráfico legítimo de
Internet [759].
Infraestructura de mando y control. Una red de bots requiere una infraestructurade mandoy control
(C&C) a la que los ordenadores infectados puedan ser instruidos para conectarse, recibir
órdenes e informar sobre el pro greso de la o peració n maliciosa. En un principio, las redes de
bo ts utilizaban un único servi do r de mando y co ntrol, aunq ue éste suponí a un único punto de fallo.
Incluso supo niendo que el servi do r estuviera alojado en un pro veedo r de alojamiento a prueba de
balas, y q ue po r lo tanto no pudiera ser derribado, el hecho de que el servidor tuviera una
dirección IP única significaba que podía ser fácilmente incluido en la lista negra de las
empresas de seguridad.
Para mitigar este problema, los ciberdelincuentes idearon infraestructuras de C&C que son
redundantes y más difíciles de derribar. Un ejemplo es la infraestructura de botnet de
varios niveles, en la que los bots reciben instrucciones para conectarse a un servidor de C&C
intermedio, que se encarga de transmitir la informació n hacia y desde un servidor de control
central [817]. Esta infraestructura hace que la red de bots sea más resistente, ya que
incluso si algunos de los relés se caen, el C&C central sigue funcionando y se pueden añadir
relés adicionales. Además, los ordenadores infectados nunca ven la dirección IP del
servidor central de C&C, lo que hace más difícil localizar y
de la red. Una variante de este modelo son las redes de bots peer-to-peer, en las que
ordenadores infectados con una conectividad especialmente buena y direcciones IP
públicas son "elegidos" para actuar como relés [818]. Esta infraestructura aumenta la
flexibilidad que tiene el delincuente y reduce el coste de la operación, ya que el delincuente
no tiene que gastar dinero para instalar repetidores. Sin embargo, la infraestructura de la
red de bots se vuelve vulnerable a la infiltración, ya que los investigadores pueden crear
bots falsos, ser elegidos como relés y, de este modo, ser capaces repentinamente de
monitorizar y modificar el tráfico procedente del C&C central [17].
Otras técnicas utilizadas por los ciberdelincuentes para hacer que su infraestructura de
control sea más resistente son Fast Flux [706], en la que los delincuentes utilizan varios
servidores asociados a la estructura de C&C y los rotan rápidamente para dificultar los
desmantelamientos, y Domain Flux [819], en la que el nombre de dominio asociado al
servidor de C&C también se rota rápidamente. Ambos métodos son efectivos para hacer la
operación más resistente, pero también hacen que la operación sea más cara para el
criminal (es decir, tienen que comprar más servidores y nombres de dominio).

Servicios especializados
En esta secció n, descri bi mos los servicios especializados q ue ayudan a los delincuentes a
establecer sus operaciones. Además de estos servicios maliciosos dedicados, otros que
tienen un uso legítimo (por ejemplo, las VPN, Tor) también son utilizados de forma
indebida por los delincuentes, por ejemplo el alojamiento de sitios web del mercado de la
droga en la Dark Net [757,820].
Kits de explotación. En la sección anterior, vimos que los ataques drive-by download son
un arma poderosa que un ciberdelincuente puede utilizar para infectar ordenadores con
malware sin ninguna interacción humana. Sin embargo, el problema de realizar estos
ataques de forma efectiva es que requieren un exploit para una vulnerabilidad de software
en el sistema de la víctima. Dado que los ciberdelincuentes quieren infectar al mayor
número posible de víctimas, es difícil encontrar un exploit que pueda funcionar en los
sistemas de la mayoría de las víctimas potenciales. Además de este problema, los exploits
no envejecen bien, ya que los proveedores de software parchean rutinariamente las
vulnerabilidades que conocen. Por lo tanto, un ciberdelincuente que realice una operación
sostenida de drive-by download necesitaría recopilar continuamente exploits para
múltiples vulnerabilidades, una tarea que es inviable, especialmente cuando el delincuente
también tiene que gestionar otras partes del negocio (por ejemplo, la parte de
monetización). Una vez que la víctima visita la página web del kit de explotación, esta
herramienta primero toma las huellas dactilares del sistema de la víctima, buscando una
posi ble vul nerabilidad que explotar. A continuació n, entrega el exploit a la vícti ma. Si tiene éxito,
el ordenador de la víctima recibe instrucciones para descargar el malware que elija el
cliente.
Esto s pro blemas han creado una o po rtuni dad para que los delincuentes especi alizado s presten
servicios al resto de la comunidad. Esto ha llevado a la creación de kits de explotación
[807], que son herramientas que recopilan un gran número de vulnerabilidades y se venden
en el mercado negro para que las utilicen otros delincuentes. Un kit de explotación suele
ser accesible como una aplicación web. Los clientes pueden dirigir a sus víctimas hacia él
comprometiendo sitios web o utilizando anuncios maliciosos.
Servicios de pago por instalación. Infectar los ordenadores de las víctimas y mantener
una red de bots es una tarea compleja, y las investigaciones han demostrado que los
operadores de malware que intentan hacerlo sin la experiencia adecuada tienen
dificultades para obtener beneficios [821]. Para resolver este problema y satisfacer la
demanda de redes de bots estables, ha surgido un nuevo servicio delictivo denominado
servicios de pago por instalación (PPI) [808]. Los operado res de PPI son expertos en configurar
una red de bots y hacerla funcionar correctamente. Otros delincuentes pueden entonces pagar
al operador PPI para que instale el malware en los ordenadores infectados en su nombre. Los
servicios PPI suelen ofrecer un buen nivel de granularidad de elección a sus clientes, que
no sólo eligen cuántas infecciones quieren instalar, sino también su ubicación geográfica (los
bots en los países desarrollados cuestan más que las infecciones en los países en
desarrollo [808]).
Una de las ventajas de utilizar losPPIservicios es que hacen que las operaciones de los
ciberdelincuentes sean más resistentes: si su malware deja de funcionar, por ejemplo,
porque las fuerzas de seguridad han derribado los servidores de C&C que utiliza, el
delincuente puede reanudar sus operaciones pidiendo al operador delPPI que instale una versión
actualizada de su malware en las máquinas de las víctimas. Por esta razón, esta simbiosis
de malware entrePPIservicios y otras redes de bots es muy común en
el ecosistema criminal (véase, por ejemplo, la simbiosis entre Pushdo y Cutwail [723], y
ciberseguridad
entre Mebroot y Torpig [716]).

ciberseguridad
Servicios humanos
En esta sección, discutiremos los servicios auxiliares que son necesarios para que una
operación cibercriminal de extremo a extremo tenga éxi to. A unque no se suele pensar q ue
estos elementos fo rmen parte de la ciberdelincuencia, son tan importantes para el éxito de una
operación cibercriminal como los elementos más técnicos.
Servicios de resolución de CAPTCHA. En algunos casos, los ciberdelincuentes necesitan
crear cuentas en los servicios en línea para iniciar sus operaciones (por ejemplo, una
operación de spam en las redes sociales [724,725]). Sin embargo, para protegerse de la
creación automática de cuentas a gran escala, los servicios en línea utilizan ampliamente
losCAPTCHA, que son notoriamente difíciles de resolver para los programas automati zados.
Para resolver este problema al que se enfrentan los ciberdelincuentes, se han creado nuevos
servicios de resolución deCAPTCHAs [822]. Estos servicios se aprovechan de los trabajado res
del crowdsourci ng. Una vez que el cliente deCAPTCHAsolving encuentra unCAPTCHA , éste
es reenviado por el ser-
vicio a uno de estos trabajado res, que lo resolverá. De este modo, el cliente puede proc eder y
crear la cuenta en el servicio online.
En otros casos, los servicios en línea requieren que quien haya creado una cuenta en línea
reciba un código enviado por mensaje de texto a un número de teléfono y emita ese
código de vuelta al servicio. Para superar este problema, los ciberdelincuentes pueden
utilizar servicios que automatizan este tipo de interacción [722].
Cuentas falsas. Dado que la creación de cuentas falsas lleva mucho tiempo y requiere el uso de
servicios auxiliarescomo CAPTCHAsolvers, los ciberdelincuentes han empezado a especializarse en
la creación de cuentas falsas en múltiples servicios en línea y a venderlas en el mercado negro
[823]. Las cuentas en los distintos servicios pueden tener precios diferentes, dependiendo
de la facilidad para crear nuevas cuentas en la plataforma y de la agresividad con la que el
servicio suspende las cuentas sospechosas de ser falsas.
Un problema de las cuentas falsas recién adquiridas es que no tienen una "reputación"
establecida en la red social, lo que reduce su credibilidad ante las víctimas potenciales y su
alcance a la hora de difundir mensajes maliciosos. Esto se puede mitigar utilizando servicios
de "aumento de la reputación", que ayudan a crear una red de contactos para cuentas que
de otro modo no tendrían. Ejemplos de ello son los servicios que ofrecen likes falsos en
Facebook [824] y que atraen a cuentas comprometidas para que sigan a los clientes del
servicio en Twitter [825].
Generación de contenidos. En algunos casos, los ciberdelincuentes necesitan crear
contenidos falsos para enviarlos a sus víctimas, ya sea para correos electrónicos de spam, sitios
web falsos utilizados para el black hatSEO o sitios de redes sociales en línea. Para generar este
contenido, los delincuentes pueden reclutar trabajadores en foros clandestinos [826].
Mulas de dinero. El objetivo principal de muchas operaciones de los ciberdelincuentes es
obtener dinero de sus víctimas. Sin embargo, extraer dinero de una operación no es fácil.
En el caso de los fraudes bancarios, por ejemplo, aunque los delincuentes obtengan
acceso a la cuenta bancaria de la víctima, todavía tienen que transferir dinero a cuentas
bajo su control sin ser detectados y detenidos.
Para facilitar estas o peracio nes de monetizació n, los delincuentes se apro vechan de las mulas
ciberseguridad
de dinero [827]. Se trata de personas reclutadas por los delincuentes para realizar
operaciones de blanqueo de capitales y dificultar el segui miento del dinero o btenido en una
operación ilícita po r parte de las fuerzas del orden. En un esquema de mula de dinero, el

ciberseguridad
delincuente recluta a una persona para que actúe como mula y le envía dinero utilizando
medios rastreables (por ejemplo, un cheque o una transferencia bancaria). A continuación,
se indica a la mula que transfiera el dinero a una cuenta bajo el control del delincuente utilizando
medios no rastreables (po r ejemplo, Western Union). También se le dice a la mula que puede
quedarse con un porcentaje de la cantidad como pago. Dado que estas transacciones
imposibles de rastrear deben realizarse en

perso na po r la mula, consti tuyen un punto débil en la operació n de mo neti zació n, lo que significa
que las fuerzas del orden podrían identificar y detener a la mula antes de que se transfiera el
dinero. De hecho, aunq ue nunca se mencio ne el dinero ro bado, la mula está participando en el
blanqueo de dinero cuando acepta este trabajo.
Una forma alternativa de monetizar las operaciones maliciosas, que se utiliza en el caso de las
tarjetas de crédito robadas, es el reenvío de mulas [775]. En estas operaciones, las agencias
criminales reclutan a usuarios no sospechosos anunciando un trabajo de "agente de envíos".
A continuació n, otro s delincuentes pueden recl utar los servicios de estas agencias y comprar
artículos caros con tarjetas de crédito robadas (por ejemplo, productos electrónicos, artículos
de diseño ), enviándolos al do micilio de la mula. La mula reci be ento nces instrucciones de abrir los
paquetes y reenviar los artículos a una dirección extranjera, donde se venderán en el
mercado negro.
Métodos de pago
Como los delincuentes necesitan que se les transfiera dinero, pueden utilizar distintos
métodos de pago, cada uno de los cuales conlleva un nivel de riesgo diferente y resulta
más o menos familiar para las víctimas.
Procesadores de tarjetas de crédito. La mayoría de las transacciones en línea se realizan
con tarjetas de crédito. Para captar el mayor número posible de clientes, los
ciberdelincuentes tienden a aceptar también los pagos con tarjeta de crédito. McCo y et al.
demo straro n que el 95% de los pro gramas de afiliación de spam entre 2007 y 2012 aceptaban pagos
con tarjeta de crédito [763], y que los servicios de DDoS que no aceptaban tarjetas de
crédito sufrían en cuanto al número de clientes que podían atraer [784]. Los procesado
res de tarjetas de crédito llevan un registro de las devol uciones de cargo s que una empresa tiene en
sus cuentas, y demasiadas quejas de los clientes suelen dar lugar a la cancelación de las
cuentas de la empresa. Por esta razó n, muchas operaciones de ciberdelincuentes o frec en
"asistencia al cliente" a sus vícti mas, ofreciéndoles reembolsos si no están satisfechas con sus
compras [809].
Un reto al que se enfrentan los ciberdelincuentes es encontrar bancos que estén

dispuestos a procesar sus pagos. Normalmente, estos bancos les cobran unas comisiones
de transacción más elevadas (10-20%) para cubrir el riesgo de tratar co n operaciones delictivas
[763]. A pesar de estas mayo res co misiones, no está garanti zado que la operación delicti va sea segura:
de fo rma si milar a lo que ocurre con los ISPs a prueba de balas, los bancos necesitan mantener
buenas relaciones con sus pares, de lo contrario serán desconectados de la red financiera
[804].
Paypal. Otro método de pago que resulta familiar a los usuarios es Paypal. Por esta razón,
Paypal suele ser aceptado por los delincuentes que ofrecen servicios ilícitos. Aunque es
fácil de usar, los delincuentes se enfrentan al pro blema de que la platafo rma está
centralizada, y Paypal puede hacer un segui miento de los pago s fraudulentos y cancelar las cuentas
que incumplan las condiciones del servicio [813].
Western Union y otros pagos "imposibles de rastrear". Otras formas de pago ofrecen más
ano ni mato a los ci berdelincuentes y so n menos arriesgadas, además de no estar tan reguladas.
Ejemplos de ello son los intercambios de dinero (por ejemplo, Western Union, Money Gram)
o los vales de prepago (Money Park ). Los delincuentes suelen utilizarlos para transferir fo ndos [
828]. Para co brar el dinero, estos servicios sólo requieren un código único y un documento de
identificación. Sin embargo, dependiendo del país en el que se encuentre el delincuente, el
requisito de identificación puede no ser muy riguroso.
Histó ricamente han existido o tros méto dos de pago "anó ni mos" co mo Li berty Reserve, Web Money
y eGold [ 722]. Estas mo nedas virtuales permi tían a los delincuentes realizar pago s co n facilidad, ya que
se apro vechaban de las laxas regulaciones de su país de origen (po r ejemplo, Liberty Reserve tenía
su sede en Costa Rica). Después de que las fuerzas del orden to maran medidas enérgicas contra
estos métodos de pago,
ciberseguridad
Irrumpir en el servidor
Robar la contraseña
Explotar la vulnerabilidad
Desarro llar Explot Comprar Exploit Instalar Keylogger Extorsión del

Adivina propieta
la
contrase
ñ
Figura 7.1: Ejemplo de árbol de ataque que describe la acción de irrumpir en un servidor.
los delincuentes se trasladaron a otros métodos de pago.

Criptodivisas. En el momento de escribir este artículo, probablemente la forma de pago
más segura para los ciberdelincuentes son las criptomonedas. Estos pagos se han hecho
populares para múltiples tipos de operaciones cibercriminales, desde el ransomware [783]
hasta los pagos del mercado de la droga [714]. Aunque se ha demostrado que los clientes
son reacios a utilizar servicios que sólo aceptan criptomonedas [784], este tipo de pago
sigue funcionando cuando las víctimas no tienen elección (por ejemplo, en el caso del
ransomware) o están muy motivadas (por ejemplo, en el caso de los mercados de drogas).
Aunque es más anónimo que otros métodos de pago, las investigaciones han demostrado
que los pagos realizado s en Bitcoi n pueden ser rastreados [ 810]. A demás, a menudo las cri
pto mo nedas deben ser co nvertidas en di nero real po r los delincuentes, y el dinero deja de se r anó ni
mo en ese mo mento. Otras preocupaciones surgen de los riesgos que conlleva realizar pagos en
los intercambios de criptodivisas. Moore et al. demostraron que no es infrecuente que los
intercambios de Bitcoin sufran brechas que resulten en pérdidas de moneda [829]. Las
estafas de salida, en las que un intercambio desaparece con toda la monedaalmacenada en
él, también son un problema [830].
7.1. MODELOS PARA ENTENDER LAS OPERACIONES MALICIOSAS

[79][831][832,833,834][722][835]
Como se ha mostrado en las secciones anteriores, las operaciones maliciosas pueden ser bastante
complejas y conllevan múltiples elementos técnicos y múltiples actores. Por lo tanto, es necesario que los
defensores dispongan de los medios adecuados para comprender estas operaciones, de modo que puedan
desarrollar las mejores contramedidas. A continuación, examinamos una serie de modelos que se han pro
puesto para modelar las operaciones maliciosas. Estos modelos proceden de diversos ámbitos de
investigación, como la seguridad informática, la criminología y los estudios bélicos. Hay que tener en

ciberseguridad
cuenta que, por razones de espacio, no podemos hablar de todas las técnicas que se han pro puesto en la
literatura para modelar los ataques. Para una lista más completa, remitimos al lector a [836].
Árboles de ataque
La primera forma de modelar los ataques contra los sistemas informáticos son los árboles de ataque [79].
Los árboles de ataque proporcionan una forma formalizada de visualizar la seguridad de un sistema
durante un ataque. En un árbol de ataque, el nodo raíz es el objetivo del ataque, y sus nodos hijos son las
formas en que un atacante puede lograr ese objetivo. Al descender por el árbol, cada nodo se convierte en
un subobjetivo necesario para el ataque para tener éxito, y sus hijos son posibles formas de lograrlo.
La figura 7.1 representa un ejemplo de árbol de ataque. En este ejemplo, los atacantes pretenden
comprometer un servidor. Para ello, tienen dos opciones: o bien explotan una vulnerabilidad o bien
obtienen la contraseña de la cuenta raíz y se conectan por medios normales. Para explotar una
vulnerabilidad, pueden desarrollar el exploit ellos mismos o comprar uno ya existente, quizás a través de
un kit de exploits. Si los atacantes deciden utilizar la contraseña de la cuenta para entrar en el servidor,
primero tienen que obtenerla. Para ello, pueden instalar un malware en el ordenado r del administrado r
del servidor para registrar la contraseña a medida que la introducen (es decir, un keylogger), adivinar la
contraseña utilizando una lista de las más utilizadas o realizar un ataque de fuerza bruta, y finalmente
extorsionar al propietario. El gráfico de ataque podría refinarse aún más con las posibles formas en que el
atacante podría realizar estas acciones (por ejemplo, extorsionar la contraseña chantajeando al
propietario, secuestrándolo, etc.).
Los árboles de ataque permiten dos tipos de nodos, los nodos "o" y los nodos "y". Los nodos "o"
representan las diferentes formas en que los atacantes pueden alcanzar un objetivo (es decir, los hijos de
cualquier no do de la Fi gura 7.1). Los no dos "y", por su parte, representan los diferentes pasos que
deben completarse para alcanzar el objetivo. Una vez creado el árbol, los analistas de seguridad pueden
anotarlo para evaluar el riesgo del sistema ante el ataque, por ejemplo, marcando las distintas estrategias
de ataque como factibles o inviables, asignándoles puntuaciones de probabilidad o estimando el coste
para un atacante de realizar una determinada acción. A continuación, las puntuaciones pueden propagarse
a lo largo del árbol siguiendo reglas específicas [79] para evaluar la viabilidad y la probabilidad global
del ataque.
Otro modelo relacionado con los árboles de ataque son los gráficos de ataque [837]. Mientras que los
árboles de ataque se limitan a objetivos únicos, los gráficos de ataque permiten modelar actores, vectores,
vulnerabilidades y activos de ataque. Otro modelo útil para entender los ataques a la red son las redes de
ataque [838].

ciberseguridad
Cadenas de matanza
Otra herramienta útil que puede utilizarse para modelar y comprender los ataques son las cadenas de
muerte. En el contexto militar, una kill chain es un modelo que identifica las distintas fases que
intervienen en un at-tack. 7 En el mundo de la informática, Hutchins et al. desarrollaron una Cyber Kill
Chain [831] que modela los diferentes pasos implicados en una operación maliciosa realizada contra
sistemas informáticos. En su modelo, Hutchins et al. identifican siete fases. El modelo está diseñado para
operaciones en las que el atacante identifica, compro mete y posteriormente explota un sistema
informático y, por lo tanto, no todas las fases se aplican a todos los comportamientos adversos discutidos
en este documento. Las siete fases son las siguientes:
1. Reconocimiento, cuando los atacantes identifican posibles objetivos. Esta fase puede consistir en
que un atacante escanee la red en busca de servidores vulnerables o que un spammer compre una
lista de direcciones de correo electrónico de víctimas en el mercado negro.
2. Armado, cuando un atacante prepara la carga útil del ataque para su uso. Esto podría consistir en
el desarrollo de un exploit de software contra una vulnerabilidad recientemente identificada o en
la elaboración de un correo electrónico de fraude por adelantado.
Entrega, cuando el atacante transmite la carga útil a su víctima. Esto puede consistir en la creación
de un servi do r web malicioso, la compra de espacio publicitario para realizar un ataque de
malversación o el envío de un correo electrónico con un archivo adjunto malicioso.
https://en.wikipedia.org/wiki/Kill_chain
Explotación, cuando se aprovecha la vulnerabilidad del objetivo. Esta fase puede consistir en un
ataque drive by download, o en que la víctima sea inducida a hacer clic en un archivo adjunto
malicioso mediante engaño.
Instalación, cuando el software malicioso se descarga, permitiendo así al atacante beneficiarse de la
máquina de la víctima. E n su artículo, Hutchins et al. consideraron un atacante que quería
mantener un acceso constante al ordenado r de la víctima, utilizando un tipo de malware conocido
como troyano de acceso remoto (RAT) [839].
Mando y control, cuando el atacante establece una infraestructura de C&C y un protocolo de
comunicación para controlar el ordenador infectado.
Acciones sobre los objetivos, cuando la infección se monetiza. Esto podría suponer el robo de
información sensible del ordenador de la víctima, el cifrado de los datos de la víctima con ran-
somware, el minado de criptomonedas, etc.
Para cada uno de los siete pasos, Hutchins et al. identificaron estrategias para interrumpir las operaciones
maliciosas, siguiendo cinco posibles objetivos (Detectar, Negar, Interrumpir, Degradar, Engañar).
Algunos ejemplos de estas técnicas son la aplicación de parches a las vulnerabilidades, la instalación de

ciberseguridad
sistemas de detección de intrusos en la red o el engaño al atacante mediante la instalación de honeypots

[840].
Otros investigado res han propuesto cadenas de muerte similares a lo largo de los años. Un ejemplo es el
propuesto por Guet al. para modelar las infecciones de botnets [688]. En este modelo, los autores
identifican cinco fases en las que se separa una infección: un escaneo de entrada (similar a la fase uno del
modelo descrito anteriormente), una infección de entrada (similar a la fase cuatro del modelo anterior),
una descarga de "huevos" (análoga a la fase cinco), una fase de C&C (igual que la fase seis) y un escaneo
de salida. En el momento de desarrollar este modelo, los botnets actuaban principalmente como gusanos
informáticos [841], buscando ordenadores vulnerables, infectándolos y utilizándolos para seguir
propagándose. Aunque este modelo describía correctamente las primeras redes de bots, dejó de ajustarse
a la realidad cuando los creadores de bots empezaron a utilizar otros métodos para instalar su malware y
monetizar sus infecciones. Hoy en día, los gusanos están casi extinguidos, con la excepción del infame
malware WannaCry [842]. Este ejemplo demuestra que es difícil desarrollar modelos de comportamiento
de los atacantes que sean resistentes a los cambios en su modus operandi.
Criminología ambiental
Mientras que la ciberdelincuencia es una amenaza relativamente nueva, la delincuencia física ha sido
estudiada por los académicos durante décadas. Por lo tanto, es interesante investigar si este cuerpo de
conocimientos establecido puede aplicarse para comprender mejor y mitigar la amenaza emergente de la
delincuencia en línea. La criminología ambiental, en particular, es una rama de la criminología que se
centra en los patrones delictivos en relación con el espacio donde se cometen y con las actividades de los
actores implicado s (víctimas, auto res y tuto res) [832]. Un reto particular que surge cuando intentamos
aplicar la teoría de la criminología ambiental a la ciberdelincuencia es que el concepto de "lugar" en
Internet no está tan bien definido como en el mundo real. A continuación, repasaremos brevemente los
conceptos clave de la criminología ambiental y ofreceremos algunos ejemplos de cómo podrían aplicarse
para mitigar los delitos en Internet.
Teoría de la actividad rutinaria. La teoría de la actividad rutinaria es un concepto comúnmente

utilizado en la criminología ambiental, que postula que la ocurrencia de un delito está mayormente
influenciada por una oportunidad inmediata para cometer un delito [843]. En

ciberseguridad
concreto, la teoría de la actividad rutinaria afirma que para que se produzca un delito es necesario que
confluyan tres componentes (i) un delincuente motivado, (ii) un objetivo adecuado y (iii) la ausencia de
un guardián capaz.
Estos conceptos podrían ser útiles para modelar mejor la actividad maliciosa en línea. Por ejemplo, las
investigaciones han demostrado que la actividad de las redes de bots alcanza un pico durante el día,
cuando la mayoría de los ordenadores vulnerables están encendidos y las víctimas los utilizan, mientras
que desciende significativamente durante la noche [716]. En términos de la teoría de la actividad
rutinaria, esto puede traducirse en el hecho de que cuando hay más víctimas potenciales en línea,
aumenta la oportunidad de que los delincuentes las infecten, lo que se traduce en un aumento de la
actividad de las redes de bots.
Teoría de la elección racional. La teoría de la elección racional pretende ofrecer un modelo de por qué
los delincuentes toman decisiones racionales para cometer delitos [ 844]. En el caso de la
ciberdelincuencia, este modelo podría ser útil para entender la reacción de los delincuentes a la
mitigación como una elección racional, y ayudar a modelar los problemas de aplicación introducidos por
la prevención situacional del delito, como el desplazamiento. Por ejemplo, cuando un proveedor de
alojamiento a prueba de balas es derribado por las fuerzas del orden, ¿qué factores intervienen en la
elección del siguiente proveedor por parte del delincuente?
Teoría de los patrones de la delincuencia. Otra teoría, deno mi nada teoría de los patrones de la
delincuencia, permite a los investigadores identificar varios lugares que están relacionados con la
delincuencia. Estos lugares son susceptibles de atraer a los delincuentes (atractores de la delincuencia),
generan la delincuencia por la disponibilidad de oportunidades para delinquir (generadores de la
delincuencia) y permiten la delincuencia por la ausencia de gestores del lugar (facilitadores de la
delincuencia).
Aunque la definición de lugares en el ciberespacio no es tan sencilla como en el espacio físico, pensar en
términos de teoría de patrones puede ayudar a identificar los lugares que son puntos calientes para la
ciberdelincuencia, ya sean objetivos especialmente atractivos, como empresas que almacenan datos
sensibles (atractores), sistemas mal configurados que son más fáciles de compro meter (generado res) o
servicios en línea conpoca higiene que no reaccionan rápidamente al spam/malware publicado en sus
plataformas (facilitado res). La identificación de este punto s calientes puede servir para diseñar medidas
adecuadas contra la actividad maliciosa (por ejemplo, a quién dirigir las campañas de educación).
Prevención situacional de la delincuencia. La prevención situacional de la delincuencia comprende

un conjunto de teorías y técnicas cuyo objetivo es reducir la delincuencia mediante la reducción de las

ciberseguridad
oportunidades de delinquir [ 845]. Las ideas que sustentan la prevención situacional del delito se basan
en tres conceptos principales, que también se aplican a la ciberdelincuencia:
• Es mucho más probable que la delincuencia se produzca en determinados lugares (hotspots). Esta
idea se aplica al contexto de la ciberdelincuencia. Como hemos visto, los delincuentes tienden a
concentrar sus servidores maliciosos en proveedo res de servicios de alojamiento a prueba de
balas, que les proporcionan garantías de que sus operaciones pueden continuar durante largos
períodos de tiempo. En el extremo opuesto, en lo que respecta a las víctimas, los delincuentes
tienden a dirigirse a ordenadores con configuraciones de software vulnerables, que también
constituyen puntos calientes en esta aceptación.
• La delincuencia se concentra en determinados "pro ductos calientes". Esto también se aplica a la

ciberdelincuencia, ya que los delincuentes se centran en las operaciones que producen más
beneficios (es decir, en el momento de escribir este artículo, el ransomware).
• Las víctimas reincidentes tienen más probabilidades de sufrir delitos en comparación con otras
personas. En el contexto de la ciberdelincuencia, se aplica el mismo concepto. Un ordenador
vulnerable que no está parcheado es probable que se vea comprometido de nuevo [841]. Del
mismo modo, en el caso de los fraudes de comisiones por adelantado, es pro bable que las
víctimas caigan repetidamente en el fraude, porque la narrativa utilizada por los delincuentes les
resulta especial mente atractiva [ 751]. Además de la predisposición natural de las víctimas a caer
de nuevo en estafas similares, los delincuentes tratan de contactar activamente con las víctimas
anteriores del fraude, recopilando las denominadas listas de chupones y compartiéndol as entre
ellos [846].
Para reducir las oportunidades de delinquir, la prevención situacional de la delincuencia propone cinco
categorías de mitigaciones. A continuación, las enumeramos junto con algunos ejemplos de mitigaciones
contra ciberdelincuencia que se han propuesto en la literatura informática y que pueden agruparse en
estas categorías:
• Aumentar el esfuerzo de la delincuencia. Las mitigaciones en este caso incluyen el despliegue de

cortafuegos y el establecimiento de actualizaciones automáticas para el software instalado en los
ordenadores.
• Aumentar el riesgo de delincuencia. Entre las medidas de mitigación se encuentra la reducción del
anonimato de los pagos (por ejemplo, solicitar una identificación cuando alguien cobra dinero de
Western Union).

ciberseguridad
• Reducir las recompensas. Las mitigaciones en este caso incluyen el bloqueo de pagos o paquetes
sospechosos, o la penalización de los resultados de búsqueda maliciosos.
• Reducir las provocaciones. Los ejemplos aquí incluyen la aplicación de la presión de los pares a
los ISP y los bancos deshonesto s.
• Eliminar las excusas. Las medidas de mitigación típicas en esta categoría incluyen la realización
de campañas educativas o la creación de redireccionamientos auto máticos para desviar a las
víctimas que hubieran visto contenidos maliciosos, explicarles lo sucedido e instarles a proteger
sus sistemas.
Un aspecto interesante del marco de prevención de la delincuencia situacional es que identifica, para cada
mitigación, las cuestiones de implementación que surgen al poner en marcha la mitigación [845]. En el
caso de la ciberdelincuencia, las dos cuestiones de aplicación más relevantes son la adaptación y el
desplazamiento.
La adaptación representa el hecho de que los delincuentes intentarán activamente eludir cualquier
mitigación haciendo su operación más sigilosa o más sofisticada. Se trata de una típica carrera
armamentística que puede observarse en la investigación sobre seguridad informática. Cuando los
investigadores empezaron a recopilar listas negras de direcciones IP conocidas por pertenecer a
servidores de C&C, los delincuentes reaccionaron desarrollando FastFlux. Cuando la realización de
pagos a través de los medios tradicionales se hizo más difícil debido al aumento de la investigación, los
delincuentes se pasaron a las criptomonedas. Tener en cuenta la adaptación es importante a la hora de
diseñar mitigaciones contra la ciberdelincuencia. En particular, las mitigaciones eficaces son aquellas
ante las que el delincuente no puede reaccionar fácilmente, o cuando la adaptación tiene un precio
financiero (por ejemplo, una reducción de los ingresos).
El desplazamiento representa el hecho de que, una vez establecidas las mitigaciones, los delincuentes
pueden simplemente trasladar sus operaciones a otro lugar. Mientras que en el mundo físico la distancia
que pueden recorrer los delincuentes viene dictada por las limitaciones prácticas, en Internet el
desplazamiento de un "lugar" a otro es prácticamente gratuito. Entre los ejemplos de desplazamiento se
encuentran los delincuentes que empiezan a registrar dominios DNS con otro registrado r después de que
su registrado r preferido aumentara el precio del dominio para frenar el uso indebido [ 847], o la apertura
de multitud de mercado s de drogas para llenar el vacío dejado por el desmantelamiento de Silk Road
[714]. Los efectos de desplazamiento son importantes a la hora de planificar las acciones contra la
ciberdelincuencia. En general, una mitigación debe dificultar que los delincuentes se trasladen a otro
lugar. Por el contrario, una acción de mitigación que simplemente desplace una operación cibercriminal
sin afectar a su eficacia probablemente no merezca la pena.

ciberseguridad
Los investigadores han aplicado la Prevención Situacional del Delito a una serie de delitos informáticos,
como las violaciones de datos de las organizaciones [833] y la mitigación de las vulnerabilidades del
software [834]. Sin embargo, según lo expuesto en esta sección, este marco podría aplicarse a cualquier
actividad delictiva que ocurra en línea.
Crime scripting. Otra técnica útil que puede ayudar al análisis de las actividades maliciosas en Internet
desde el campo de la criminología es el crime scripting [848]. En el marco de esta técnica, los
investigadores extrapolan la secuencia de pasos que realiza un adversario para cometer sus delitos. Por
ejemplo, en una estafa romántica, los estafadores crean una cuenta falsa en un sitio de citas El delito de
estafa se caracteriza por su perfil, la identificación de una víctima adecuada, la fase de captación y el
fraude propiamente dicho, cuando el estafador pide dinero a su víctima. Diseccionar las distintas etapas
de un delito puede ser útil para comprenderlo mejor e identificar posibles intervenciones. El scripting del
delito está en cierto modo relacionado con las cadenas de asesinatos, aunque ambas técnicas se
desarrollaron en ámbitos completamente independientes.
Modelización de la economía sumergida como flujo de capital
Como se ha comentado en la sección 7. 1, muchas operaciones maliciosas so n realizadas po r

delincuentes con el objetivo de obtener dinero de sus víctimas. Por esta razón, seguir el flujo de dinero es
una forma útil de entender mejor las operaciones maliciosas y, en particular, de identificar los cuellos de
botella que podrían aprovecharse para desarrollar mitigaciones contra ellas y detener a los delincuentes
[804,849].
Thomas et al. presentaron un modelo diseñado para seguir el flujo de dinero dentro de una operación
cibercriminal [850]. Como parte de este modelo, introdujeron dos elementos necesarios para que una
operación de ciberdelincuencia funcione: los centros de beneficios, a través de los cuales las víctimas
transfieren nuevo capital a la operación delictiva, y los centros de apoyo, que pueden facilitar la
operación delictiva prestando diversos servicios a cambio de una tarifa. El dinero se introduce en el
ecosistema a través de los centros de beneficios, y luego es consumido por los distintos actores que
participan en él, que se proporcionan herramientas y servicios entre sí. Por ejemplo, en una operación de
spam por correo electrónico, el centro de beneficios serían las víctimas que compran productos
farmacéutico s falsificados a través de un programa de afiliados, mientras que todos los servicios que
necesitan los spammers para operar (por ejemplo, los proveedores de alojamiento a prueba de balas para
alojar los servidores de C&C, los servicios de pago por instalación para entregar el malware, los servicios
de generación de contenidos para crear el contenido del spam ) son cent r o s de apoyo. Este modelo
ofrece una interesante conceptualización de cómo fluye el dinero en el ecosistema cibercriminal y cómo
se reparte la riqueza entre los diferentes actores que lo componen. Al cruzarlo con datos del mundo real,

ciberseguridad
también puede ayudar a formarse una idea del beneficio que obtiene cada delincuente y de los ingresos
de la operación.
Otro aspecto interesante del seguimiento del flujo de efectivo de las operaciones de los ciberdelincuentes
es que en algún momento los delincuentes querrán cobrar, lo que se hará utilizando métodos de pago
tradicionales (véase la sección7.2). Dado que estas interacciones se producen en el mundo físico, es más
fácil para las fuerzas del orden rastrearlas y potencialmente detener a los delincuentes [849].
Atribución de ataques
Cuando se habla de actividades maliciosas, la atribución es importante. A las fuerzas del orden les
interesa saber qué delincuentes están detrás de una determinada operación y, en particular, atribuir a los
mismos actores operaciones cibercriminales aparentemente no relacionadas podría ayudar a construir un
caso legal contra ellos. Del mismo modo, los gobiernos están interesados en identificar a los culpables de
los ataques que reciben. E n particular, les interesa saber qué estados nación (es decir, países) están detrás
de estos ataques.
La atribución, sin embargo, es un tema controvertido en el ciberespacio. Como ya hemos comentado, el

concepto de "lugar" es relativo para los ataques informáticos, y los atacantes pueden dirigir fácilmente
sus conexiones de red a través de proxies o máquinas comprometidas en terceros países, ocultando así su
ubicación real. Es razonable suponer que los mismos actores seguirán un modus operandi similar en sus
ataques y, en particular, utilizarán los mismos exploits de so ftware para entrar en los sistemas de sus
víctimas. Estos exploits y artefacto s de código podrían utilizarse para identificar a los grupos
patrocinados por el Estado o a otros atacantes (para más detalles, véase el área de conocimiento de
malware y tecnología de ataque (sección 6.5. 2)). Lamentablemente, este enfoque tiene dos
inconvenientes principales. El La primera es que la mercantilización de los servicios de ciberdelincuencia
ha permitido a los atacantes utilizar kits de explotación, que contienen un gran número de exploits y, por
tanto, aumentan la probabilidad de que se produzca un ataque. Aunque es ventajosa para los atacantes,
esta tendencia significa que los exploits utilizados son una señal menos significativa para identificar a los
atacantes, especial mente a aquellos que no tienen la sofisticación necesaria para explotar las
vulnerabilidades en casa (por ejemplo, los ciberdelincuentes). La excepción a esta tendencia son los
actores patrocinados por el Estado, que a diferencia de los delincuentes tradicionales suelen tener
objetivos muy específicos. Por esta razón, pueden adaptar sus ataques con más cuidado, e incluso
desarrollar nuevos exploits para atacar a una víctima específica. Lo más importante es que a menudo
desarrollan exploits para vulnerabilidades que no son conocidas públicamente, también conocidos como
ataques de día cero [794]. Al ser únicos para un actor, podrían utilizarse para identificar quién está detrás
de un ataque específico. El problema es que, una vez utilizado el exploit, podría ser interceptado por la
víctima (o por cualquier persona de la red) y utilizado posteriormente contra otro objetivo afectado por la

ciberseguridad
misma vulnerabilidad. Esto confundirí a activamente la atribución. Recientes filtraciones han demostrado
que la CIA ha estado recopilando activamente.
La empresa de seguridad de la Unión Europea (UE) ha desarrollado una serie de exploits utilizados por
otras naciones y los ha añadido a su arsenal, lo que les permite hacer creer que otro país está detrás de un
ataque informático. 8
Rid et al. propusieron un marco para sistematizar los esfuerzos de atribución de los ciberataques [835].
Dentro de este marco, identificaron tres capas de análisis que son necesarias para realizar correctamente
la atribución: táctica, operativa y estratégica. El componente táctico consiste en comprender los aspectos
técnicos que componen el ataque (el cómo), el componente operativo consiste en comprender la
arquitectura de las características de alto nivel del ataque y el tipo de atacante al que nos enfrentamos (el
qué), mientras que el componente estratégico se ocupa de comprender la motivación detrás del ataque (el
por qué).
Aunque este marco se desarrolló pensando en los ataques patrocinados por el Estado, podría utilizarse
para atribuir otros tipos de actividad maliciosa. Por ejemplo, para atribuir un ataque de odio en línea
orquestado por el tablero Politically Incorrect de 4chan, [ 735] se podrían rastrear los mensajes de o dio
que llegan a la víctima (cómo), observar la información personal de la víctima en el tablero (qué) y
analizar la discusión sobre la víctima para entender la motivación detrás del ataque (por qué).
CONCLUSIÓN
En este documento, presentamos una visión general de los comportamientos adversos
que existen en Internet en el momento de redactar este documento. Hemos estudiado
varios tipos de operaciones maliciosas, en función de las motivaciones y las capacidades
del atacante, y hemos analizado los componentes necesarios para poner en marcha
operaciones maliciosas con éxito. Por último, describimos una serie de técnicas de
modelización procedentes de diversos campos (informática, criminología, estudios
bélicos) que pueden ayudar a los investigado res y pro fusiónales a modelizar mejor estas operaciones.
Argumentamos que contar con buenos modelos son de importancia

fundamental para desarrollar mitigaciones eficaces que sean difíciles de eludir.
8
https://en.wikipedia.org/wiki/Vault_7

REFERENCIAS CRUZADAS DE TEMAS FRENTE A MATERIAL DE
REFERENCIA
SeccionesCitas
1 Una caracterización de los adversarios
Delitos que dependen del ciberespacio y del ciberespacio [711]
Infractores interpersonales [712,736,739,741,742]
Delincuencia organizada por medios informáticos [713,714,751]
Delincuentes organizados dependientes del ciberespacio [15,16,17,715,716,783,78
4]
Hacktivistas [717,726,791]
Actores estatales [718,719,798,801]
2 Los elementos de una operación
maliciosa Programas de afiliados [764,804]
Vectores de infección [723,805]
Infraestructura [706,806,818]
Servicios especializados [807,808]
Servicios humanos [775,822,823,827]
Métodos de pago [763,809,810]
3 modelos para entender los árboles de ataque de
las operaciones maliciosas [79]
Criminología ambiental [832,833,834]
Modelización de la economía sumergida como flujo [722]
de
capital
Atribución de ataques [835]

Capituli 7

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capituli 7

Cargado por

Copyright:

Formatos disponibles

Suscríbete a DeepL Pro para poder editar este documento.

Entra en para más información.

7.1 UNA CARACTERIZACIÓN DE LOS ADVERSARIOS

ciberdependientes, y continuamos presentando diferentes tipos de actividades maliciosas que

KA Adversarial Behaviour | octubre de Página

Criminales organizados con ayuda del ciberespacio

KA Adversarial Behaviour | octubre de Página

es el tráfico de drogas. Gracias a tecnologías de anonimización como Tor [ 755] y las

Criminales organizados dependientes del ciberespacio

KA Adversarial Behaviour | octubre de Página

Phishing. Un tipo particular de spam es el phishing, en el que los delincuentes envían

KA Adversarial Behaviour | octubre de Página

intercambio pagando a los delincuentes po r i mpresio nes publicitarias q ue no eran "auténticas",

monetización que eran tan importantes en otros tipos de esquemas cibercriminales: el

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

7.2 LOS ELEMENTOS DE UNA OPERACIÓN MALICIOSA

KA Adversarial Behaviour | octubre de Página

de servicios de Internet (ISP) vigilan continuamente los servidores en busca de indicios de

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

entre Mebroot y Torpig [716]).

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

Un reto al que se enfrentan los ciberdelincuentes es encontrar bancos que estén

Desarro llar Explot Comprar Exploit Instalar Keylogger Extorsión del

los delincuentes se trasladaron a otros métodos de pago.

7.1. MODELOS PARA ENTENDER LAS OPERACIONES MALICIOSAS

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

sistemas de detección de intrusos en la red o el engaño al atacante mediante la instalación de honeypots

Teoría de la actividad rutinaria. La teoría de la actividad rutinaria es un concepto comúnmente

KA Adversarial Behaviour | octubre de Página

Prevención situacional de la delincuencia. La prevención situacional de la delincuencia comprende

KA Adversarial Behaviour | octubre de Página

• La delincuencia se concentra en determinados "pro ductos calientes". Esto también se aplica a la

• Aumentar el esfuerzo de la delincuencia. Las mitigaciones en este caso incluyen el despliegue de

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

Modelización de la economía sumergida como flujo de capital

Como se ha comentado en la sección 7. 1, muchas operaciones maliciosas so n realizadas po r

KA Adversarial Behaviour | octubre de Página

La atribución, sin embargo, es un tema controvertido en el ciberespacio. Como ya hemos comentado, el

KA Adversarial Behaviour | octubre de Página

Argumentamos que contar con buenos modelos son de importancia

KA Adversarial Behaviour | octubre de Página

También podría gustarte