Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Capítulo 7
Comportamiento adverso
Gianluca StringhiniUniversidad de Boston
223
El conjunto de conocimientos de
ciberseguridad
INTRODUCCIÓN
Los avances tecnológicos de los que ha sido testigo nuestra sociedad en las últimas
décadas han traído consigo mejoras en nuestra calidad de vida, pero también han creado
una serie de oportunidades para que los atacantes causen daño. Antes de la revolución de
Internet, la mayor parte de los delitos y actividades maliciosas requerían generalmente que
una víctima y un agresor entraran en contacto físico, y esto limitaba el alcance que tenían los
malintencionados. La tecnología ha eliminado la necesidad de contacto físico para llevar a cabo
muchos tipos de delitos, y ahora los atacantes pueden llegar a las víctimas en cualquier parte del
mundo, siempre que estén conectados a Internet. Esto ha revolucionado las
características del crimen y la guerra, permitiendo operaciones que antes no habrían sido
posibles.
En este documento, proporcionamos una visión general de las operaciones maliciosas que
se producen en la actualidad en Internet. En primer lugar, ofrecemos una taxo no mí a de las
actividades maliciosas basada en las motivaciones y capacidades del atacante, y luego pasamos
a los elementos tecnológicos y humanos que los adversarios necesitan para llevar a cabo
una operación con éxito. A continuación, analizamos una serie de marcos de trabajo que
se han pro puesto para mo del ar las operaciones maliciosas. Dado que los co mpo rtami
entos de los adversarios no son un tema puramente técnico, nos basamos en la investigación en
varios campos (informática, criminología, estudios bélicos). Al mismo tiempo, discutimos
cómo estos marcos pueden ser utilizados po r los investigado res y los pro fesionales para
desarrollar mi tigacio nes eficaces contra las operaciones maliciosas en línea.
Doxing. Otro tipo de acoso en línea es la práctica del doxing, un ataque en el que la info
rmación privada de la vícti ma se hace pública en línea [ 736]. Esta o peració n suele fo rmar parte de
una campaña de acoso más amplia, en la que la divulgación de información sensible se
utiliza como forma de avergonzar a la víctima o de facilitar un mayor acoso, incluso en el
mundo físico (por ejemplo, divulgando información en el lugar de trabajo o la dirección del
domicilio de la víctima).
La práctica del doxing se ha hecho cada vez más popular en los últimos años como forma
de po- larizar el debate en línea y silenciar a las personas. Un ejemplo destacado es la
contro versia del #GamerGate, en la que se atacó a menudo a mujeres activistas y se
publicó su info rmación perso nal en línea [737]. El doxing ha sido un vehículo principal para los
ataques de odio coordinados por comunidades online polarizadas como el tablero
Politically Incorrect de 4chan (/pol/) [735]. Como parte de esto s ataq ues, los usuarios anó
ni mos publican info rmación so bre sus o bjetivo s en línea (po r ejemplo, páginas de medios sociales,
números de teléfo no, direccio nes físicas), y luego invitan a o tras perso nas a llevar a cabo
ataques vagamente coordinados (llamados redadas) contra esas personas. Estos ataques
suelen consistir en discursos de odio y otro tipo de lenguaje abusivo.
Aunq ue es una práctica destacada en el ámbi to del aco so en línea, el do xi ng tambi én es
utilizado po r otro s delincuentes. Por ejemplo, es una de las técnicas empl eadas po r grupo s de
hack tivistas co mo A no ny- mo us para po ner so bre aviso a sus o bjeti vos. A co ntinuació n,
hablaremos de las otras técnicas utilizadas por los hacktivistas,
1
Aunque no existe una definición de ciberacoso en la legislación británica, algunas formas del mismo
pueden ser perseguidas en virtud de la Ley de Protección contra el Acoso de 1997.
junto con sus motivaciones, más adelante en esta sección.
Ciberacoso. Otra actividad perjudicial facilitada por Internet es el acoso. El ciberacoso es la
práctica de utilizar medios electrónicos para acosar a otra persona [738,739]. A grandes
rasgos, podemos identificar dos tipos de ciberacosado res: los que utilizan la información que encuentran
en Internet para ayudarles a acosar a su víctima en la vida real (por ejemplo, monitorizando las
redes sociales para conocer su paradero ), y los que utilizan los medios que ofrecen los servicios en
línea para acosar a su víctima puramente en línea. Además, los acosadores que operan en línea se
dividen en los que actúan de forma puramente pasiva, sin ninguna interacción con la víctima, y los
que realizan interacciones, por ejemplo, enviando sus mensajes en una plataforma de red social
[740]. Para contrarrestar el ciberacoso,
recientemente se han introducido leyes en muchos países, como la Ley de Protección de las
Libertades de 2012 en el Reino Unido y la Ley de Violencia contra las Mujeres de 2000 en
Estados Unidos.
La sextorsión. Un delito emergente que ha cobrado relevancia es la sextorsión, en la que un
delincuente atrae a las víctimas para que realicen actos sexuales delante de una cámara
(por ejemplo, una cámara web en una sala de chat), graba esos actos y posteriormente
pide un pago monetario para no divulgar las imágenes [741]. La sextorsión se está
convirtiendo en una amenaza tan importante que las agencias de prevenció n de la delincuencia,
como la Agencia contra la Delincuencia Nacional (NCA) en el Reino Unido, están lanzando
campañas de concienciación específicas contra ella. 2
Depredación de menores. Otro delito facilitado por Internet es la depredación de menores
[742]. Los servicios en línea son un terreno fértil para q ue los delincuentes encuentren víctimas,
ya sea en chats, redes sociales en línea o plataformas de juegos en línea. A continuación,
el delincuente prepara a sus víctimas para que realicen abusos físicos o en línea [742]. En
comparación con el delito correspondiente fuera de línea, la depredación sexual en línea
presenta dos diferencias principales: en primer lugar, la víctima y el agresor casi nunca se
conocen en la vida real. En segundo lugar, la demografía de las víctimas está más sesgada
hacia los adolescentes que hacia los niños pequeños, porque la edad en la que los niños
empiezan a conectarse a Internet es ligeramente superior [ 743]. Los delincuentes utilizan una
serie de tácticas, como hacerse pasar por personas jóvenes y niños para preparar a sus
víctimas [744] y las investigaciones han demostrado la vulnerabilidad potencial de los
niños de todas las edades a este tipo de engaño de identidad en línea [745].
Otros delincuentes no interactúan directamente con los niños, pero descargan y comparten
pornografía infantil en Internet. En estos casos, los agreso res co nocen a menudo a sus vícti mas y
di funden material de abuso infantil a estos "usuarios" de dicho material. Esto se ha visto facilitado
por las platafo rmas de intercambio entre pares [ 746,747], así co mo po r tecnologías de ano ni
mización co mo To r [748]. También se han estudiado los retos que plantea la identi ficación de
los creado res de nuevo materi al de abuso infantil (y las tácticas engañosas utilizadas por los
delincuentes, po r ejemplo, el vo cabul ario especi alizado de los nombres de los archivos para
frustrar las investigaciones) en estas redes entre iguales [747].
[749] o en verdaderas organi zacio nes cri minales estructuradas [ 750]. Reconocemos que existen
otros delitos que han visto incrementado su alcance gracias a la tecnología. Sin embargo,
estos delitos aún no han sido estudiados en profundidad por la comunidad investigadora y,
por tanto, hemos decidido centrarnos en el que la comunidad investigadora conoce mejor.
2
http://www.nationalcrimeagency.gov.uk/crime-threats/kidnap-and-extortion/sextortion
De forma más cínica, Herley argumenta que los estafado res están incentivado s para co nstrui r las
narrativas más absurdas posi bles, para asegurarse de q ue sólo responderán aq uellos que sean lo
suficientemente crédulos co mo para creerlos, y que estas personas serán las más
propensas a caer en la estafa [754]. Su argumento es que responder al primer mensaje
repetitivo es caro para el estafador, mientras que enviar la primera copia a todas las
víctimas que desee es gratis. Por esta razón, les interesa descartar lo antes posible a
quienes no son susceptibles de caer en la estafa.
Tráfico de drogas. Otra categoría de delitos para la que Internet ha ofrecido oportunidades
El conjunto de conocimientos de
ciberseguridad
Spam por correo electrónico. El spam de correo electrónico ha sido una gran molestia
para los usuarios de Internet durante las últimas dos décadas, pero también ha estado a la
cabeza de operaciones criminales muy exitosas, que han logrado monetizar la venta de
productos falsificados y farmacéuticos llegando a miles de millones de clientes po tenciales a
través de mensajes maliciosos [759]. El spam po r co rreo electró nico se define co mo correo
electrónico masivo no solicitado; esta definición pone de manifiesto los dos elementos
principales del problema: el hecho de que los mensajes que reciben las víctimas no son
solicitados (es decir, no se pidieron en primer lugar), y que se envían en masa para llegar al
mayor número posible de víctimas.
Aunque el primer correo electrónico no deseado se registró en 1978 [ 760], el spam por
correo electrónico cobró importancia en la década de 1990, cuando los delincuentes crearo n
pequeñas o peracio nes, no muy diferentes de las de fraude por adelantado descritas en la
sección anterior [761]. El objetivo de estas operaciones era vender productos en línea, que
podían abarcar desde suplementos dietéticos hasta recuerdos nazis [ 761]. En esta fase,
contando con su propia experiencia y con la ayuda de un pequeño número de asociados,
los delincuentes llevaban a cabo to das las acti vidades necesarias para mo ntar una o peració n de
spam co n éxito: (i) reco pilar las direcciones de co rreo electrónico a las q ue enviar los mensajes
KA Adversarial Behaviour | octubre de Página
El conjunto de conocimientos de
ciberseguridad
maliciosos, (ii) crear la tienda de co rreo electró nico, (iii) enviar los co rreo s electrónicos de spam
de forma masiva, (iv) procesar los pedidos de las perso nas q ue querían comprar los artículos
anunciados, (v) reaccionar ante las redadas de las fuerzas del orden
electrónicas del
3
https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32002L0058
Reino Unido4 y la Ley CAN-SPAM en Estados Unidos. 5 Estas leyes ayudaron a perseguir a
algunos de los primeros spammers. En 2004, America Online (AOL) ganó un juicio contra Davis
Wolfgang Hawke, que vendía aparatos nazis a través de correos electrónicos basura. Hawke
fue condenado a pagar una multa de 12,8 millones de dólares.
Los avances técnicos de principios de la década de 2000, y en particular el desarrollo de
botnets, redes de ordenadores comprometidos controlados por el mismo ciberdelincuente
[758], dieron oportunidades sin precedentes a los delincuentes que hoy quieren dedicarse al
spam por correo electrónico. El spam por correo electrónico ya no es una operación
unipersonal, sino que se apoya en prósperos ecosistemas delictivos. Los emisores de spam
pueden alquilar botnets a delincuentes especializados en infectar ordenadores con
malware [723], comprar listas de direcciones de correo electrónico objetivo a actores
especializados [762] e inscribirse en un programa de afiliados [763,764], que proporcionará
al emisor de spam una forma de publicidad, además de encargarse de los envíos y los
pagos.
La carrera armamentística relacionada con la mitigación del spam se lleva a cabo desde los
años 90, y se han pro puesto numerosas mi tigacio nes [765]. En la actualidad, las técnicas antispam
garanti zan que la inmensa mayoría de los correos maliciosos nunca lleguen a los buzones de
sus víctimas. Para solucionar este problema, los delincuentes tienen q ue enviar decenas de miles de
millones de co rreo s electró nicos [ 723] para que sus o peracio nes sigan siendo rentables. Otro
problema es que, de las víctimas a las que llegan los correos electrónicos de spam, sólo
una pequeña parte comprará los productos anunciados y obtendrá beneficios para los
delincuentes. Los investigadores llevaron a cabo un estudio de caso para la red de bots
Storm [17], que demostró que de los 469 millones de correos electrónicos de spam
enviados por la red de bots, sólo el 0,01% llega a sus objetivos. De ellos, sólo el 0,005% de los
usuarios hace clic en los enlaces co ntenido s en los co rreo s electrónicos, mientras q ue un número
aún meno r termi na comprando artículos: sólo 28 usuarios en total de los 469 millones
alcanzados, o el 0,0004% del total. A pesar de este fuerte descenso, McCoy et al.
demostraron que los programas de afiliación de spam más populares fueron capaces de
obtener hasta 85 millones de dól ares de ingresos en un perio do de tres años [ 763]. Tambi én
demostraro n que la clave de este éxito son los clientes que regresan. De hecho, los correos
electrónicos de spam sólo tienen que llegar a un cliente interesado una vez, y esta persona
puede seguir comprando en el sitio sin tener que preocuparse por los filtros de spam.
ofrecer funcio nalidades q ue facilitan al delincuente la reco gi da y el segui miento de las credenciales
ro badas [ 766]. Otro elemento q ue necesi tan los delincuentes para alojar estas páginas son los
servidores bajo su control. Al igual que ocurre con el spam, los delincuentes, los
investigadores y los profesionales están invol ucrados en una carrera armamentística para identificar
y po ner en la lista negra las pági nas web de phishing [ 767], po r lo que no tiene senti do eco nó
mico q ue los delincuentes instalen sus pro pios servi do res. En su lugar, los delincuentes suelen
alojar estas páginas web en servidores comprometidos, por los que no tienen que pagar
[768].
4
wikipediaorg/wiki/Privacy_and_Electronic_Communications_(EC_Directive)_Regulations_2003
5
https://en.wikipedia.org/wiki/CAN-SPAM_Act_of_2003
El ranso mware es, en el mo mento de escribir estas líneas, el estándar de oro para los
ciberdelincuentes. Este tipo de operación de malware ha resuelto los problemas de
KA Adversarial Behaviour | octubre de Página
El conjunto de conocimientos de
ciberseguridad
Hacktivistas
Aunq ue los delincuentes co n áni mo de lucro son una gran amenaza, no to do s los adversarios se
mueven por dinero. En particular, defini mo s el acto de delincuenci a informática mo tivado po r un o
bjeti vo político co mo hacktivis mo [ 717]. Estos delitos pueden adoptar diversas formas, desde
ataques de denegación de servicio [717] hasta comprometer sistemas informáticos con el
objetivo de divulgar información sensible al público [785]. Existe un debate en curso entre
los académicos sobre si las acciones de los hacktivistas entran dentro del activismo
político (por ejemplo, desobediencia civil) o del ciberterrorismo [786]. Holt et al. estudiaron
los ciberataques llevados a cabo por grupo s de extrema izq uierda en EE.U U. y descu briero n que
habí a un aumento de los ataq ues en línea durante los periodos en los que se observaba una
disminución de la violencia física por parte de esos mismos grupos [787].
Negación de servicio. La práctica del hacktivismo comenzó en los años 90 con los
netstrikes [788]. Como parte de esta práctica, los usuarios de Internet se conectaban para
atacar simultáneamente a los sitios web para ago tar sus recurso s y hacer que no respo
ndieran. Esto se hací a a menudo para pro testar co ntra las acciones y políticas de las agencias
gubernamentales y las corporaciones. Veinte años después, con la mayo r sofisticación que
ofrece la tecnolo gía, grupos de hack tivistas co mo Ano nymous [ 789] tomaron la idea de los
netstrikes y la hicieron más grande. Este colectivo se hizo po pular por lanzar ataques de
denegación de servicio contra organizaciones culpables de realizar acciones que no
coincidían con su postura moral, como gobiernos vinculados a la represión de la Primavera
Árabe, empresas de tarjetas de crédito que no hacían donaciones a entidades como
Wikileaks u organizaciones religiosas radicales.
Para llevar a cabo sus ataques, Anonymous pedía a sus simpatizantes que instalaran un
programa informático, llamado Low Orbit Ion Cannon (LOIC), que actuaría como un bot en una red
de bots: su controlador utilizaría el ancho de banda del ordenado r para llevar a cabo un
El conjunto de conocimientos de
ciberseguridad
ataque de denegació n de servicio contra un objetivo elegido. La diferencia con las redes de
bots tradicionales (y las que se utilizan para llevar a cabo ataques de DDoS
en particular) es que el usuario acepta formar parte de ella al instalar el programaLOIC , y
que por ello sufre la acción de las fuerzas del orden.
Fugas de datos. Otra tendencia que venimos observando en los últimos años en el ámbito
de los hack-
Actores estatales
Otro tipo de actor malicioso involucrado en comportamientos adversos en línea son los
estados nacionales. En los último s años, hemos o bservado una escalada en el uso de ataq ues info
rmáticos por parte de acto res estatales para lograr sus o bjetivo s. A grandes rasgo s, este tipo de
ataq ues se diferencia de los realizados por ciberdelincuentes con motivación económica por
dos razones:
1. La ciberdelincuencia necesita reunir el mayor número posible de víctimas para maximizar
sus beneficios. Por ejemplo, los delincuentes que crean una red de bots para robar
información financiera de sus víctimas querrán alcanzar el mayor número posible de víctimas
para mejorar sus ingresos. Esto significa que los ataques del ciberdelincuente tienen
que ser genéricos o lo suficientemente versificados como para cubrir una gran
población de dispositivos (por ejemplo, mediante el uso de kits de explotación, como
se explica en la sección 7.2). En un ataque patrocinado por el Estado, en cambio, no hay
necesidad de ganar dinero, y normalmente la víctima está bien definida (por ejemplo,
una organización específica o una persona de interés). En este caso, el ataque se puede
adaptar a la víctima; esto aumenta las posibilidades de éxito, debido al tiempo que se
puede dedicar a diseñar el ataque y al hecho de que el ataque será único (por ejemplo,
utilizando un ataque de día cero [ 794]), y será poco probable que el software de
protección existente lo detecte.
2.Debido a la necesidad de ganar dinero, los ciberdelincuentes tradicionales necesitan que sus
ataques sean rápidos. Este no es el caso de los ataques patrocinados por el Estado, en
los que la recompensa por conseguir su objetivo (por ejemplo, robar
información sensible de un gobierno) hace que sea aceptable esperar largos periodos
de tiempo antes de finalizar el ataque.
Los ataques patrocinados por el Estado se dividen en tres categorías, dependiendo del
propósito del ataque: sabotaje, espionaje y desinformación. A continuación describimos
con más detalle estos tres tipos de ataques.
Sabotaje. Las infraestructuras críticas modernas pueden ser perturbadas por medios
electrónicos. Las investigaciones han demostrado que no es raro que instalaciones
críticas como las centrales eléctricas tengan algún tipo de conectivi dad de red entre los
ordenado res q ue controlan la maq uinaria y los q ue están conectados a Internet [ 795]. En el caso
de un adversario estatal, ni siquiera co ntar con dispositivos de seguri dad de red para proteger la
frontera entre las dos redes es suficiente, ya que, como hemos dicho, los ataques pueden
ser tan sofisticados y adaptados que las soluciones estándar no los detectan [718]. Una
vez que un trozo de malware consigue entrar en la red de control, puede hacer que la maq
uinaria funcione mal y potencial mente destruirla. Incluso cuando hay una separación física
entre la red de control y la Internet más amplia, los ataques siguen siendo posibles cuando
nos enfrentamos a adversarios con recursos prácticamente ilimitados [ 718].
Un ejemplo destacado es el gusano Stuxnet [718.796], un sofisticado ataque realizado
contra la instalación de enriquecimiento nuclear de Nathanz, en Irán, en 2010. Supuestamente,
el malware se introdujo en la instalación infectando primero el portátil de uno de los
consultores que se encargaba del mantenimiento de la maquinaria. Una vez que el malware
se encontraba en el entorno adecuado, identificaba las piezas del equipo para las que
estaba diseñado y saboteaba los experimentos de enriquecimiento, haciendo que las
centrifugadoras giraran sin control. Hasta la fecha, Stuxnet es un ejemplo de libro de los extremo s
a los que pueden llegar los atacantes patrocinados por el Estado para lograr sus objetivos, y de la
sofisticación que pueden alcanzar sus ataques.
El sabo taje no siempre está vinculado a acto res estatales. Alguno s incidentes impo rtantes han sido
causados por empleados descontentos de las empresas que actuaron como amenazas
internas, como en el caso de Maroochy Water Services [797]. En este incidente, un
empleado con información privilegiada, cuyo empleo no había sido confirmado, decidió
vengarse de la empresa derramando aguas residuales, lo que provocó importantes daños
medioambientales [797].
Espionaje. Otro objetivo de los actores patrocinados por el Estado para sus ataques es el
espionaje de los activistas y adversarios destacados. La investigación ha demostrado que
los actores estatales hacen un uso destacado del spearphishing (es decir, el phishing
dirigido) para atraer a activistas y empresas para que instalen malware que luego se utiliza
para espiarlos [726,798]. En otros casos, los actores estatales infectan los sistemas
sensibles (por ejemplo, los servidores de las grandes empresas), con el objetivo de robar
información sensible [799]. La industria de la seguridad ha bautizado estos sofisticados
ataques de larga duración como Amenazas Persistentes Avanzadas.
Desinformación. En los últimos dos años han surgido pruebas de que actores
patrocinados por el Estado han participado en la difusión de desinformación en las redes
sociales [719,800,801,802]. Este
se ha hecho a través de cuentas de trolls que han actuado para polarizar el debate en línea
sobre temas delicados [803]. Aunque redes soci ales co mo Twitter han puesto a disposició n del
público datos so bre cuentas rel acionadas co n la desi nformació n patroci nada po r el Estado [719,
800], aún faltan pruebas riguro sas so bre có mo se llevan a cabo estas o peraciones en el back end.
Por ejemplo, no está claro hasta q ué punto las cuentas implicadas en la desinformación están
controladas por operadores humanos y no por bots.
Programas de afiliación
El principal objetivo de la delincuencia organizada es ganar dinero con sus operaciones.
Esto requiere no sólo una infraestructura técnica bien engrasada para asegurarse de que sus bo
tnets funcionen co rrectamente, sino, lo que es quizás más importante, un método de trabajo
para recaudar los pagos de las víctimas (o de los patrocinadores, en el caso del DoS), al
tiempo que se asegura de que todos los actores implicados en la operación cobren.
En el mundo de la ciberdelincuenci a, esto se hace no rmal mente a través de programas de afiliación.
Un programa de afiliados es un esquema en el que la organización principal proporciona una
"marca" y todos los medios necesarios para realizar pedido s, envíos y pagos. Los afiliados
pueden unirse al pro grama, diri gir el tráfico a la plataforma y obtener una parte de las ventas de
las que son responsables. Aunque este esquema existe para las empresas legítimas (por
ejemplo, Amazon tiene un programa de afiliados), ha tenido un éxito especial para las
operaciones de los ciberdelincuentes. La principal diferencia entre los programas de
afiliación legítimos y los delictivos es que la segunda categoría de operaciones suele tratar co
n pro ductos q ue se consideran ilegales en la mayo ría de las jurisdiccio nes (po r ejemplo, pro ducto
s farmacéuticos falsificados, juegos de azar, pro ducto s de diseño falsificados) y suelen respal dar
técnicas de pro moció n delictivas (por ejemplo, el uso de malware o la optimización de
motores de búsqueda de sombrero negro).
Los programas de afiliación son populares en el mundo de la ciberdelincuencia porque
permiten que los afiliados no tengan que montar sus operaciones de principio a fin, sino que
se centran en atraer tráfico, por ejemplo, creando redes de bots y enviando spam por
correo electrónico para anunciar el mercado de afiliados. Los primeros ejemplos exitosos
de programas de afiliación para la ciberdelincuencia se centraron en el spam por correo
electrónico, y anunciaban producto s farmacéutico s falsificados [ 759,763, 764]. Sin embargo, los
programas de afiliación están presentes en la mayoría de los tipos de ciberdelincuencia,
como por ejemplo la operación de ransomware Cryptowall. 6
Además de proporcionar la monetización necesaria para las operaciones de los
ciberdelincuentes, los programas de afiliación también actúan como facilitadores para que
los delincuentes se pongan en contacto e intercambien los servicios necesarios para que
la operación tenga éxito. Esto se suele hacer mediante la creación de un foro en el que los
afiliados pueden comerciar con sus servicios [723,763]. El acceso a estos foros suele
requerir el examen de los administradores de los programas de afiliación.
Vectores de infección
Como ya se ha comentado, el primer paso que necesitan los delincuentes para llevar a
cabo una actividad maliciosa es infectar a sus víctimas con malware. Para ello, los
delincuentes tienen que exponer primero a sus víctimas potenciales al contenido malicioso,
y luego hacer que lo instalen en sus máquinas (medi ante engaño o explotando una
vulnerabilidad de so ftware en su sistema). A co ntinuación, analizamos tres métodos populares
para hacer llegar el malware a los ordenadores de las víctimas. Hay que tener en cuenta
que, aunque son posibles otros vectores de infección, como el acceso físico a una red o el
pirateo de una red inalámbrica, hasta la fecha no tenemo s co nstancia de ningún co mpro
miso a gran escal a que implique estos vectores de infección, por lo que no nos
centramos en ellos.
Adjuntos maliciosos. Posiblemente el método más antiguo de distribución de malware es
adjuntar software malicioso a los correos electrónicos de spam, disfrazándolo de
contenido útil que el usuario podría querer abrir. Esta técnica de propagación fue
popularizada por los gusanos de correo electrónico a principios de la década de 2000,
como
6
https://www.secureworks.com/research/cryptowall-ransomware
El conjunto de conocimientos de
ciberseguridad
co mo el gusano "I love yo u" [ 811], pero si gue siendo una forma po pular de hacer llegar el malware
a las vícti mas [723]. En la economía mercantilizada descrita anteriormente, es frecuente que un
delincuente que quiere pro pagar una i nfección de malware pague a o tro delincuente q ue ya tiene el
co ntrol de una red de bots para entregar las cargas útiles [ 716]. Para tener éxito, el conteni do
utilizado para este vecto r de infección debe convencer al usuario para que haga clic en el archivo
adjunto y lo instale. Para ello, los delincuentes suelen utilizar técnicas de engaño para
hacer que el contenido parezca interesante y atractivo, de forma similar a las técnicas
comentadas para el phishing [ 715]. Este engaño entra en el ámbito de la ingeniería social
[812].
Optimización de sombrero negro para motores de búsqueda. La optimización para
motores de búsqueda (SEO) es una práctica popular por la que los webmasters optimizan sus
contenidos para que sean mejor indexados por los motores de búsqueda y aparezcan entre l os
primeros resultados de las búsquedas relevantes. A los ciberdelincuentes también les interesa que
sus páginas web maliciosas aparezcan en los primeros puestos de los resultados de
búsqueda, ya que así aumentan las posibilidades de que las víctimas potenciales las
encuentren y hagan clic en ellas. Para ello, los delincuentes especializados ofrecen servicios
de black hatSEO. Como resultado de estos servicios, los sitios web maliciosos son
empujados hacia arriba en los rankings de los motores de búsqueda para palabras clave que
no están relacionadas con el sitio web [813]. Esto ocurre con especial frecuencia en las
proximidades de eventos populares (por ejemplo, eventos deportivos y políticos), ya que es
más probable que la gente busque palabras clave relaci onadas con el evento. Para lograr un black
hatSEO eficaz, los ciberdelincuentes comprometen sitios web vulnerables y los utilizan para
promocionar las páginas web de sus clientes (por ejemplo, añadiendo enlaces invisibles y texto
que apunta a la página web objetivo).
Ataques drive-by download. Aunque engañar a los usuarios para que instalen el malware funciona,
tener un método automatizado que no requiera la interacción humana es más
ventajoso para los ciberdelincuentes. Para ello, los ciberdelincuentes han perfeccionado los
llamados ataques drive-by download [805]. Como parte de uno de estos ataques, la víctima
visita una página web bajo el control del criminal (por ejemplo, encontrada a través de black
hatSEO). La página web contiene código JavaScri pt malicioso que intentará explotar una
vulnerabilidad en el navegado r web del usuario o en uno de sus plugins. Si tiene éxito, el navegador
web recibirá instrucciones para descargar e instalar automáticamente el malware.
Para alojar sus scripts maliciosos, los ciberdelincuentes suelen comprometer sitios web
legítimos [814]. Una tendencia alternativa es la de comprar espacio publicitario en la web y
servir el cono malicioso como parte del anuncio, en una práctica conocida como
malvertisement [815].
Compromiso de los dispositivos conectados a Internet. A medida que más dispositivos se
conectan a la red (por ejemplo, los dispositivos de la Internet de las Cosas (IoT)), una
oportunidad adicional que se ofrece a los atacantes es la de escanear Internet en busca de
dispositi vos q ue presenten vulnerabilidades co noci das y explotarlas para co nstruir grandes redes
de bots. Un ejemplo destacado de esto fue la red de bots Mirai [ 682].
Infraestructura
Otro elemento importante que los delincuentes necesitan para que sus operaci ones
KA Adversarial Behaviour | octubre de Página
El conjunto de conocimientos de
ciberseguridad
tengan éxito es dónde alojar su infraestructura. Esto es importante tanto para los
programas de afiliación (por ejemplo, dónde alojar los sitios web de compras fraudulentas)
como para las operaciones de las redes de bots. Las fuerzas del orden y los proveedores
Esto es posible gracias a que están ubicados en países con una legislación poco estricta
en materia de ciberdelincuencia o a que los operadores de los proveedores de servicios
sobornan activamente a las fuerzas del orden locales [759]. Los proveedores de servicios
de alojamiento a prueba de balas suelen cobrar a sus clientes más dinero del que cobraría
un proveedor de servicios de Internet normal. Por ello, se convierten en un foco de
actividad ilícita, ya que los usuarios malintencionados se congregan allí debido a sus garantías,
pero los usuarios legítimos no tienen ningún incentivo para utilizarlos. A pesar de ofrecer
mayores garantías a los ciberdelincuentes, los proveedores de servicios de alojamiento a
prueba de balas no son invencibles a los esfuerzos de desmantelamiento. En particular, los
proveedores de servicios de Internet necesitan estar conectados entre sí para poder
enrutar el tráfico, y un proveedor de servicios de Internet que aloje exclusivamente contenido
malicioso podría ser
desconectado por los otros proveedo res sin muchas consecuencias para el tráfico legítimo de
Internet [759].
Infraestructura de mando y control. Una red de bots requiere una infraestructurade mandoy control
(C&C) a la que los ordenadores infectados puedan ser instruidos para conectarse, recibir
órdenes e informar sobre el pro greso de la o peració n maliciosa. En un principio, las redes de
bo ts utilizaban un único servi do r de mando y co ntrol, aunq ue éste suponí a un único punto de fallo.
Incluso supo niendo que el servi do r estuviera alojado en un pro veedo r de alojamiento a prueba de
balas, y q ue po r lo tanto no pudiera ser derribado, el hecho de que el servidor tuviera una
dirección IP única significaba que podía ser fácilmente incluido en la lista negra de las
empresas de seguridad.
Para mitigar este problema, los ciberdelincuentes idearon infraestructuras de C&C que son
redundantes y más difíciles de derribar. Un ejemplo es la infraestructura de botnet de
varios niveles, en la que los bots reciben instrucciones para conectarse a un servidor de C&C
intermedio, que se encarga de transmitir la informació n hacia y desde un servidor de control
central [817]. Esta infraestructura hace que la red de bots sea más resistente, ya que
incluso si algunos de los relés se caen, el C&C central sigue funcionando y se pueden añadir
relés adicionales. Además, los ordenadores infectados nunca ven la dirección IP del
servidor central de C&C, lo que hace más difícil localizar y
de la red. Una variante de este modelo son las redes de bots peer-to-peer, en las que
ordenadores infectados con una conectividad especialmente buena y direcciones IP
públicas son "elegidos" para actuar como relés [818]. Esta infraestructura aumenta la
flexibilidad que tiene el delincuente y reduce el coste de la operación, ya que el delincuente
no tiene que gastar dinero para instalar repetidores. Sin embargo, la infraestructura de la
red de bots se vuelve vulnerable a la infiltración, ya que los investigadores pueden crear
bots falsos, ser elegidos como relés y, de este modo, ser capaces repentinamente de
monitorizar y modificar el tráfico procedente del C&C central [17].
Otras técnicas utilizadas por los ciberdelincuentes para hacer que su infraestructura de
control sea más resistente son Fast Flux [706], en la que los delincuentes utilizan varios
servidores asociados a la estructura de C&C y los rotan rápidamente para dificultar los
desmantelamientos, y Domain Flux [819], en la que el nombre de dominio asociado al
servidor de C&C también se rota rápidamente. Ambos métodos son efectivos para hacer la
operación más resistente, pero también hacen que la operación sea más cara para el
criminal (es decir, tienen que comprar más servidores y nombres de dominio).
Esto s pro blemas han creado una o po rtuni dad para que los delincuentes especi alizado s presten
servicios al resto de la comunidad. Esto ha llevado a la creación de kits de explotación
[807], que son herramientas que recopilan un gran número de vulnerabilidades y se venden
en el mercado negro para que las utilicen otros delincuentes. Un kit de explotación suele
ser accesible como una aplicación web. Los clientes pueden dirigir a sus víctimas hacia él
comprometiendo sitios web o utilizando anuncios maliciosos.
Servicios de pago por instalación. Infectar los ordenadores de las víctimas y mantener
una red de bots es una tarea compleja, y las investigaciones han demostrado que los
operadores de malware que intentan hacerlo sin la experiencia adecuada tienen
dificultades para obtener beneficios [821]. Para resolver este problema y satisfacer la
demanda de redes de bots estables, ha surgido un nuevo servicio delictivo denominado
servicios de pago por instalación (PPI) [808]. Los operado res de PPI son expertos en configurar
una red de bots y hacerla funcionar correctamente. Otros delincuentes pueden entonces pagar
al operador PPI para que instale el malware en los ordenadores infectados en su nombre. Los
servicios PPI suelen ofrecer un buen nivel de granularidad de elección a sus clientes, que
no sólo eligen cuántas infecciones quieren instalar, sino también su ubicación geográfica (los
bots en los países desarrollados cuestan más que las infecciones en los países en
desarrollo [808]).
Una de las ventajas de utilizar losPPIservicios es que hacen que las operaciones de los
ciberdelincuentes sean más resistentes: si su malware deja de funcionar, por ejemplo,
porque las fuerzas de seguridad han derribado los servidores de C&C que utiliza, el
delincuente puede reanudar sus operaciones pidiendo al operador delPPI que instale una versión
actualizada de su malware en las máquinas de las víctimas. Por esta razón, esta simbiosis
de malware entrePPIservicios y otras redes de bots es muy común en
el ecosistema criminal (véase, por ejemplo, la simbiosis entre Pushdo y Cutwail [723], y
El conjunto de conocimientos de
ciberseguridad
Servicios humanos
En esta sección, discutiremos los servicios auxiliares que son necesarios para que una
operación cibercriminal de extremo a extremo tenga éxi to. A unque no se suele pensar q ue
estos elementos fo rmen parte de la ciberdelincuencia, son tan importantes para el éxito de una
operación cibercriminal como los elementos más técnicos.
Servicios de resolución de CAPTCHA. En algunos casos, los ciberdelincuentes necesitan
crear cuentas en los servicios en línea para iniciar sus operaciones (por ejemplo, una
operación de spam en las redes sociales [724,725]). Sin embargo, para protegerse de la
creación automática de cuentas a gran escala, los servicios en línea utilizan ampliamente
losCAPTCHA, que son notoriamente difíciles de resolver para los programas automati zados.
Para resolver este problema al que se enfrentan los ciberdelincuentes, se han creado nuevos
servicios de resolución deCAPTCHAs [822]. Estos servicios se aprovechan de los trabajado res
del crowdsourci ng. Una vez que el cliente deCAPTCHAsolving encuentra unCAPTCHA , éste
es reenviado por el ser-
vicio a uno de estos trabajado res, que lo resolverá. De este modo, el cliente puede proc eder y
crear la cuenta en el servicio online.
En otros casos, los servicios en línea requieren que quien haya creado una cuenta en línea
reciba un código enviado por mensaje de texto a un número de teléfono y emita ese
código de vuelta al servicio. Para superar este problema, los ciberdelincuentes pueden
utilizar servicios que automatizan este tipo de interacción [722].
Cuentas falsas. Dado que la creación de cuentas falsas lleva mucho tiempo y requiere el uso de
servicios auxiliarescomo CAPTCHAsolvers, los ciberdelincuentes han empezado a especializarse en
la creación de cuentas falsas en múltiples servicios en línea y a venderlas en el mercado negro
[823]. Las cuentas en los distintos servicios pueden tener precios diferentes, dependiendo
de la facilidad para crear nuevas cuentas en la plataforma y de la agresividad con la que el
servicio suspende las cuentas sospechosas de ser falsas.
Un problema de las cuentas falsas recién adquiridas es que no tienen una "reputación"
establecida en la red social, lo que reduce su credibilidad ante las víctimas potenciales y su
alcance a la hora de difundir mensajes maliciosos. Esto se puede mitigar utilizando servicios
de "aumento de la reputación", que ayudan a crear una red de contactos para cuentas que
de otro modo no tendrían. Ejemplos de ello son los servicios que ofrecen likes falsos en
Facebook [824] y que atraen a cuentas comprometidas para que sigan a los clientes del
servicio en Twitter [825].
Generación de contenidos. En algunos casos, los ciberdelincuentes necesitan crear
contenidos falsos para enviarlos a sus víctimas, ya sea para correos electrónicos de spam, sitios
web falsos utilizados para el black hatSEO o sitios de redes sociales en línea. Para generar este
contenido, los delincuentes pueden reclutar trabajadores en foros clandestinos [826].
Mulas de dinero. El objetivo principal de muchas operaciones de los ciberdelincuentes es
obtener dinero de sus víctimas. Sin embargo, extraer dinero de una operación no es fácil.
En el caso de los fraudes bancarios, por ejemplo, aunque los delincuentes obtengan
acceso a la cuenta bancaria de la víctima, todavía tienen que transferir dinero a cuentas
bajo su control sin ser detectados y detenidos.
Para facilitar estas o peracio nes de monetizació n, los delincuentes se apro vechan de las mulas
KA Adversarial Behaviour | octubre de Página
El conjunto de conocimientos de
ciberseguridad
de dinero [827]. Se trata de personas reclutadas por los delincuentes para realizar
operaciones de blanqueo de capitales y dificultar el segui miento del dinero o btenido en una
operación ilícita po r parte de las fuerzas del orden. En un esquema de mula de dinero, el
delincuente recluta a una persona para que actúe como mula y le envía dinero utilizando
medios rastreables (por ejemplo, un cheque o una transferencia bancaria). A continuación,
se indica a la mula que transfiera el dinero a una cuenta bajo el control del delincuente utilizando
medios no rastreables (po r ejemplo, Western Union). También se le dice a la mula que puede
quedarse con un porcentaje de la cantidad como pago. Dado que estas transacciones
imposibles de rastrear deben realizarse en
Métodos de pago
Como los delincuentes necesitan que se les transfiera dinero, pueden utilizar distintos
métodos de pago, cada uno de los cuales conlleva un nivel de riesgo diferente y resulta
más o menos familiar para las víctimas.
Procesadores de tarjetas de crédito. La mayoría de las transacciones en línea se realizan
con tarjetas de crédito. Para captar el mayor número posible de clientes, los
ciberdelincuentes tienden a aceptar también los pagos con tarjeta de crédito. McCo y et al.
demo straro n que el 95% de los pro gramas de afiliación de spam entre 2007 y 2012 aceptaban pagos
con tarjeta de crédito [763], y que los servicios de DDoS que no aceptaban tarjetas de
crédito sufrían en cuanto al número de clientes que podían atraer [784]. Los procesado
res de tarjetas de crédito llevan un registro de las devol uciones de cargo s que una empresa tiene en
sus cuentas, y demasiadas quejas de los clientes suelen dar lugar a la cancelación de las
cuentas de la empresa. Por esta razó n, muchas operaciones de ciberdelincuentes o frec en
"asistencia al cliente" a sus vícti mas, ofreciéndoles reembolsos si no están satisfechas con sus
compras [809].
Irrumpir en el servidor
Robar la contraseña
Explotar la vulnerabilidad
Figura 7.1: Ejemplo de árbol de ataque que describe la acción de irrumpir en un servidor.
Como se ha mostrado en las secciones anteriores, las operaciones maliciosas pueden ser bastante
complejas y conllevan múltiples elementos técnicos y múltiples actores. Por lo tanto, es necesario que los
defensores dispongan de los medios adecuados para comprender estas operaciones, de modo que puedan
desarrollar las mejores contramedidas. A continuación, examinamos una serie de modelos que se han pro
puesto para modelar las operaciones maliciosas. Estos modelos proceden de diversos ámbitos de
investigación, como la seguridad informática, la criminología y los estudios bélicos. Hay que tener en
cuenta que, por razones de espacio, no podemos hablar de todas las técnicas que se han pro puesto en la
literatura para modelar los ataques. Para una lista más completa, remitimos al lector a [836].
Árboles de ataque
La primera forma de modelar los ataques contra los sistemas informáticos son los árboles de ataque [79].
Los árboles de ataque proporcionan una forma formalizada de visualizar la seguridad de un sistema
durante un ataque. En un árbol de ataque, el nodo raíz es el objetivo del ataque, y sus nodos hijos son las
formas en que un atacante puede lograr ese objetivo. Al descender por el árbol, cada nodo se convierte en
un subobjetivo necesario para el ataque para tener éxito, y sus hijos son posibles formas de lograrlo.
La figura 7.1 representa un ejemplo de árbol de ataque. En este ejemplo, los atacantes pretenden
comprometer un servidor. Para ello, tienen dos opciones: o bien explotan una vulnerabilidad o bien
obtienen la contraseña de la cuenta raíz y se conectan por medios normales. Para explotar una
vulnerabilidad, pueden desarrollar el exploit ellos mismos o comprar uno ya existente, quizás a través de
un kit de exploits. Si los atacantes deciden utilizar la contraseña de la cuenta para entrar en el servidor,
primero tienen que obtenerla. Para ello, pueden instalar un malware en el ordenado r del administrado r
del servidor para registrar la contraseña a medida que la introducen (es decir, un keylogger), adivinar la
contraseña utilizando una lista de las más utilizadas o realizar un ataque de fuerza bruta, y finalmente
extorsionar al propietario. El gráfico de ataque podría refinarse aún más con las posibles formas en que el
atacante podría realizar estas acciones (por ejemplo, extorsionar la contraseña chantajeando al
propietario, secuestrándolo, etc.).
Los árboles de ataque permiten dos tipos de nodos, los nodos "o" y los nodos "y". Los nodos "o"
representan las diferentes formas en que los atacantes pueden alcanzar un objetivo (es decir, los hijos de
cualquier no do de la Fi gura 7.1). Los no dos "y", por su parte, representan los diferentes pasos que
deben completarse para alcanzar el objetivo. Una vez creado el árbol, los analistas de seguridad pueden
anotarlo para evaluar el riesgo del sistema ante el ataque, por ejemplo, marcando las distintas estrategias
de ataque como factibles o inviables, asignándoles puntuaciones de probabilidad o estimando el coste
para un atacante de realizar una determinada acción. A continuación, las puntuaciones pueden propagarse
a lo largo del árbol siguiendo reglas específicas [79] para evaluar la viabilidad y la probabilidad global
del ataque.
Otro modelo relacionado con los árboles de ataque son los gráficos de ataque [837]. Mientras que los
árboles de ataque se limitan a objetivos únicos, los gráficos de ataque permiten modelar actores, vectores,
vulnerabilidades y activos de ataque. Otro modelo útil para entender los ataques a la red son las redes de
ataque [838].
Cadenas de matanza
Otra herramienta útil que puede utilizarse para modelar y comprender los ataques son las cadenas de
muerte. En el contexto militar, una kill chain es un modelo que identifica las distintas fases que
intervienen en un at-tack. 7 En el mundo de la informática, Hutchins et al. desarrollaron una Cyber Kill
Chain [831] que modela los diferentes pasos implicados en una operación maliciosa realizada contra
sistemas informáticos. En su modelo, Hutchins et al. identifican siete fases. El modelo está diseñado para
operaciones en las que el atacante identifica, compro mete y posteriormente explota un sistema
informático y, por lo tanto, no todas las fases se aplican a todos los comportamientos adversos discutidos
en este documento. Las siete fases son las siguientes:
1. Reconocimiento, cuando los atacantes identifican posibles objetivos. Esta fase puede consistir en
que un atacante escanee la red en busca de servidores vulnerables o que un spammer compre una
lista de direcciones de correo electrónico de víctimas en el mercado negro.
2. Armado, cuando un atacante prepara la carga útil del ataque para su uso. Esto podría consistir en
el desarrollo de un exploit de software contra una vulnerabilidad recientemente identificada o en
la elaboración de un correo electrónico de fraude por adelantado.
Entrega, cuando el atacante transmite la carga útil a su víctima. Esto puede consistir en la creación
de un servi do r web malicioso, la compra de espacio publicitario para realizar un ataque de
malversación o el envío de un correo electrónico con un archivo adjunto malicioso.
https://en.wikipedia.org/wiki/Kill_chain
Explotación, cuando se aprovecha la vulnerabilidad del objetivo. Esta fase puede consistir en un
ataque drive by download, o en que la víctima sea inducida a hacer clic en un archivo adjunto
malicioso mediante engaño.
Instalación, cuando el software malicioso se descarga, permitiendo así al atacante beneficiarse de la
máquina de la víctima. E n su artículo, Hutchins et al. consideraron un atacante que quería
mantener un acceso constante al ordenado r de la víctima, utilizando un tipo de malware conocido
como troyano de acceso remoto (RAT) [839].
Mando y control, cuando el atacante establece una infraestructura de C&C y un protocolo de
comunicación para controlar el ordenador infectado.
Acciones sobre los objetivos, cuando la infección se monetiza. Esto podría suponer el robo de
información sensible del ordenador de la víctima, el cifrado de los datos de la víctima con ran-
somware, el minado de criptomonedas, etc.
Para cada uno de los siete pasos, Hutchins et al. identificaron estrategias para interrumpir las operaciones
maliciosas, siguiendo cinco posibles objetivos (Detectar, Negar, Interrumpir, Degradar, Engañar).
Algunos ejemplos de estas técnicas son la aplicación de parches a las vulnerabilidades, la instalación de
Otros investigado res han propuesto cadenas de muerte similares a lo largo de los años. Un ejemplo es el
propuesto por Guet al. para modelar las infecciones de botnets [688]. En este modelo, los autores
identifican cinco fases en las que se separa una infección: un escaneo de entrada (similar a la fase uno del
modelo descrito anteriormente), una infección de entrada (similar a la fase cuatro del modelo anterior),
una descarga de "huevos" (análoga a la fase cinco), una fase de C&C (igual que la fase seis) y un escaneo
de salida. En el momento de desarrollar este modelo, los botnets actuaban principalmente como gusanos
informáticos [841], buscando ordenadores vulnerables, infectándolos y utilizándolos para seguir
propagándose. Aunque este modelo describía correctamente las primeras redes de bots, dejó de ajustarse
a la realidad cuando los creadores de bots empezaron a utilizar otros métodos para instalar su malware y
monetizar sus infecciones. Hoy en día, los gusanos están casi extinguidos, con la excepción del infame
malware WannaCry [842]. Este ejemplo demuestra que es difícil desarrollar modelos de comportamiento
de los atacantes que sean resistentes a los cambios en su modus operandi.
Criminología ambiental
Mientras que la ciberdelincuencia es una amenaza relativamente nueva, la delincuencia física ha sido
estudiada por los académicos durante décadas. Por lo tanto, es interesante investigar si este cuerpo de
conocimientos establecido puede aplicarse para comprender mejor y mitigar la amenaza emergente de la
delincuencia en línea. La criminología ambiental, en particular, es una rama de la criminología que se
centra en los patrones delictivos en relación con el espacio donde se cometen y con las actividades de los
actores implicado s (víctimas, auto res y tuto res) [832]. Un reto particular que surge cuando intentamos
aplicar la teoría de la criminología ambiental a la ciberdelincuencia es que el concepto de "lugar" en
Internet no está tan bien definido como en el mundo real. A continuación, repasaremos brevemente los
conceptos clave de la criminología ambiental y ofreceremos algunos ejemplos de cómo podrían aplicarse
para mitigar los delitos en Internet.
concreto, la teoría de la actividad rutinaria afirma que para que se produzca un delito es necesario que
confluyan tres componentes (i) un delincuente motivado, (ii) un objetivo adecuado y (iii) la ausencia de
un guardián capaz.
Estos conceptos podrían ser útiles para modelar mejor la actividad maliciosa en línea. Por ejemplo, las
investigaciones han demostrado que la actividad de las redes de bots alcanza un pico durante el día,
cuando la mayoría de los ordenadores vulnerables están encendidos y las víctimas los utilizan, mientras
que desciende significativamente durante la noche [716]. En términos de la teoría de la actividad
rutinaria, esto puede traducirse en el hecho de que cuando hay más víctimas potenciales en línea,
aumenta la oportunidad de que los delincuentes las infecten, lo que se traduce en un aumento de la
actividad de las redes de bots.
Teoría de la elección racional. La teoría de la elección racional pretende ofrecer un modelo de por qué
los delincuentes toman decisiones racionales para cometer delitos [ 844]. En el caso de la
ciberdelincuencia, este modelo podría ser útil para entender la reacción de los delincuentes a la
mitigación como una elección racional, y ayudar a modelar los problemas de aplicación introducidos por
la prevención situacional del delito, como el desplazamiento. Por ejemplo, cuando un proveedor de
alojamiento a prueba de balas es derribado por las fuerzas del orden, ¿qué factores intervienen en la
elección del siguiente proveedor por parte del delincuente?
Teoría de los patrones de la delincuencia. Otra teoría, deno mi nada teoría de los patrones de la
delincuencia, permite a los investigadores identificar varios lugares que están relacionados con la
delincuencia. Estos lugares son susceptibles de atraer a los delincuentes (atractores de la delincuencia),
generan la delincuencia por la disponibilidad de oportunidades para delinquir (generadores de la
delincuencia) y permiten la delincuencia por la ausencia de gestores del lugar (facilitadores de la
delincuencia).
Aunque la definición de lugares en el ciberespacio no es tan sencilla como en el espacio físico, pensar en
términos de teoría de patrones puede ayudar a identificar los lugares que son puntos calientes para la
ciberdelincuencia, ya sean objetivos especialmente atractivos, como empresas que almacenan datos
sensibles (atractores), sistemas mal configurados que son más fáciles de compro meter (generado res) o
servicios en línea conpoca higiene que no reaccionan rápidamente al spam/malware publicado en sus
plataformas (facilitado res). La identificación de este punto s calientes puede servir para diseñar medidas
adecuadas contra la actividad maliciosa (por ejemplo, a quién dirigir las campañas de educación).
oportunidades de delinquir [ 845]. Las ideas que sustentan la prevención situacional del delito se basan
en tres conceptos principales, que también se aplican a la ciberdelincuencia:
• Es mucho más probable que la delincuencia se produzca en determinados lugares (hotspots). Esta
idea se aplica al contexto de la ciberdelincuencia. Como hemos visto, los delincuentes tienden a
concentrar sus servidores maliciosos en proveedo res de servicios de alojamiento a prueba de
balas, que les proporcionan garantías de que sus operaciones pueden continuar durante largos
períodos de tiempo. En el extremo opuesto, en lo que respecta a las víctimas, los delincuentes
tienden a dirigirse a ordenadores con configuraciones de software vulnerables, que también
constituyen puntos calientes en esta aceptación.
• Las víctimas reincidentes tienen más probabilidades de sufrir delitos en comparación con otras
personas. En el contexto de la ciberdelincuencia, se aplica el mismo concepto. Un ordenador
vulnerable que no está parcheado es probable que se vea comprometido de nuevo [841]. Del
mismo modo, en el caso de los fraudes de comisiones por adelantado, es pro bable que las
víctimas caigan repetidamente en el fraude, porque la narrativa utilizada por los delincuentes les
resulta especial mente atractiva [ 751]. Además de la predisposición natural de las víctimas a caer
de nuevo en estafas similares, los delincuentes tratan de contactar activamente con las víctimas
anteriores del fraude, recopilando las denominadas listas de chupones y compartiéndol as entre
ellos [846].
Para reducir las oportunidades de delinquir, la prevención situacional de la delincuencia propone cinco
categorías de mitigaciones. A continuación, las enumeramos junto con algunos ejemplos de mitigaciones
contra ciberdelincuencia que se han propuesto en la literatura informática y que pueden agruparse en
estas categorías:
• Aumentar el riesgo de delincuencia. Entre las medidas de mitigación se encuentra la reducción del
anonimato de los pagos (por ejemplo, solicitar una identificación cuando alguien cobra dinero de
Western Union).
• Reducir las recompensas. Las mitigaciones en este caso incluyen el bloqueo de pagos o paquetes
sospechosos, o la penalización de los resultados de búsqueda maliciosos.
• Reducir las provocaciones. Los ejemplos aquí incluyen la aplicación de la presión de los pares a
los ISP y los bancos deshonesto s.
• Eliminar las excusas. Las medidas de mitigación típicas en esta categoría incluyen la realización
de campañas educativas o la creación de redireccionamientos auto máticos para desviar a las
víctimas que hubieran visto contenidos maliciosos, explicarles lo sucedido e instarles a proteger
sus sistemas.
Un aspecto interesante del marco de prevención de la delincuencia situacional es que identifica, para cada
mitigación, las cuestiones de implementación que surgen al poner en marcha la mitigación [845]. En el
caso de la ciberdelincuencia, las dos cuestiones de aplicación más relevantes son la adaptación y el
desplazamiento.
La adaptación representa el hecho de que los delincuentes intentarán activamente eludir cualquier
mitigación haciendo su operación más sigilosa o más sofisticada. Se trata de una típica carrera
armamentística que puede observarse en la investigación sobre seguridad informática. Cuando los
investigadores empezaron a recopilar listas negras de direcciones IP conocidas por pertenecer a
servidores de C&C, los delincuentes reaccionaron desarrollando FastFlux. Cuando la realización de
pagos a través de los medios tradicionales se hizo más difícil debido al aumento de la investigación, los
delincuentes se pasaron a las criptomonedas. Tener en cuenta la adaptación es importante a la hora de
diseñar mitigaciones contra la ciberdelincuencia. En particular, las mitigaciones eficaces son aquellas
ante las que el delincuente no puede reaccionar fácilmente, o cuando la adaptación tiene un precio
financiero (por ejemplo, una reducción de los ingresos).
El desplazamiento representa el hecho de que, una vez establecidas las mitigaciones, los delincuentes
pueden simplemente trasladar sus operaciones a otro lugar. Mientras que en el mundo físico la distancia
que pueden recorrer los delincuentes viene dictada por las limitaciones prácticas, en Internet el
desplazamiento de un "lugar" a otro es prácticamente gratuito. Entre los ejemplos de desplazamiento se
encuentran los delincuentes que empiezan a registrar dominios DNS con otro registrado r después de que
su registrado r preferido aumentara el precio del dominio para frenar el uso indebido [ 847], o la apertura
de multitud de mercado s de drogas para llenar el vacío dejado por el desmantelamiento de Silk Road
[714]. Los efectos de desplazamiento son importantes a la hora de planificar las acciones contra la
ciberdelincuencia. En general, una mitigación debe dificultar que los delincuentes se trasladen a otro
lugar. Por el contrario, una acción de mitigación que simplemente desplace una operación cibercriminal
sin afectar a su eficacia probablemente no merezca la pena.
Los investigadores han aplicado la Prevención Situacional del Delito a una serie de delitos informáticos,
como las violaciones de datos de las organizaciones [833] y la mitigación de las vulnerabilidades del
software [834]. Sin embargo, según lo expuesto en esta sección, este marco podría aplicarse a cualquier
actividad delictiva que ocurra en línea.
Crime scripting. Otra técnica útil que puede ayudar al análisis de las actividades maliciosas en Internet
desde el campo de la criminología es el crime scripting [848]. En el marco de esta técnica, los
investigadores extrapolan la secuencia de pasos que realiza un adversario para cometer sus delitos. Por
ejemplo, en una estafa romántica, los estafadores crean una cuenta falsa en un sitio de citas El delito de
estafa se caracteriza por su perfil, la identificación de una víctima adecuada, la fase de captación y el
fraude propiamente dicho, cuando el estafador pide dinero a su víctima. Diseccionar las distintas etapas
de un delito puede ser útil para comprenderlo mejor e identificar posibles intervenciones. El scripting del
delito está en cierto modo relacionado con las cadenas de asesinatos, aunque ambas técnicas se
desarrollaron en ámbitos completamente independientes.
Thomas et al. presentaron un modelo diseñado para seguir el flujo de dinero dentro de una operación
cibercriminal [850]. Como parte de este modelo, introdujeron dos elementos necesarios para que una
operación de ciberdelincuencia funcione: los centros de beneficios, a través de los cuales las víctimas
transfieren nuevo capital a la operación delictiva, y los centros de apoyo, que pueden facilitar la
operación delictiva prestando diversos servicios a cambio de una tarifa. El dinero se introduce en el
ecosistema a través de los centros de beneficios, y luego es consumido por los distintos actores que
participan en él, que se proporcionan herramientas y servicios entre sí. Por ejemplo, en una operación de
spam por correo electrónico, el centro de beneficios serían las víctimas que compran productos
farmacéutico s falsificados a través de un programa de afiliados, mientras que todos los servicios que
necesitan los spammers para operar (por ejemplo, los proveedores de alojamiento a prueba de balas para
alojar los servidores de C&C, los servicios de pago por instalación para entregar el malware, los servicios
de generación de contenidos para crear el contenido del spam ) son cent r o s de apoyo. Este modelo
ofrece una interesante conceptualización de cómo fluye el dinero en el ecosistema cibercriminal y cómo
se reparte la riqueza entre los diferentes actores que lo componen. Al cruzarlo con datos del mundo real,
también puede ayudar a formarse una idea del beneficio que obtiene cada delincuente y de los ingresos
de la operación.
Otro aspecto interesante del seguimiento del flujo de efectivo de las operaciones de los ciberdelincuentes
es que en algún momento los delincuentes querrán cobrar, lo que se hará utilizando métodos de pago
tradicionales (véase la sección7.2). Dado que estas interacciones se producen en el mundo físico, es más
fácil para las fuerzas del orden rastrearlas y potencialmente detener a los delincuentes [849].
Atribución de ataques
Cuando se habla de actividades maliciosas, la atribución es importante. A las fuerzas del orden les
interesa saber qué delincuentes están detrás de una determinada operación y, en particular, atribuir a los
mismos actores operaciones cibercriminales aparentemente no relacionadas podría ayudar a construir un
caso legal contra ellos. Del mismo modo, los gobiernos están interesados en identificar a los culpables de
los ataques que reciben. E n particular, les interesa saber qué estados nación (es decir, países) están detrás
de estos ataques.
misma vulnerabilidad. Esto confundirí a activamente la atribución. Recientes filtraciones han demostrado
que la CIA ha estado recopilando activamente.
La empresa de seguridad de la Unión Europea (UE) ha desarrollado una serie de exploits utilizados por
otras naciones y los ha añadido a su arsenal, lo que les permite hacer creer que otro país está detrás de un
ataque informático. 8
Rid et al. propusieron un marco para sistematizar los esfuerzos de atribución de los ciberataques [835].
Dentro de este marco, identificaron tres capas de análisis que son necesarias para realizar correctamente
la atribución: táctica, operativa y estratégica. El componente táctico consiste en comprender los aspectos
técnicos que componen el ataque (el cómo), el componente operativo consiste en comprender la
arquitectura de las características de alto nivel del ataque y el tipo de atacante al que nos enfrentamos (el
qué), mientras que el componente estratégico se ocupa de comprender la motivación detrás del ataque (el
por qué).
Aunque este marco se desarrolló pensando en los ataques patrocinados por el Estado, podría utilizarse
para atribuir otros tipos de actividad maliciosa. Por ejemplo, para atribuir un ataque de odio en línea
orquestado por el tablero Politically Incorrect de 4chan, [ 735] se podrían rastrear los mensajes de o dio
que llegan a la víctima (cómo), observar la información personal de la víctima en el tablero (qué) y
analizar la discusión sobre la víctima para entender la motivación detrás del ataque (por qué).
CONCLUSIÓN
En este documento, presentamos una visión general de los comportamientos adversos
que existen en Internet en el momento de redactar este documento. Hemos estudiado
varios tipos de operaciones maliciosas, en función de las motivaciones y las capacidades
del atacante, y hemos analizado los componentes necesarios para poner en marcha
operaciones maliciosas con éxito. Por último, describimos una serie de técnicas de
modelización procedentes de diversos campos (informática, criminología, estudios
bélicos) que pueden ayudar a los investigado res y pro fusiónales a modelizar mejor estas operaciones.
SeccionesCitas
1 Una caracterización de los adversarios
Delitos que dependen del ciberespacio y del ciberespacio [711]
Infractores interpersonales [712,736,739,741,742]
Delincuencia organizada por medios informáticos [713,714,751]
Delincuentes organizados dependientes del ciberespacio [15,16,17,715,716,783,78
4]
Hacktivistas [717,726,791]
Actores estatales [718,719,798,801]
2 Los elementos de una operación
maliciosa Programas de afiliados [764,804]
Vectores de infección [723,805]
Infraestructura [706,806,818]
Servicios especializados [807,808]
Servicios humanos [775,822,823,827]
Métodos de pago [763,809,810]
3 modelos para entender los árboles de ataque de
las operaciones maliciosas [79]
Criminología ambiental [832,833,834]
Modelización de la economía sumergida como flujo [722]
de
capital
Atribución de ataques [835]