Capituli 7

Suscríbete a DeepL Pro para poder editar este documento.
Entra en www.DeepL.com/pro para más información.
Capítulo 7
Comportamiento adverso
Gianluca StringhiniUniversidad de Boston
223
El conjunto de conocimientos de
ciberseguridad
www.cybok.org
INTRODUCCIÓN
Los avances tecnológicos de los que ha sido testigo nuestra sociedad en las últimas
décadas han traído consigo mejoras en nuestra calidad de vida, pero también han creado
una serie de oportunidades para que los atacantes causen daño. Antes de la revolución de
Internet, la mayor parte de los delitos y actividades maliciosas requerían generalmente que
una víctima y un agresor entraran en contacto físico, y esto limitaba el alcance q ue tenían
los malintencionados. La tecnolo gía ha eliminado la necesi dad de co ntacto físico para llevar a
cabo muchos ti pos de delitos, y aho ra los atacantes pueden llegar a las vícti mas en cualquier
parte del mundo, siempre que estén conectados a Internet. Esto ha revolucionado las
características del crimen y la guerra, permitiendo operaciones que antes no habrían sido
posibles.
En este documento, proporcionamos una visión general de las operaciones maliciosas que
se producen en la actualidad en Internet. En pri mer lugar, ofrecemos una taxo no mí a de las
activi dades maliciosas basada en las motivaciones y capacidades del atacante, y luego
pasamos a los elementos tecnológicos y humanos que los adversarios necesitan para
llevar a cabo una operación con éxito. A continuación, analizamos una serie de marcos de
trabajo que se han pro puesto para mo del ar las operaciones maliciosas. Dado que los
co mpo rtami entos de los adversarios no son un tema puramente técnico, nos basamos en la
investigación en varios campos (informática, criminología, estudios bélicos). Al mismo
tiempo, discutimos cómo estos marcos pueden ser utilizados po r los investigado res y los
pro fesionales para desarrollar mi tigacio nes eficaces contra las operaciones maliciosas en
línea.
7.1 UNA CARACTERIZACIÓN DE LOS ADVERSARIOS

[711][712][ 713,714][17,715,716][717][ 718,719]
En esta sección, presentamos una caracterización de los adversarios que realizan acciones
maliciosas. Esta caracterización se basa en su motivación (por ejemplo, financiera, política,
etc.). Aunque existen caracterizaciones y taxonomías alternativas (por ejemplo, desde el
campo de la psicología [720]), creemos que la que presentamos aquí es la que mejor
ilustra las capacidades de los atacantes conocidos y las herramientas necesarias para
montar una operación maliciosa con éxito, como una empresa de malware financiero. Esta
caracteri zación también sigue la evolución que ha seguido la ciberdelincuenci a en las últimas
décadas, pasando de ser una operación ad hoc llevada a cabo por un único delincuente a
un ecosistema mercantilizado en el que varios actores especializados operan juntos de forma
organizada [721,722]. La caracterización que se presenta en esta sección se basa en
estudios de casos y en ejemplos destacados recogidos en la literatura de investigación, y
como tal no pretende ser completa. Por ejemplo, no nos centramos en los delincuentes
accidentales (por ejemplo, las amenazas internas inadvertidas), ni en las operaciones
delictivas para las que se carece de literatura académica rigurosa (por ejemplo, los
atentados contra instituciones financieras o los ataques a la cadena de suministro). Sin
embargo, creemos que el conjunto de delitos y actividades maliciosas presentado es lo
suficientemente amplio como para dibujar una imagen representativa de los
comportamientos adversos que se están produciendo en la naturaleza en el momento de
escribir este artículo. Comenzamos definiendo dos tipos de ciberdelitos tal y como han
sido definidos en la literatura, los ciberdelitos habilitados y los ciberdependientes, y
continuamos presentando diferentes tipos de actividades maliciosas que han sido cubiertas
por los investigadores.
KA Adversarial Behaviour | octubre de Página

2019 224
ciberseguridad
www.cybok.org
Delitos que dependen del ciberespacio y del ciberespacio

Uno de los principales efectos que ha tenido Internet en la actividad maliciosa ha sido el
de aumentar el alcance de los delitos existentes, en cuanto a la facilidad para llegar a las
víctimas, eliminando efectivamente la necesidad de proximidad física entre la víctima y el
delincuente. En la literatura, estos delitos se denominan a menudo ciberhabilitados [711].
Según Clough [111], los delincuentes tienen cinco incentivo s pri ncipales para trasladar sus
operaciones a Internet: 1.Utilizando Internet, es más fácil enco ntrar y co ntactar co n las
víctimas. Las listas de correo electrónico se venden en
mercado s terrestres [723], mientras q ue las redes sociales en línea tienen
funcio nalidades de búsq ueda incrustadas, lo que permite a los delincuentes identificar
fácilmente a las víctimas potenciales [724,725].
2. Al utilizar Internet, las operaciones delictivas pueden ser más baratas. El envío de
correos electrónicos es gratuito, mientras que antes los estafadores tenían que
pagar los gastos de envío para llegar a sus víctimas. Esto también permite a los
delincuentes aumentar la escala de sus operaciones a tamaños que antes eran
impensables.
3. En comparación con sus homólogos físicos, Internet permite que los delitos se
realicen con mayor rapidez. Por ejemplo, los correos electrónicos pueden llegar a las
víctimas en cuestión de segundos, sin tener que esperar a que se entreguen las cartas
físicas.
4. Gracias a Internet, es más fácil operar a través de las fronteras internacionales,
llegando a víctimas situadas en otros países. En este contexto, a menudo la única
limitación es el idioma, ya que los delincuentes sólo se dirigen a las víctimas que
hablan un idioma con el que están familiarizados (por ejemplo, personas de países
de habla inglesa) [726].
5. Al operar a través de Internet, es más difícil que los delincuentes sean atrapados. Esto
se debe principalmente al carácter transnacional de la ciberdelincuencia y al hecho
de que el problema de armonizar las leyes correspondientes de los distintos países
está lejos de resolverse [727]. Además, las investigaciones muestran que la
delincuencia en línea no suele denunciarse, tanto porque las víctimas no saben a
quién denunciar (dado que el delincuente puede estar situado en otro país), como por
el hecho de que creen que es poco probable que les devuelvan el dinero [728].
Por otro lado, los delitos ciberdependientes son aquellos que sólo pueden cometerse con
el uso de ordenadores o dispositivos tecnológicos [711]. Aunque el objetivo final de este
tipo de delitos tiene a menudo paralelos en el mundo físico (po r ejemplo, exto rsió n, ro bo de
identidad, fraude fi nanciero ), la In- ternet y la tecnologí a generalmente permi ten a los
delincuentes dar una nueva fo rma a estos delitos, co nvirtiéndolos en esfuerzos o rgani zados a
gran escala capaces de llegar a cientos de miles, si no millones, de víctimas.
En el resto de esta sección analizamos en detalle una serie de esquemas de delincuenci a
habilitados y dependientes de la cibernética.

2019 225
ciberseguridad
www.cybok.org
Infractores interpersonales
La primera categoría que vamos a analizar es la de los delitos interpersonales. Estos
delitos incluyen la violencia y el acoso selectivos, dirigidos tanto a personas cercanas (por
ejemplo, miembros de la familia) como a extraños. Aunque estos delitos siempre han
existido, Internet ha hecho que el alcance de los acosadores y delincuentes sea mucho
mayor, eliminando de hecho la necesidad de contacto físico para que se cometa el delito.
Como tal, estos delitos entran en la categoría de los ciberdelitos. En el resto de esta
sección, ofrecemos una visión general de estos comportamientos adversos.
Ciberacoso. Willard [ 712] define el ciberacoso co mo "el envío o la publicación de material
perj udicial o la participación en o tras fo rmas de agresió n social utilizando Internet u o tras
tecnologías di gitales". Aunque no siempre es ilegal1 , el ciberacoso suele ocupar una zona
gris entre lo que se considera un acto dañino y un delito penal [729]. Esta práctica se ha
converti do en un grave pro blema para los jóvenes, que a menudo so n blanco de sus
co mpañero s no sólo en la vida real, sino también en las plataformas en línea [730]. Aunque la
práctica del acoso no es nada nuevo, Internet ha cambiado significativamente la dinámica
de estas prácticas de acoso. Lo que solía ser una práctica dañina limitada al horario
escolar ahora puede perpetrarse en cualquier momento, exponiendo efectivamente a las
víctimas a un acoso ininterrumpido [731].
Un aspecto que diferencia el ciberacoso del acoso físico tradicional es que las perso nas en
línea pueden ser anóni mas, y no tienen su no mbre o su cara uni dos a la actividad abusi va que
están llevando a cabo [732,733]. Los investigadores descubrieron que la interacción con
las personas en línea crea un efecto de desinhibición por el que se acentúan los rasgos
personales (es decir, las personas negativas se vuelven más malas y las positivas más
agradables) [734]. Este efecto de desinhibición puede hacer que al gunas perso nas sean más
pro pensas a realizar acti vidades abusi vas de lo que harían en el mundo o ffline [ 733]. Otro
aspecto que co ntri buye a la desinhibició n es el hecho de que el contenido en línea que se
distribuye en ciertas plataformas (por ejemplo, snapchat, 4chan) es efímero, en el se ntido
de que se borra después de un cierto período de tiempo [735]. De este modo, los
acosadores sienten que sus acciones no tienen consecuencias negativas, ya que no habrá
pruebas fehacientes de ello en el futuro.
Doxing. Otro tipo de acoso en línea es la práctica del doxing, un ataque en el que la
info rmación privada de la vícti ma se hace pública en línea [ 736]. Esta o peració n suele fo rmar
parte de una campaña de acoso más amplia, en la que la divulgación de información
sensible se utiliza como forma de avergonzar a la víctima o de facilitar un mayor acoso,
incluso en el mundo físico (por ejemplo, divulgando información en el lugar de trabajo o la
dirección del domicilio de la víctima).
La práctica del doxing se ha hecho cada vez más popular en los últimos años como forma
de polarizar el debate en línea y silenciar a las personas. Un ejemplo destacado es la
contro versia del #GamerGate, en la que se atacó a menudo a mujeres activistas y se
publicó su info rmación perso nal en línea [737]. El doxing ha sido un vehículo principal para
los ataques de odio coordinados por comunidades online polarizadas como el tablero
Politically Incorrect de 4chan (/pol/) [735]. Como parte de esto s ataq ues, los usuarios
anó ni mos publican info rmación so bre sus o bjetivo s en línea (po r ejemplo, páginas de medios
sociales, números de teléfo no, direccio nes físicas), y luego invitan a o tras perso nas a llevar a
cabo ataques vagamente coordinados (llamados redadas) contra esas personas. Estos
ataques suelen consistir en discursos de odio y otro tipo de lenguaje abusivo.
Aunq ue es una práctica destacada en el ámbi to del aco so en línea, el do xi ng tambi én es
utilizado po r otro s delincuentes. Por ejemplo, es una de las técnicas empl eadas po r grupo s de
2019 226
ciberseguridad
www.cybok.org
hacktivistas co mo Ano ny- mo us para po ner so bre aviso a sus o bjeti vos. A co ntinuació n,
hablaremos de las otras técnicas utilizadas por los hacktivistas,
1 Aunque no existe unadefinición de ciberacoso en la legislación británica, algunas formas del mismo
pueden ser perseguidas en virtud de la Ley de Protección contra el Acoso de 1997.

2019 227
ciberseguridad
www.cybok.org
junto con sus motivaciones, más adelante en esta sección.

Ciberacoso. Otra actividad perjudicial facilitada por Internet es el acoso. El ciberacoso es la
práctica de utilizar medios electrónicos para acosar a otra persona [738,739]. A grandes
rasgos, podemos identificar dos tipos de ciberacosado res: los que utilizan la información que
encuentran en Internet para ayudarles a acosar a su víctima en la vida real (por ejemplo,
monitorizando las redes sociales para conocer su paradero ), y los que utilizan los medios que
ofrecen los servicios en línea para acosar a su víctima puramente en línea. Además, los
acosadores que operan en línea se dividen en los que actúan de forma puramente pasiva, sin
ninguna interacción con la víctima, y los que realizan interacciones, por ejemplo, enviando
sus mensajes en una plataforma de red social [740]. Para contrarrestar el ciberacoso,
recientemente se han introducido leyes en muchos países, como la Ley de Protección de las
Libertades de 2012 en el Reino Unido y la Ley de Violencia contra las Mujeres de 2000 en
Estados Unidos.
La sextorsión. Un delito emergente que ha cobrado relevancia es la sextorsión, en la que un
delincuente atrae a las víctimas para que realicen actos sexuales delante de una cámara
(por ejemplo, una cámara web en una sala de chat), graba esos actos y posteriormente
pide un pago monetario para no divulgar las imágenes [741]. La sextorsión se está
convirtiendo en una amenaza tan importante que las agencias de prevenció n de la delincuencia,
como la Agencia contra la Delincuencia Nacional (NCA) en el Reino Unido, están lanzando
campañas de concienciación específicas contra ella. 2
Depredación de menores. Otro delito facilitado por Internet es la depredación de menores
[742]. Los servicios en línea son un terreno fértil para q ue los delincuentes encuentren
víctimas, ya sea en chats, redes sociales en línea o plataformas de juegos en línea. A
continuación, el delincuente prepara a sus víctimas para que realicen abusos físicos o en
línea [742]. En comparación con el delito correspondiente fuera de línea, la depredación
sexual en línea presenta dos diferencias principales: en primer lugar, la víctima y el agresor
casi nunca se conocen en la vida real. En segundo lugar, la demografía de las víctimas está
más sesgada hacia los adolescentes que hacia los niños pequeños, porque la edad en la
que los niños empiezan a conectarse a Internet es ligeramente superior [743]. Los
delincuentes utilizan una serie de tácticas, como hacerse pasar por personas jóvenes y
niños para preparar a sus víctimas [744] y las investigaciones han demostrado la
vulnerabilidad potencial de los niños de todas las edades a este tipo de engaño de
identidad en línea [745].
Otros delincuentes no interactúan directamente con los niños, pero descargan y
comparten pornografía infantil en Internet. En estos casos, los agreso res co nocen a menudo a
sus vícti mas y di funden material de abuso infantil a estos "usuarios" de dicho material. Esto se
ha visto facilitado por las platafo rmas de intercambio entre pares [ 746,747], así co mo po r
tecnologías de ano ni mización co mo To r [748]. También se han estudiado los retos que
plantea la identi ficación de los creado res de nuevo materi al de abuso infantil (y las tácticas
engañosas utilizadas por los delincuentes, po r ejemplo, el vo cabul ario especi alizado de los
nombres de los archivos para frustrar las investigaciones) en estas redes entre iguales [747].
Criminales organizados con ayuda del ciberespacio

En esta secció n, nos centramo s en los delitos ci bernéticos llevado s a cabo po r delincuentes
pro fesionales. E n particular, ofrecemos dos ejemplos destacados de delitos cibernéticos
que han recibido una gran atención por parte de la comunidad investigadora: el fraude por
adelantado y el tráfico de drogas. Estos delitos no suelen ser llevados a cabo por un solo
delincuente, sino por múltiples delincuentes que actúan juntos en peq ueñas organizacio nes

2019 228
ciberseguridad
www.cybok.org
[749] o en verdaderas organi zacio nes cri minales estructuradas [ 750]. Reconocemos que
existen otros delitos que han visto incrementado su alcance gracias a la tecnología. Sin
embargo, estos delitos aún no han sido estudiados en profundidad por la comunidad
investigadora y, por tanto, hemos decidido centrarnos en el que la comunidad
investigadora conoce mejor.
2 http://www.nationalcrimeagency.gov.uk/crime-threats/kidnap-and-extortion/sextortion

2019 229
ciberseguridad
www.cybok.org
Fraude con honorarios anticipados. En este tipo de estafa, se promete a la víctima una
recompensa (económica o de otro tipo), pero para obtenerla tiene que pagar primero una
pequeña cantidad al estafador. Una vez efectuado el pago , la vícti ma no suele vol ver a tener
no ticias del estafador, mientras que a veces la relación se prolo nga durante largos perio dos de
tiempo y la víctima es estafada repetidamente con grandes sumas de dinero [751].
El ejemplo arquetípico de fraude con comisiones por adelantado son las llamadas estafas
419 [713]. Estas estafas, que llevan el no mbre de la secció n del Có digo Penal nigeriano que
trata sobre el fraude, se hiciero n po pul ares en la década de 1980, cuando las vícti mas reci bían
cartas físicas de un supuesto príncipe ni geriano q ue pretendía transferir grandes canti dades de
dinero fuera del país. Para iniciar el proceso, se exige a la víctima que transfiera una pequeña
cantidad de dinero al estafador (por ejemplo, para cubrir los gastos legales). Como puede
imaginarse, Internet permitió que este tipo de fraude floreciera, al permitir a los
delincuentes llegar instantáneamente a un gran número de víctimas potenciales.
Otro ejemplo de fraude por adelantado es el fraude al consumidor perpetrado en sitios web
de anuncios clasificados como Craigslist [752]. Como parte de este fraude, las víctimas
responden a un anuncio clasificado de un artículo deseable (por ejemplo, un coche usado
o una propiedad de alquiler) que tiene condiciones mucho mejores (como un precio más
bajo) que otros anuncios similares. El estafador responde que necesitará un pequeño pago
por adelantado para entregar la mercancía. Tras recibirlo, la víctima no volverá a saber
nada del estafador.
Un último ejemplo de fraude de tarifa avanzada es el fraude romántico en línea. Este tipo
de fraude, que tiene lugar en sitios de citas en línea, suele consistir en que los delincuentes
se hacen pasar por personas atractivas que buscan iniciar una relació n co n la víctima. A
diferencia de la estafa 419, estas relaciones en línea suelen durar meses antes de que el
estafador exija dinero, por ejemplo, para ayudar a su familia o para abrir un negocio [ 749].
Para entonces, es probable que la víctima, que probablemente esté involucrada
emocionalmente con la persona suplantada por el delincuente, acceda. Investigaciones
anteriores informaron de que las víctimas de este delito pueden perder entre 50 y 240.000
libras esterlinas [751]. Sin embargo, a diferencia de otros tipos de fraudes por adelantado,
el daño psicológico de la pérdida de la relación ficticia puede ser mucho mayor que el
financiero.
Un elemento común a todos los tipos de fraudes por adelantado es la necesidad de que
los delincuentes construyan una narrativa atractiva que induzca a las víctimas a pagar la
cuota fraudulenta. Para ello, los delincuentes suelen dirigirse a grupos demográficos
específicos y hacerse pasar por personas concretas. Por ejemplo, investigaciones
anteriores demostraron que los estafadores románticos suelen hacerse pasar por
miembros del ejército destinados en el extranjero [753]. De este modo, los estafadores
pueden construir una narrativa creíble sobre el motivo por el que no pueden reunirse con la
víctima en persona, y pueden crear una conexión emocional con la vícti ma, lo que
aumentará las po sibilidades de q ue cai ga en la estafa. A menudo, los estafadores se hacen
pasar por hombres viudos de mediana edad que se dirigen a mujeres viudas del mismo
grupo demográfico, en un intento de establecer una conexión emo cional con su vícti ma [ 749].
En otro s casos, los estafadores emplean trucos psicológicos para ganarse a sus ví ctimas,
como la presión del tiempo o el comentario de que han elegido específicamente a la
víctima por sus elevadas características morales [713].
De forma más cínica, Herley argumenta que los estafado res están incentivado s para co nstrui r
las narrativas más absurdas posi bles, para asegurarse de q ue sólo responderán aq uellos que
sean lo suficientemente crédulos co mo para creerlos, y que estas personas serán las más

2019 230
ciberseguridad
www.cybok.org
propensas a caer en la estafa [754]. Su argumento es que responder al primer mensaje

repetitivo es caro para el estafador, mientras que enviar la primera copia a todas las
víctimas que desee es gratis. Por esta razón, les interesa descartar lo antes posible a
quienes no son susceptibles de caer en la estafa.
Tráfico de drogas. Otra categoría de delitos para la que Internet ha ofrecido oportunidades

2019 231
ciberseguridad
www.cybok.org
es el tráfico de drogas. Gracias a tecnologías de anonimización como Tor [755] y las

criptomonedas [756], han surgido mercados en línea en los que los consumidores de
drogas pueden comprar sustancias ilícitas y recibirlas directamente en su casa. Las
investigaciones han demostrado que este negocio está prosperando, a pesar de la
inestabilidad de estos mercados, que a menudo son desmantelados por las fuerzas del
orden [714,757]. Los mercados de drogas en línea suponen un interesante cambio de
paradigma para los consumidores de drogas, ya que eliminan la necesidad de que el
comprador interactúe con los delincuentes en un entorno físico y potencialmente inseguro.
Sin embargo, trabajos recientes han demostrado que la aparición del mercado de drogas en
línea no ha cambiado el ecosistema del tráfico de drogas en todo el mundo: los grandes actores
que producen y distribuyen las drogas permanecen en general sin cambios, mientras que
lo que ha cambiado es la "última milla" de la entrega (es decir, la forma en que los
traficantes locales y los consumidores de drogas se ponen en contacto y hacen negocios)
[750].
Criminales organizados dependientes del ciberespacio

En esta sección, describimos los delitos que tienen un objetivo financiero y que se llevan a
cabo utilizando infraestructuras técnicas complejas (por ejemplo, botnets [758]). A diferencia
de los delitos cibernéticos descritos en la sección anterior, en los que el delincuente reproduce
una operación delictiva física y utiliza Internet para aumentar su alcance, en el caso de los
delitos ciberdependientes los delincuentes tienen que crear complejas infraestructuras
tecnológicas para lograr sus objetivos. La complejidad de estas operaciones ha dado lugar a
una comparti mentació n en el ecosistema delictivo, en el que cada actor malicioso se
especializa en una parte específica de una operación cibercriminal (por ejemplo, infectar
ordenado res con malware o realizar el blanqueo de dinero) y trabaja conj untamente para lograr
un objetivo común. En esta sección, ofrecemos algunos ejemplos de delitos
ciberdependientes que han sido estudiados por la literatura de investigación en los últimos
años. A continuación, en la sección7.2, cubrimos en detalle los diversos elementos que los
delincuentes deben poner en marcha para que sus operaciones tengan éxito.
Spam por correo electrónico. El spam de correo electrónico ha sido una gran molestia
para los usuarios de Internet durante las últimas dos décadas, pero también ha estado a la
cabeza de operaciones criminales muy exitosas, que han logrado monetizar la venta de
productos falsificados y farmacéuticos llegando a miles de millones de clientes po tenciales
a través de mensajes maliciosos [759]. El spam po r co rreo electró nico se define co mo correo
electrónico masivo no solicitado; esta definición pone de manifiesto los dos elementos
principales del problema: el hecho de que los mensajes que reciben las víctimas no son
solicitados (es decir, no se pidieron en primer lugar), y que se envían en masa para llegar
al mayor número posible de víctimas.
Aunque el primer correo electrónico no deseado se registró en 1978 [760], el spam por
correo electrónico cobró importancia en la década de 1990, cuando los delincuentes crearo n
pequeñas o peracio nes, no muy diferentes de las de fraude por adelant ado descritas en la
sección anterior [761]. El objetivo de estas operaciones era vender productos en línea, que
podían abarcar desde suplementos dietéticos hasta recuerdos nazis [761]. En esta fase,
contando con su propia experiencia y con la ayuda de un pequeño número de asociados,
los delincuentes llevaban a cabo to das las acti vidades necesarias para mo ntar una o peració n
de spam co n éxito: (i) reco pilar las direcciones de co rreo electrónico a las q ue enviar los
mensajes maliciosos, (ii) crear la tienda de co rreo electró nico, (iii) enviar los co rreo s
electrónicos de spam de forma masiva, (iv) procesar los pedidos de las perso nas q ue querían
comprar los artículos anunciados, (v) reaccionar ante las redadas de las fuerzas del orden

2019 232
ciberseguridad
www.cybok.org
(por ejemplo, la incautación de un servidor de correo electrónico). Aunque todavía eran

rudimentarias en comparación con las operaciones de spam que se produjeron durante la
década siguiente, estas actividades delictivas impulsaron el desarrollo de una legislació n
para regul ar los correos electrónico s masi vos no solicitados, co mo la Directiva so bre
privaci dad y comunicaciones electró nicas de la UE3 , el Reglamento sobre privacidad y
comunicaciones electrónicas del
3 https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32002L0058

2019 233
ciberseguridad
www.cybok.org
Reino Unido4 y la Ley CAN-SPAM en Estados Unidos. 5 Estas leyes ayudaron a perseguir a
algunos de los primeros spammers. En 2004, America Online (AOL) ganó un juicio contra Davis
Wolfgang Hawke, que vendía aparatos nazis a través de correos electrónicos basura. Hawke
fue condenado a pagar una multa de 12,8 millones de dólares.
Los avances técnicos de principios de la década de 2000, y en particular el desarrollo de
botnets, redes de ordenadores comprometidos controlados por el mismo ciberdelincuente
[758], dieron oportunidades sin precedentes a los delincuentes que hoy quieren dedicarse al
spam por correo electrónico. El spam por correo electrónico ya no es una operación
unipersonal, sino que se apoya en prósperos ecosistemas delictivos. Los emisores de spam
pueden alquilar botnets a delincuentes especializados en infectar ordenadores con
malware [723], comprar listas de direcciones de correo electrónico objetivo a actores
especializados [762] e inscribirse en un programa de afiliados [763,764], que proporcionará
al emisor de spam una forma de publicidad, además de encargarse de los envíos y los
pagos.
La carrera armamentística relacionada con la mitigación del spam se lleva a cabo desde
los años 90, y se han pro puesto numerosas mi tigacio nes [765]. En la actualidad, las técnicas
antispam garanti zan que la inmensa mayoría de los correos maliciosos nunca lleguen a los
buzones de sus víctimas. Para solucionar este problema, los delincuentes tienen q ue enviar
decenas de miles de millones de co rreo s electró nicos [ 723] para que sus o peracio nes sigan
siendo rentables. Otro problema es que, de las víctimas a las que llegan los correos
electrónicos de spam, sólo una pequeña parte comprará los productos anunciados y
obtendrá beneficios para los delincuentes. Los investigadores llevaron a cabo un estudio
de caso para la red de bots Storm [17], que demostró que de los 469 millones de correos
electrónicos de spam enviados por la red de bots, sólo el 0,01% llega a sus objetivos. De
ellos, sólo el 0,005% de los usuarios hace clic en los enlaces co ntenido s en los co rreo s
electrónicos, mientras q ue un número aún meno r termi na comprando artículos: sólo 28
usuarios en total de los 469 millones alcanzados, o el 0,0004% del total. A pesar de este
fuerte descenso, McCoy et al. demostraron que los programas de afiliación de spam más
populares fueron capaces de obtener hasta 85 millones de dól ares de ingresos en un perio do
de tres años [ 763]. Tambi én demostraro n que la clave de este éxito son los clientes que
regresan. De hecho, los correos electrónicos de spam sólo tienen que llegar a un cliente
interesado una vez, y esta persona puede seguir comprando en el sitio sin tener que
preocuparse por los filtros de spam.
Phishing. Un tipo particular de spam es el phishing, en el que los delincuentes envían
correos electrónicos que simulan ser de servicios genuino s (po r ejemplo, banca en línea,
sitios web de redes sociales) [715]. Estos co rreos electró nicos suelen atraer a los usuarios
para que entreguen sus nombres de usuario y contraseñas a estos servicios
presentándoles un correo electrónico creíble en el que se les pide que visiten el sitio web
(por ejemplo, para recuperar su último estado de cuenta). Al hacer clic en el enlace del
correo electrónico, los usuarios son dirigidos a un sitio web que muestra páginas de inicio
de sesión falsas pero realistas. Una vez que han introducido sus credenciales, los
delincuentes acceden a ellas y podrán posteriormente iniciar sesión en esos servicios en
nombre de los usuarios, pudiendo ganar dinero directamente o vendiendo las credenciales en
el mercado negro.
Para el delincuente, un componente clave del éxito de las páginas de phishing es la
creación de páginas web que se parezcan lo más posible a las originales. Para facilitar
esta tarea, los ciberdelincuentes especializados desarrollan y venden los llamados kits de
phishing [766], pro gramas que pueden instalarse en un servidor y que producirán una página
web de aspecto adecuado para muchos servicios populares. Estos kits también suelen

2019 234
ciberseguridad
www.cybok.org
ofrecer funcio nalidades q ue facilitan al delincuente la reco gi da y el segui miento de las

credenciales ro badas [ 766]. Otro elemento q ue necesi tan los delincuentes para alojar estas
páginas son los servidores bajo su control. Al igual que ocurre con el spam, los
delincuentes, los investigadores y los profesionales están invol ucrados en una carrera
armamentística para identificar y po ner en la lista negra las pági nas web de phishing [ 767], po r
lo que no tiene senti do eco nó mico q ue los delincuentes instalen sus pro pios servi do res. En su
lugar, los delincuentes suelen alojar estas páginas web en servidores comprometidos, por
los que no tienen que pagar [768].
4 wikipediaorg/wiki/Privacy_and_Electronic_Communications_(EC_Directive)_Regulations_2003
5https://en.wikipedia.org/wiki/CAN-SPAM_Act_of_2003

2019 235
ciberseguridad
www.cybok.org
Tras ro bar un gran número de credenciales, los delincuentes pueden explo tar estas cuentas
ellos mismos o vender los nombres de usuario y las contraseñas en el mercado negro.
Investigaciones anteriores han demostrado que, a menudo, esto s delincuentes entran en las
cuentas y dedican tiempo a evaluar su valor, por ejemplo, buscando información financiera
en las cuentas de correo web[726,769].
Malware financiero. Otra operación delictiva muy popular es el malware financiero. En este
caso, los delincuentes pretenden instalar malware en los ordenadores de sus víctimas y
robar credenciales financieras como números de tarjetas de crédito y nombres de usuario
y contraseñas de la banca online. Esta tendencia se inició con el malware Zeus, que los
delincuentes podían adquirir en el mercado negro y utilizarlo para mo ntar sus o peraciones
[770]. Una vez instalado en el ordenado r de la vícti ma, Zeus esperaba a que el usuario visitara
un sitio web de una lista preconfigurada de sitios interesantes que el delincuente podía
especificar. A continuació n, registraba los nombres de usuario y las contraseñas a medi da que
el usuario los escri bía, y los enviaba al servidor de mando y control configurado por el
delincuente.
Un bo tnet más so fisticado para el ro bo de info rmació n fue To rpi g [716]. A diferencia de Zeus,
Torpi g utilizaba un mo delo de botnet co mo servicio, en el q ue un único delincuente
especializado se encargaba de alojar la infraestructura de la botnet, mientras que otros
delincuentes podían realizar sus campañas para infectar los ordenadores de las víctimas,
pagar una cuota por utilizar la infraestructura de Torpig y recuperar posteriormente las
credenciales robadas. Los investigadores demostraron que, en 2009, la botnet Torpig fue
capaz de robar 8.310 credenciales únicas de cuentas bancarias y 1.660 números únicos de
tarjetas de crédito en un periodo de diez días. [716].
Para rentabilizar sus operaciones, los ciberdelincuentes pueden vender la info rmación
financiera ro bada en fo ro s clandestinos dedicados a ello [771]. El precio q ue los delincuentes
pueden pedir po r estas credenciales varía en función del tipo de registros que hayan podido
robar. Por ejemplo, en el mercado clandestino hay dos tipos de registros de tarjetas de
crédito que se comercializan: los dumpz, que contienen la información q ue permi te a un
delincuente clonar una tarjeta de crédi to (es decir, el número de tarjeta, la fecha de caducidad y
el código de seguridad), y los fullz, que también contienen la dirección de facturación
asociada a la tarjeta. Los fullz valen más dinero en el mercado negro, po rq ue permiten a los
delincuentes comprar artículos en línea.
Un tipo de delito relacionado que se está haciendo más popular es el skimming de tarjetas
[772]. En este delito cibernético, los delincuentes instalan dispositivos en las máquinas
ATM que recogen detalles de las tarjetas
insertados en las máquinas por usuarios involuntarios. El delincuente puede entonces
recoger los dispositivos para recuperar las credenciales financieras robadas. Aunque este
tipo de delito es grave, también es un buen ejemplo de l as limi taciones de los delitos físico s
en co mparació n con sus ho mólogo s en línea: la necesidad de una acción física por parte del
delincuente limita la escala de la operación, mientras que las operaciones de malware
financiero pueden afectar a un número mucho mayo r de vícti mas. Por ejemplo, el malware
Torpig se instaló en más de 100.000 ordenadores [716].
Hay que tener en cuenta que el malware no siempre es necesario para realizar un fraude
financiero. En algunos casos, las amenazas internas dentro de las organizaciones financieras
podrían actuar maliciosamente y defraudar tanto a sus instituciones como a sus clientes
[773,774]. En otros casos, la información financiera, como los números de las tarjetas de
crédito, podría ser robada explotando una vulnerabilidad en un sistema online (por ejemplo,
volcando la base de datos de una tienda online) [775]. En otros casos, las credenciales

2019 236
ciberseguridad
www.cybok.org
SWIFT robadas de los bancos pueden utilizarse para realizar grandes transferencias de
dinero fraudulentas [776].
Fraude por clic. Los anuncios web son la principal forma de monetizar la web. Un
administrador de la web puede decidir alojar anuncios en su sitio web y, cuando los
visitantes los ven o hacen clic en ellos, reci be una peq ueña co misió n de un anunciante. P ara
mediar en esta interacció n, han surgido servicios especializados co no cido s co mo "ad
exchanges". Debido a su fácil mo neti zación, los anuncios en la web son propicios para el
fraude. En particular, los delincuentes pueden alojar anuncios en sus propios sitios web y
generar clics "falsos" (por ejemplo, utilizando bots). El resultado es un anuncio

2019 237
ciberseguridad
www.cybok.org
intercambio pagando a los delincuentes po r i mpresio nes publicitarias q ue no eran "auténticas",

lo que acababa por defraudar al anunciante.
Una vez más, los delincuentes se ven envueltos en una carrera armamentística con los ad
exchanges, interesados en que el fraude en sus servicios sea mínimo. Para ayudar a los
delincuentes a generar un gran número de clics y pasar desapercibidos, accedi endo desde un
gran número de di recciones IP, han surgido los llamados botnets de fraude de clics. Un
ejemplo es Zeroaccess [16], que estuvo activo en 2013. En una máquina infectada, este
malware actuaba como un usuario normal, navegando por sitios web y haciendo clic en los
anuncios que su propietario elegía. Los investigadores demostraron que esta red de bots
era respo nsable de pérdidas para la i ndustria publicitaria de apro xi madamente 100.000 dól ares
al día [16].
Minería de criptomonedas no autorizada. Con la creciente popularidad de las
criptomonedas, se ha abierto una nueva o portunidad para los delincuentes: utilizar
ordenado res infectado s para minar la mo neda. En 2014, Huang et al. revelaron esta amenaza,
mostrando que las redes de bots se utilizaban para minar Bitcoin [15]. A la vez que
revelaban esta nueva monetización del malware, los autores también concluían que estas
operaciones no parecían ganar mucho dinero, sumando como mucho 900 dólares al día.
Sin embargo, un estudio más reciente ha demo strado que el minado de cri pto mo nedas
mediante bo tnets po dría ser mucho más rentable de lo que se pensaba. Pastrana y Suárez-
Tangil demo straro n que minando Monero y utilizando una serie de técnicas para aumentar sus
posi bilidades de minar la mo neda (po r ejemplo, utilizando pools de mi nería) los delincuentes
podían ganar hasta 18 millones de dólares en un periodo de dos años. [ 777].
Otra tendencia emergente en la ci berdelincuencia consiste en apro vechar los navegado res web
para mi nar cripto mo nedas. En lugar de instalar malware en los ordenadores de las víctimas
y utilizarlos para la minería, los delincuentes añaden scripts a las páginas web y hacen que
sus visitantes minen criptomonedas. Este tipo de actividad maliciosa se deno mi na
cryptojacking. Aunq ue el uso de estos scripts no es necesariamente ilegal (es decir, los
admi nistrado res web pueden instalarlos legíti mamente en sus páginas web de fo rma si milar a
los anuncios), los delincuentes han sido sorprendidos añadiéndolos a sitios web
comprometidos en múltiples ocasiones. Konoth et al. demostraron que una campaña
maliciosa puede ganar 31.000 libras esterlinas en una semana [ 778], mientras q ue Rüth et al.
[779] demo straro n q ue el 1,18% de los bloques mi nado s en la blockchain de Mo nero pueden
atribuirse a Coinhive, la biblioteca de criptojacking más popular.
Ransomware. La tendencia más reciente en materia de malware es el ransomware. Como
parte de esta operación, los delincuentes infectan los sistemas de sus víctimas con un
malware que cifra los archivos personales del usuario (por ejemplo, documentos) y envía
la clave de cifrado al delincuente, que luego pide un rescate a cambio de volver a dar al
usuario acceso a sus datos [780]. La idea de un software malicioso que utiliza la
cri pto grafía de clave pública para mantener los dato s de la vícti ma co mo rehenes no es nueva,
y ya fue ideada por Yung en 1996 [781]. Sin embargo, en 20 años, los avances tecnológicos
en la entrega del malware han hecho posi ble llegar a un gran número de vícti mas, y la
intro ducción de méto dos de pago anó ni mo s co mo Bitcoi n ha hecho más seguro para los
delincuentes el cobro de estos pagos.
El ranso mware es, en el mo mento de escribir estas líneas, el estándar de oro para los
ciberdelincuentes. Este tipo de operación de malware ha resuelto los problemas de
monetización que eran tan importantes en otros tipos de esquemas cibercriminales: el
criminal no tiene que convencer a la víctima de que compre un bien, como en el caso del
spam por correo electrónico, o que caiga en un fraude, como en el caso del phishing.

2019 238
ciberseguridad
www.cybok.org
Además, la víctima está muy incentivada para pagar el rescate, porque la probabilidad de
que los delincuentes hayan cifrado archivos que el usuario necesitará (y de los que no
tiene copia de seguridad) es alta. De hecho, una investigación reciente pudo rastrear 16
millones de dólares en pagos en la blockchain de Bitcoin que pueden atribuirse a
campañas de ransomware [782].
Aunq ue las campañas de ranso mware más so fisticadas implican el cifrado de los archivos de
la víctima, Kharraz et al. demostraron que no es raro que los autores de malware utilicen
otras técnicas

2019 239
ciberseguridad
www.cybok.org
para bloquear a la víctima de su ordenador [783]. Estas técnicas incluyen la configuración

de un cargado r de arranq ue pro tegi do por contraseña y no dar la co ntraseña al usuario a menos
que pague. Aunque es probable que estas técnicas produzcan un beneficio para el
delincuente, también son más fáciles de mitigar, ya que los archivos de la vícti ma están a
salvo en el ordenador y una si mple li mpieza del malware (y la restauración del registro de
arranque maestro original) puede solucionar el problema.
Negación de servicio. Una característica que tienen todos los dispositivos conectados a
Internet es la conectividad a la red. Un delincuente puede aprovechar el ancho de banda de un
dispositivo infectado para realizar un ataque de denegación de servicio distribuido (DDoS)
contra un objetivo. Los delincuentes pueden simplemente utilizar el ancho de banda generado
por la red de bots, o aprovechar los ataques de amplificación (es decir, el tráfico de red
generado por dispositivos de red mal configurados, o dispositivos con mala configuración
por defecto) para aumentar la potencia de sus ataquesDDoS [685].
Los delincuentes pueden entonces crear servicios en los que ofrecenDDoS de alquiler.
Estos servicios son atractivos, por ejemplo, para los actores sin escrúpulos que quieren
que sus competidores comerciales se queden fuera de línea o para los jugadores en línea
que quieren sacar a sus oponentes de Internet para ganar la partida [784]. Para ocultar la
naturaleza ilícita de su negocio, estos servicios a menudo se anuncian como "probado res de
estrés", servicios que un administrado r de la web puede utilizar para probar cómo funcionan
sus aplicaciones web bajo estrés [784]. En realidad, sin embargo, estos servicios no
comprueban si el cliente que compra un ataque DDoS es realmente la misma persona que
posee el dominio de destino.
Hacktivistas
Aunq ue los delincuentes co n áni mo de lucro son una gran amenaza, no to do s los adversarios
se mueven por dinero. En particular, defini mo s el acto de delincuenci a informática mo tivado po r
un o bjeti vo político co mo hacktivismo [ 717]. Estos delitos pueden adoptar diversas formas,
desde ataques de denegación de servicio [717] hasta comprometer sistemas informáticos
con el objetivo de divulgar información sensible al público [785]. Existe un debate en curso
entre los académicos sobre si las acciones de los hacktivistas entran dentro del activismo
político (por ejemplo, desobediencia civil) o del ciberterrorismo [786]. Holt et al. estudiaron
los ciberataques llevados a cabo por grupo s de extrema izq uierda en EE.UU. y descu briero n
que habí a un aumento de los ataq ues en línea durante los periodos en los que se observaba
una disminución de la violencia física por parte de esos mismos grupos [787].
Negación de servicio. La práctica del hacktivismo comenzó en los años 90 con los
netstrikes [788]. Como parte de esta práctica, los usuarios de Internet se conectaban para
atacar simultáneamente a los sitios web para ago tar sus recurso s y hacer que no
respo ndieran. Esto se hací a a menudo para pro testar co ntra las acciones y políticas de las
agencias gubernamentales y las corporaciones. Veinte años después, con la mayo r
sofisticación que ofrece la tecnolo gía, grupos de hacktivistas co mo Ano nymous [ 789] tomaron
la idea de los netstrikes y la hicieron más grande. Este colectivo se hizo po pular por lanzar
ataques de denegación de servicio contra organizaciones culpables de realizar acciones
que no coincidían con su postura moral, como gobiernos vinculados a la represión de la
Primavera Árabe, empresas de tarjetas de crédito que no hacían do naciones a entidades
como Wikileaks u organizaciones religiosas radicales.
Para llevar a cabo sus ataques, Anonymous pedía a sus simpatizantes que instalaran un
programa informático, llamado Low Orbit Ion Cannon (LOIC), que actuaría como un bot en una
red de bots: su controlador utilizaría el ancho de banda del ordenado r para llevar a cabo un

2019 240
ciberseguridad
www.cybok.org
ataque de denegació n de servicio contra un objetivo elegido. La diferencia con las redes de
bots tradicionales (y las que se utilizan para llevar a cabo ataques de DDoS
en particular) es que el usuario acepta formar parte de ella al instalar el programaLOIC , y
que por ello sufre la acción de las fuerzas del orden.
Fugas de datos. Otra tendencia que venimos observando en los últimos años en el ámbito
de los hack-

2019 241
ciberseguridad
www.cybok.org
El activismo es la divulgació n de documentos ro bado s al do mi nio público, po r ejemplo, para

concienciar sobre los programas de vigilancia secretos de los gobiernos [790]. Un ejemplo
destacado de organización que realiza estas filtracio ne s de datos es Wikileaks [785].
Anonymous también ha utilizado técnicas si milares (por ejemplo, sobre la identidad de
1.000 miembros del Ku Klux Klan).
Desactivación de la web. La última tendencia típica de los actores con motivaciones
políticas es la desfiguración web [791]. Co mo parte de esta acti vidad, los delincuentes
apro vechan las vulnerabilidades (q ue van desde contraseñas débiles hasta vulnerabilidades
de software) en los sitios web de las organizaciones con las que no están de acuerdo, y las
utilizan para cambiar la página de inicio del sitio web por una de co nteni do político. Un ejemplo
de una organización que utiliza de forma destacada la desfiguración de sitios web para
difundir su mensaje es el Ejército Electrónico Sirio [792], un grupo de hackers cercano al
régimen de Assad. Aunque es popular entre los delincuentes con una agenda política, la
desfiguración de páginas web no es sólo su prerrogativa. De hecho, Maimon et al.
demostraron que esta es una forma popular de demostrar su valía para los
ciberdelincuentes que empiezan su carrera [793].
Actores estatales
Otro tipo de actor malicioso involucrado en comportamientos adversos en línea son los
estados nacionales. En los último s años, hemos o bservado una escalada en el uso de ataq ues
info rmáticos por parte de acto res estatales para lograr sus o bjetivo s. A grandes rasgo s, este
tipo de ataq ues se diferencia de los realizados por ciberdelincuentes con motivación
económica por dos razones:
1. La ciberdelincuencia necesita reunir el mayor número posible de víctimas para maximizar
sus beneficios. Por ejemplo, los delincuentes que crean una red de bots para robar
información financiera de sus víctimas querrán alcanzar el mayor número posible de
víctimas para mejorar sus ingresos. Esto significa que los ataques del
ciberdelincuente tienen que ser genéricos o lo suficientemente versificados como
para cubrir una gran población de dispositivos (por ejemplo, mediante el uso de kits
de explotación, como se explica en la sección 7.2). En un ataque patrocinado por el
Estado, en cambio, no hay necesidad de ganar dinero, y normalmente la víctima está
bien definida (por ejemplo, una organización específica o una persona de interés). En
este caso, el ataque se puede adaptar a la víctima; esto aumenta las posibilidades de
éxito, debido al tiempo que se puede dedicar a diseñar el ataque y al hecho de que el
ataque será único (por ejemplo, utilizando un ataque de día cero [ 794]), y será poco
probable que el software de protección existente lo detecte.
2. Debido a la necesidad de ganar dinero, los ciberdelincuentes tradicionales necesitan que
sus ataques sean rápidos. Este no es el caso de los ataques patrocinados por el
Estado, en los que la recompensa por conseguir su objetivo (por ejemplo, robar
información sensible de un gobierno) hace que sea aceptable esperar largos periodos
de tiempo antes de finalizar el ataque.
Los ataques patrocinados por el Estado se dividen en tres categorías, dependiendo del
propósito del ataque: sabotaje, espionaje y desinformación. A continuación describimos
con más detalle estos tres tipos de ataques.
Sabotaje. Las infraestructuras críticas modernas pueden ser perturbadas por medios
electrónicos. Las investigaciones han demostrado que no es raro que instalaciones
críticas como las centrales eléctricas tengan algún tipo de conectivi dad de red entre los

2019 242
ciberseguridad
www.cybok.org
ordenado res q ue controlan la maq uinaria y los q ue están conectados a Internet [ 795]. En el
caso de un adversario estatal, ni siquiera co ntar con dispositivos de seguri dad de red para
proteger la frontera entre las dos redes es suficiente, ya que, como hemos dicho, los
ataques pueden ser tan sofisticados y adaptados que las soluciones estándar no los
detectan [718]. Una vez que un trozo de malware consigue entrar en la red de control,
puede hacer que la maq uinaria funcione mal y potencial mente destruirla. Incluso cuando hay
una separación física

2019 243
ciberseguridad
www.cybok.org
entre la red de control y la Internet más amplia, los ataques siguen siendo posibles cuando
nos enfrentamos a adversarios con recursos prácticamente ilimitados [718].
Un ejemplo destacado es el gusano Stuxnet [718.796], un sofisticado ataque realizado
contra la instalación de enriquecimiento nuclear de Nathanz, en Irán, en 2010.
Supuestamente, el malware se introdujo en la instalación infectando primero el portátil de
uno de los consultores que se encargaba del mantenimiento de la maquinaria. Una vez que
el malware se encontraba en el entorno adecuado, identificaba las piezas del equipo par a
las que estaba diseñado y saboteaba los experimentos de enriquecimiento , haciendo que
las centrifugadoras giraran sin control. Hasta la fecha, Stuxnet es un ejemplo de libro de los
extremo s a los que pueden llegar los atacantes patrocinados por el Estado para lograr sus
objetivos, y de la sofisticación que pueden alcanzar sus ataques.
El sabo taje no siempre está vinculado a acto res estatales. Alguno s incidentes impo rtantes han
sido causados por empleados descontentos de las empresas que actuaron como
amenazas internas, como en el caso de Maroochy Water Services [797]. En este incidente,
un empleado con información privilegiada, cuyo empleo no había sido confirmado, decidió
vengarse de la empresa derramando aguas residuales, lo que provocó importantes daños
medioambientales [797].
Espionaje. Otro objetivo de los actores patrocinados por el Estado para sus ataques es el
espionaje de los activistas y adversarios destacados. La investigación ha demostrado que
los actores estatales hacen un uso destacado del spearphishing (es decir, el phishing
dirigido) para atraer a activistas y empresas para que instalen malware que luego se utiliza
para espiarlos [726,798]. En otros casos, los actores estatales infectan los sistemas
sensibles (por ejemplo, los servidores de las grandes empresas), con el objetivo de robar
información sensible [799]. La industria de la seguridad ha bautizado estos sofisticados
ataques de larga duración como Amenazas Persistentes Avanzadas.
Desinformación. En los últimos dos años han surgido pruebas de que actores
patrocinados por el Estado han participado en la difusión de desinformación en las redes
sociales [719,800,801,802]. Este
se ha hecho a través de cuentas de trolls que han actuado para polarizar el debate en línea
sobre temas delicados [803]. Aunque redes soci ales co mo Twitter han puesto a disposició n
del público datos so bre cuentas rel acionadas co n la desi nformació n patroci nada po r el Estado
[719,800], aún faltan pruebas riguro sas so bre có mo se llevan a cabo estas o peraciones en el
backend. Por ejemplo, no está claro hasta q ué punto las cuentas implicadas en la
desinformación están controladas por operadores humanos y no por bots.
7.2 LOS ELEMENTOS DE UNA OPERACIÓN MALICIOSA

[804][805][806][807,808][722][809,810]
Como mostramos en la sección7.1, las operaciones maliciosas pueden utilizar
infraestructuras bastante complejas, especial mente en el caso de la delincuencia organi zada,
que está moti vada principal mente po r dos hechos. En pri mer lugar, el delincuente necesi ta que
estas o peracio nes sean lo más rentables posi ble (y, en co nsecuencia, o btener el mayor
beneficio posible). En segundo lugar, múltiples actores (fuerzas del orden, empresas de
seguridad, los propios usuarios) intentan constantemente acabar con estas operaciones
maliciosas, por lo que el delincuente tiene la necesidad de hacerlas resistentes a estos
intentos de desmantelamiento.
Para garantizar la satisfacción de las necesidades de los delincuentes en este escenario,

2019 244
ciberseguridad
www.cybok.org
en los últimos años se ha observado una especialización en el ecosistema de la

ciberdelincuencia, en el que diferentes actores se especializan en un elemento especí fico
necesario para el éxito de la operació n; los delincuentes comercian entonces con estos
servicios en el mercado negro. En esta sección, ofrecemos una visión general de los
elemento s necesarios para q ue una o peració n de delincuenci a organizada dependiente del
ciberespacio tenga éxito, tal y como se describe

2019 245
ciberseguridad
www.cybok.org
en la sección7.1. Sin embargo, muchos de los elementos discutidos también se aplican a

los otros tipos de comportamientos adversos descritos en esa sección.
Programas de afiliación
El principal objetivo de la delincuencia organizada es ganar dinero con sus operaciones.
Esto requiere no sólo una infraestructura técnica bien engrasada para asegurarse de que sus
bo tnets funcionen co rrectamente, sino, lo que es quizás más importante, un método de
trabajo para recaudar los pagos de las víctimas (o de los patrocinadores, en el caso del
DoS), al tiempo que se asegura de que todos los actores implicados en la operación
cobren.
En el mundo de la ciberdelincuenci a, esto se hace no rmal mente a través de programas de
afiliación. Un programa de afiliados es un esquema en el que la organización principal
proporciona una "marca" y todos los medios necesarios para realizar pedido s, envíos y
pagos. Los afiliados pueden unirse al pro grama, diri gir el tráfico a la plataforma y obtener una
parte de las ventas de las que son responsables. Aunque este esquema existe para las
empresas legítimas (por ejemplo, Amazon tiene un programa de afiliados), ha tenido un
éxito especial para las operaciones de los ciberdelincuentes. La principal diferencia entre
los programas de afiliación legítimos y los delictivos es que la segunda categoría de
operaciones suele tratar co n pro ductos q ue se consideran ilegales en la mayo ría de las
jurisdiccio nes (po r ejemplo, pro ducto s farmacéuticos falsificados, juegos de azar, pro ducto s de
diseño falsificados) y suelen respal dar técnicas de pro moció n delictivas (por ejemplo, el uso
de malware o la optimización de motores de búsqueda de sombrero negro).
Los programas de afiliación son populares en el mundo de la ciberdelincuencia porque
permiten que los afiliados no tengan que montar sus operaciones de principio a fin, sino que
se centran en atraer tráfico, por ejemplo, creando redes de bots y enviando spam por
correo electrónico para anunciar el mercado de afiliados. Los primeros ejemplos exitosos
de programas de afiliación para la ciberdelincuencia se centraron en el spam por correo
electrónico, y anunciaban producto s farmacéutico s falsificados [759,763,764]. Sin embargo, los
programas de afiliación están presentes en la mayoría de los tipos de ciberdelincuencia,
como por ejemplo la operación de ransomware Cryptowall. 6
Además de proporcionar la monetización necesaria para las operaciones de los
ciberdelincuentes, los programas de afiliación también actúan como facilitadores para que
los delincuentes se pongan en contacto e intercambien los servicios necesarios para qu e
la operación tenga éxito. Esto se suele hacer mediante la creación de un foro en el que los
afiliados pueden comerciar con sus servicios [723,763]. El acceso a estos foros suele
requerir el examen de los administradores de los programas de afiliación.
Vectores de infección
Como ya se ha comentado, el primer paso que necesitan los delincuentes para llevar a
cabo una actividad maliciosa es infectar a sus víctimas con malware. Para ello, los
delincuentes tienen que exponer primero a sus víctimas potenciales al contenido
malicioso, y luego hacer que lo instalen en sus máquinas (medi ante engaño o explotando
una vulnerabilidad de so ftware en su sistema). A co ntinuación, analizamos tres métodos
populares para hacer llegar el malware a los ordenadores de las víctimas. Hay que tener en
cuenta que, aunque son posibles otros vectores de infección, como el acceso físico a una
red o el pirateo de una red inalámbrica, hasta la fecha no tenemo s co nstancia de ningún
co mpro miso a gran escal a que implique estos vectores de infección, por lo que no nos

2019 246
ciberseguridad
www.cybok.org
centramos en ellos.
Adjuntos maliciosos. Posiblemente el método más antiguo de distribución de malware es
adjuntar software malicioso a los correos electrónicos de spam, disfrazándolo de
contenido útil que el usuario podría querer abrir. Esta técnica de propagación fue
popularizada por los gusanos de correo electrónico a principios de la década de 2000,
como
6 https://www.secureworks.com/research/cryptowall-ransomware

2019 247
ciberseguridad
www.cybok.org
co mo el gusano "I love yo u" [ 811], pero si gue siendo una forma po pular de hacer llegar el
malware a las vícti mas [723]. En la economía mercantilizada descrita anteriormente, es
frecuente que un delincuente que quiere pro pagar una i nfección de malware pague a o tro
delincuente q ue ya tiene el co ntrol de una red de bots para entregar las cargas útiles [ 716]. Para
tener éxito, el conteni do utilizado para este vecto r de infección debe convencer al usuario para
que haga clic en el archivo adjunto y lo instale. Para ello, los delincuentes suelen utilizar
técnicas de engaño para hacer que el contenido parezca interesante y atractivo, de forma
similar a las técnicas comentadas para el phishing [ 715]. Este engaño entra en el ámbito
de la ingeniería social [812].
Optimización de sombrero negro para motores de búsqueda. La optimización para
motores de búsqueda (SEO) es una práctica popular por la que los webmasters optimizan sus
contenidos para que sean mejor indexados por los motores de búsqueda y aparezcan entre l os
primeros resultados de las búsquedas relevantes. A los ciberdelincuentes también les interesa
que sus páginas web maliciosas aparezcan en los primeros puestos de los resultados de
búsqueda, ya que así aumentan las posibilidades de que las víctimas potenciales las
encuentren y hagan clic en ellas. Para ello, los delincuentes especializados ofrecen
servicios de black hatSEO. Como resultado de estos servicios, los sitios web maliciosos son
empujados hacia arriba en los rankings de los motores de búsqueda para palabras clave
que no están relacionadas con el sitio web [813]. Esto ocurre con especial frecuencia en las
proximidades de eventos populares (por ejemplo, eventos deportivos y políticos), ya que es
más probable que la gente busque palabras clave relaci onadas con el evento. Para lograr un
black hatSEO eficaz, los ciberdelincuentes comprometen sitios web vulnerables y los
utilizan para promocionar las páginas web de sus clientes (por ejemplo, añadiendo enlaces
invisibles y texto que apunta a la página web objetivo).
Ataques drive-by download. Aunque engañar a los usuarios para que instalen el malware
funciona, tener un método automatizado que no requiera la interacción humana es más
ventajoso para los ciberdelincuentes. Para ello, los ciberdelincuentes han perfeccionado los
llamados ataques drive-by download [805]. Como parte de uno de estos ataques, la víctima
visita una página web bajo el control del criminal (por ejemplo, encontrada a través de
black hatSEO). La página web contiene código JavaScri pt malicioso que intentará explotar
una vulnerabilidad en el navegado r web del usuario o en uno de sus plugins. Si tiene éxito, el
navegador web recibirá instrucciones para descargar e instalar automáticamente el
malware.
Para alojar sus scripts maliciosos, los ciberdelincuentes suelen comprometer sitios web
legítimos [814]. Una tendencia alternativa es la de comprar espacio publicitario en la web y
servir el cono malicioso como parte del anuncio, en una práctica conocida como
malvertisement [815].
Compromiso de los dispositivos conectados a Internet. A medida que más dispositivos se
conectan a la red (por ejemplo, los dispositivos de la Internet de las Cosas (IoT)), una
oportunidad adicional que se ofrece a los atacantes es la de escanear Internet en busca de
dispositi vos q ue presenten vulnerabilidades co noci das y explotarlas para co nstruir grandes
redes de bots. Un ejemplo destacado de esto fue la red de bots Mirai [682].
Infraestructura
Otro elemento importante que los delincuentes necesitan para que sus operaci ones
tengan éxito es dónde alojar su infraestructura. Esto es importante tanto para los
programas de afiliación (por ejemplo, dónde alojar los sitios web de compras fraudulentas)
como para las operaciones de las redes de bots. Las fuerzas del orden y los proveedores

2019 248
ciberseguridad
www.cybok.org
de servicios de Internet (ISP) vigilan continuamente los servidores en busca de indicios de

actividad maliciosa [806], y los retiran si se puede confirmar esta actividad, lo que pondría
en peligro la operación delictiva.
Proveedores de servicios de alojamiento a prueba de balas. Para maximizar las
posibilidades de que sus operaciones sean duraderas, los ciberdelincuentes recurren a los
llamados pro veedo res de servicios de alojamiento a prueba de balas [759, 816]. Se sabe q ue
estos pro veedo res no cumpl en co n las solicitudes de retirada de datos de las fuerzas de
seguridad.

2019 249
ciberseguridad
www.cybok.org
Esto es posible gracias a que están ubicados en países con una legislación poco estricta
en materia de ciberdelincuencia o a que los operadores de los proveedores de servicios
sobornan activamente a las fuerzas del orden locales [759]. Los proveedores de servicios
de alojamiento a prueba de balas suelen cobrar a sus clientes más dinero del que cobraría
un proveedor de servicios de Internet normal. Por ello, se co nvierten en un foco de
actividad ilícita, ya que los usuarios malintencionados se congregan allí debido a sus
garantías, pero los usuarios legítimos no tienen ningún incentivo para utilizarlos. A pesar
de ofrecer mayores garantías a los ciberdelincuentes, los proveedores de servicios de
alojamiento a prueba de balas no son invencibles a los esfuerzos de desmantelamiento. En
particular, los proveedores de servicios de Internet necesitan estar conectados entre sí
para poder enrutar el tráfico, y un proveedor de servicios de Internet que aloje
exclusivamente contenido malicioso podría ser
desconectado por los otros proveedo res sin muchas consecuencias para el tráfico legítimo de
Internet [759].
Infraestructura de mando y control. Una red de bots requiere una infraestructura de mando y control
(C&C) a la que los ordenadores infectados puedan ser instruidos para conectarse, recibir
órdenes e informar sobre el pro greso de la o peració n maliciosa. En un principio, las redes de
bo ts utilizaban un único servi do r de mando y co ntrol, aunq ue éste suponí a un único punto de
fallo. Incluso supo niendo que el servi do r estuviera alojado en un pro veedo r de alojamiento a
prueba de balas, y q ue po r lo tanto no pudiera ser derribado, el hecho de que el servidor tuviera
una dirección IP única significaba que podía ser fácilmente incluido en la lista negra de las
empresas de seguridad.
Para mitigar este problema, los ciberdelincuentes idearon infraestructuras de C&C que son
redundantes y más difíciles de derribar. Un ejemplo es la infraestructura de botnet de
varios niveles, en la que los bots reciben instrucciones para conectarse a un servidor de
C&C intermedio, que se encarga de transmitir la informació n hacia y desde un servidor de
control central [817]. Esta infraestructura hace que la red de bots sea más resistente, ya que
incluso si algunos de los relés se caen, el C&C central sigue funcionando y se pueden añadir
relés adicionales. Además, los ordenadores infectados nunca ven la dirección IP del
servidor central de C&C, lo que hace más difícil localizar y
de la red. Una variante de este modelo son las redes de bots peer-to-peer, en las que
ordenadores infectados con una conectividad especialmente buena y direcciones IP
públicas son "elegidos" para actuar como relés [818]. Esta infraestructura aumenta la
flexibilidad que tiene el delincuente y reduce el coste de la operación, ya que el delincuente
no tiene que gastar dinero para instalar repetidores. Sin embargo, la infraestructura de la
red de bots se vuelve vulnerable a la infiltración, ya que los investigadores pueden crear
bots falsos, ser elegidos como relés y, de este modo, ser capaces repentinamente de
monitorizar y modificar el tráfico procedente del C&C central [17].
Otras técnicas utilizadas por los ciberdelincuentes para hacer que su infraestructura de
control sea más resistente son Fast Flux [706], en la que los delincuentes utilizan varios
servidores asociados a la estructura de C&C y los rotan rápidamente para dificultar los
desmantelamientos, y Domain Flux [819], en la que el nombre de dominio asociado al
servidor de C&C también se rota rápidamente. Ambos métodos son efectivos para hacer la
operación más resistente, pero también hacen que la operación sea más cara para el
criminal (es decir, tienen que comprar más servidores y nombres de dominio).

2019 250
ciberseguridad
www.cybok.org
Servicios especializados
En esta secció n, descri bi mos los servicios especializados q ue ayudan a los delincuentes a
establecer sus operaciones. Además de estos servicios maliciosos dedicados, otros que
tienen un uso legítimo (por ejemplo, las VPN, Tor) también son utilizados de forma
indebida por los delincuentes, por ejemplo el alojamiento de sitios web del mercado de la
droga en la Dark Net [757,820].
Kits de explotación. En la sección anterior, vimos que los ataques drive-by download son
un arma poderosa que un ciberdelincuente puede utilizar para infectar ordenadores con
malware sin ninguna interacción humana. Sin embargo, el problema de realizar estos
ataques de forma efectiva es que requieren un exploit para una vulnerabilidad de software
en el sistema de la víctima. Dado que los ciberdelincuentes quieren infectar al mayor
número posible de víctimas, es difícil encontrar un exploit que pueda funcionar en los
sistemas de la mayoría de las víctimas potenciales. Además de este problema, los exploits
no envejecen bien, ya que los proveedores de software parchean rutinariamente las
vulnerabilidades que conocen. Por lo tanto, un ciberdelincuente que realice una operación
sostenida de drive-by download necesitaría recopilar continuamente exploits para
múltiples vulnerabilidades, una tarea que es inviable, especialmente cuando el delincuente
también tiene que gestionar otras partes del negocio (por ejemplo, la parte de
monetización). Una vez que la víctima visita la página web del kit de explotación, esta
herramienta primero toma las huellas dactilares del sistema de la víctima, buscando una
posi ble vul nerabilidad que explotar. A continuació n, entrega el exploit a la vícti ma. Si tiene
éxito, el ordenador de la víctima recibe instrucciones para descargar el malware que elija el
cliente.
Esto s pro blemas han creado una o po rtuni dad para que los delincuentes especi alizado s presten
servicios al resto de la comunidad. Esto ha llevado a la creación de kits de explotación
[807], que son herramientas que recopilan un gran número de vulnerabilidades y se venden
en el mercado negro para que las utilicen otros delincuentes. Un kit de explotación suele
ser accesible como una aplicación web. Los clientes pueden dirigir a sus víctimas hacia él
comprometiendo sitios web o utilizando anuncios maliciosos.
Servicios de pago por instalación. Infectar los ordenadores de las víctimas y mantener
una red de bots es una tarea compleja, y las investigaciones han demostrado que los
operadores de malware que intentan hacerlo sin la experiencia adecuada tienen
dificultades para obtener beneficios [821]. Para resolver este problema y satisfacer la
demanda de redes de bots estables, ha surgido un nuevo servicio delictivo denominado
servicios de pago por instalación (PPI) [808]. Los operado res de PPI son expertos en configurar
una red de bots y hacerla funcionar correctamente. Otros delincuentes pueden entonces pagar
al operador PPI para que instale el malware en los ordenadores infectados en su nombre. Los
servicios PPI suelen ofrecer un buen nivel de granularidad de elección a sus clientes, que
no sólo eligen cuántas infecciones quieren instalar, sino también su ubicación geográfica (los
bots en los países desarrollados cuestan más que las infecciones en los países en
desarrollo [808]).
Una de las ventajas de utilizar losPPIservicios es que hacen que las operaciones de los
ciberdelincuentes sean más resistentes: si su malware deja de funcionar, por ejemplo,
porque las fuerzas de seguridad han derribado los servidores de C&C que utiliza, el
delincuente puede reanudar sus operaciones pidiendo al operador delPPI que instale una
versión actualizada de su malware en las máquinas de las víctimas. Por esta razón, esta
simbiosis de malware entrePPIservicios y otras redes de bots es muy común en
el ecosistema criminal (véase, por ejemplo, la simbiosis entre Pushdo y Cutwail [723], y

2019 251
ciberseguridad
www.cybok.org
entre Mebroot y Torpig [716]).

2019 252
ciberseguridad
www.cybok.org
Servicios humanos
En esta sección, discutiremos los servicios auxiliares que son necesarios para que una
operación cibercriminal de extremo a extremo tenga éxi to. Aunque no se suele pensar q ue
estos elementos fo rmen parte de la ciberdelincuencia, son tan importantes para el éxito de
una operación cibercriminal como los elementos más técnicos.
Servicios de resolución de CAPTCHA. En algunos casos, los ciberdelincuentes necesitan
crear cuentas en los servicios en línea para iniciar sus operaciones (por ejemplo, una
operación de spam en las redes sociales [724,725]). Sin embargo, para protegerse de la
creación automática de cuentas a gran escala, los servicios en línea utilizan ampliamente
losCAPTCHA, que son notoriamente difíciles de resolver para los programas automati zados.
Para resolver este problema al que se enfrentan los ciberdelincuentes, se han creado nuevos
servicios de resolución deCAPTCHAs [822]. Estos servicios se aprovechan de los trabajado res
del crowdsourci ng. Una vez que el cliente deCAPTCHAsolving encuentra unCAPTCHA , éste
es reenviado por el ser-
vicio a uno de estos trabajado res, que lo resolverá. De este modo, el cliente puede proc eder y
crear la cuenta en el servicio online.
En otros casos, los servicios en línea requieren que quien haya creado una cuenta en línea
reciba un código enviado por mensaje de texto a un número de teléfono y emita ese
código de vuelta al servicio. Para superar este problema, los ciberdelincuentes pueden
utilizar servicios que automatizan este tipo de interacción [722].
Cuentas falsas. Dado que la creación de cuentas falsas lleva mucho tiempo y requiere el uso de
servicios auxiliarescomo CAPTCHAsolvers, los ciberdelincuentes han empezado a especializarse en
la creación de cuentas falsas en múltiples servicios en línea y a venderlas en el mercado negro
[823]. Las cuentas en los distintos servicios pueden tener precios diferentes, dependiendo
de la facilidad para crear nuevas cuentas en la plataforma y de la agresividad con la que el
servicio suspende las cuentas sospechosas de ser falsas.
Un problema de las cuentas falsas recién adquiridas es que no tienen una "reputación"
establecida en la red social, lo que reduce su credibilidad ante las víctimas potenciales y
su alcance a la hora de difundir mensajes maliciosos. Esto se puede mitigar utilizando
servicios de "aumento de la reputación", que ayudan a crear una red de contactos para
cuentas que de otro modo no tendrían. Ejemplos de ello son los servicios que ofrecen likes
falsos en Facebook [824] y que atraen a cuentas comprometidas para que sigan a los
clientes del servicio en Twitter [825].
Generación de contenidos. En algunos casos, los ciberdelincuentes necesitan crear
contenidos falsos para enviarlos a sus víctimas, ya sea para correos electrónicos de spam,
sitios web falsos utilizados para el black hatSEO o sitios de redes sociales en línea. Para
generar este contenido, los delincuentes pueden reclutar trabajadores en foros
clandestinos [826].
Mulas de dinero. El objetivo principal de muchas operaciones de los ciberdelincuentes es
obtener dinero de sus víctimas. Sin embargo, extraer dinero de una operación no es fácil.
En el caso de los fraudes bancarios, por ejemplo, aunque los delincuentes obtengan
acceso a la cuenta bancaria de la víctima, todavía tienen que transferir dinero a cuentas
bajo su control sin ser detectados y detenidos.
Para facilitar estas o peracio nes de monetizació n, los delincuentes se apro vechan de las mulas
de dinero [827]. Se trata de personas reclutadas por los delincuentes para realizar
operaciones de blanqueo de capitales y dificultar el segui miento del dinero o btenido en una
operación ilícita po r parte de las fuerzas del orden. En un esquema de mula de dinero, el
2019 253
ciberseguridad
www.cybok.org
delincuente recluta a una persona para que actúe como mula y le envía dinero utilizando
medios rastreables (por ejemplo, un cheque o una transferencia bancaria). A continuación,
se indica a la mula que transfiera el dinero a una cuenta bajo el control del delincuente
utilizando medios no rastreables (po r ejemplo, Western Union). También se le dice a la mula
que puede quedarse con un porcentaje de la cantidad como pago. Dado que estas
transacciones imposibles de rastrear deben realizarse en

2019 254
ciberseguridad
www.cybok.org
perso na po r la mula, consti tuyen un punto débil en la operació n de mo neti zació n, lo que
significa que las fuerzas del orden podrían identificar y detener a la mula antes de que se
transfiera el dinero. De hecho, aunq ue nunca se mencio ne el dinero ro bado, la mula está
participando en el blanqueo de dinero cuando acepta este trabajo.
Una forma alternativa de monetizar las operaciones maliciosas, que se utiliza en el caso de
las tarjetas de crédito robadas, es el reenvío de mulas [775]. En estas operaciones, las
agencias criminales reclutan a usuarios no sospechosos anunciando un trabajo de "agente
de envíos". A continuació n, otro s delincuentes pueden recl utar los servicios de estas agencias
y comprar artículos caros con tarjetas de crédito robadas (por ejemplo, productos
electrónicos, artículos de diseño ), enviándolos al do micilio de la mula. La mula reci be ento nces
instrucciones de abrir los paquetes y reenviar los artículos a una dirección extranjera,
donde se venderán en el mercado negro.
Métodos de pago
Como los delincuentes necesitan que se les transfiera dinero, pueden utilizar distintos
métodos de pago, cada uno de los cuales conlleva un nivel de riesgo diferente y resulta
más o menos familiar para las víctimas.
Procesadores de tarjetas de crédito. La mayoría de las transacciones en línea se realizan
con tarjetas de crédito. Para captar el mayor número posible de clientes, los
ciberdelincuentes tienden a aceptar también los pagos con tarjeta de crédito. McCo y et al.
demo straro n que el 95% de los pro gramas de afiliación de spam entre 2007 y 2012 aceptaban
pagos con tarjeta de crédito [763], y que los servicios de DDoS que no aceptaban tarjetas
de crédito sufrían en cuanto al número de clientes que podían atraer [784]. Los
procesado res de tarjetas de crédito llevan un registro de las devol uciones de cargo s que una
empresa tiene en sus cuentas, y demasiadas quejas de los clientes suelen dar lugar a la
cancelación de las cuentas de la empresa. Por esta razó n, muchas operaciones de
ciberdelincuentes o frec en "asistencia al cliente" a sus vícti mas, ofreciéndoles reembolsos si no
están satisfechas con sus compras [809].
Un reto al que se enfrentan los ciberdelincuentes es encontrar bancos que estén
dispuestos a procesar sus pagos. Normalmente, estos bancos les cobran unas
comisiones de transacción más elevadas (10-20%) para cubrir el riesgo de tratar co n
operaciones delictivas [763]. A pesar de estas mayo res co misiones, no está garanti zado que la
operación delicti va sea segura: de fo rma si milar a lo que ocurre con los ISPs a prueba de balas,
los bancos necesitan mantener buenas relaciones con sus pares, de lo contrario serán
desconectados de la red financiera [804].
Paypal. Otro método de pago que resulta familiar a los usuarios es Paypal. Por esta razón,
Paypal suele ser aceptado por los delincuentes que ofrecen servicios ilícitos. Aunque es
fácil de usar, los delincuentes se enfrentan al pro blema de que la platafo rma está
centralizada, y Paypal puede hacer un segui miento de los pago s fraudulentos y cancelar las
cuentas que incumplan las condiciones del servicio [813].
Western Union y otros pagos "imposibles de rastrear". Otras formas de pago ofrecen más
ano ni mato a los ci berdelincuentes y so n menos arriesgadas, además de no estar tan reguladas.
Ejemplos de ello son los intercambios de dinero (por ejemplo, Western Union, Money
Gram) o los vales de prepago (Money Park). Los delincuentes suelen utilizarlos para transferir
fo ndos [ 828]. Para co brar el dinero, estos servicios sólo requieren un código único y un
documento de identificación. Sin embargo, dependiendo del país en el que se encuentre el
delincuente, el requisito de identificación puede no ser muy riguroso.

2019 255
ciberseguridad
www.cybok.org
Histó ricamente han existido o tros méto dos de pago "anó ni mos" co mo Li berty Reserve, Web
Money y eGold [ 722]. Estas mo nedas virtuales permi tían a los delincuentes realizar pago s co n
facilidad, ya que se apro vechaban de las laxas regulaciones de su país de origen (po r ejemplo,
Liberty Reserve tenía su sede en Costa Rica). Después de que las fuerzas del orden to maran
medidas enérgicas contra estos métodos de pago,

2019 256
ciberseguridad
www.cybok.org
Irrumpir en el servidor
Explotar la Robar la contraseña

vulnerabilidad
Desarro Comprar Instalar Adivina Extorsión

llar Exploit Keylogger la del
Explot contraseñ propieta
ación a rio
Figura 7.1: Ejemplo de árbol de ataque que describe la acción de irrumpir en un servidor.
los delincuentes se trasladaron a otros métodos de pago.

Criptodivisas. En el momento de escribir este artículo, probablemente la forma de pago
más segura para los ciberdelincuentes son las criptomonedas. Estos pagos se han hecho
populares para múltiples tipos de operaciones cibercriminales, desde el ransomware [783]
hasta los pagos del mercado de la droga [714]. Aunque se ha demostrado que los clientes
son reacios a utilizar servicios que sólo aceptan criptomonedas [784], este tipo de pago
sigue funcionando cuando las víctimas no tienen elección (por ejemplo, en el caso del
ransomware) o están muy motivadas (por ejemplo, en el caso de los mercados de drogas).
Aunque es más anónimo que otros métodos de pago, las investigaciones han demostrado
que los pagos realizado s en Bitcoi n pueden ser rastreados [ 810]. Además, a menudo las
cri pto mo nedas deben ser co nvertidas en di nero real po r los delincuentes, y el dinero deja de se r
anó ni mo en ese mo mento. Otras preocupaciones surgen de los riesgos que conlleva realizar
pagos en los intercambios de criptodivisas. Moore et al. demostraron que no es
infrecuente que los intercambios de Bitcoin sufran brechas que resulten en pérdidas de
moneda [829]. Las estafas de salida, en las que un intercambio desaparece con toda la
monedaalmacenada en él, también son un problema [830].
7.3 MODELOS PARA ENTENDER LAS OPERACIONES

MALICIOSAS
[79][831][832,833,834][722][835]
Como se ha mostrado en las secciones anteriores, las operaciones maliciosas pueden ser
bastante complejas y conllevan múltiples elementos técnicos y múltiples actores. Por lo
tanto, es necesario que los defensores dispongan de los medios adecuados para
comprender estas operaciones, de modo que puedan desarrollar las mejores
contramedidas. A continuación, examinamos una serie de modelos que se han pro puesto
para mo delar las operaciones maliciosas. Estos mo delos proceden de diversos ámbi tos de
investigació n, como la seguridad informática, la criminología y los estudios bélicos. Hay
que tener en cuenta que, por razones de espacio, no po demos habl ar de to das las técnicas
que se han pro puesto en la literatura para mo del ar los ataq ues. Para una lista más completa,
remitimos al lector a [836].
Árboles de ataque

2019 257
ciberseguridad
www.cybok.org
La primera forma de modelar los ataques contra los sistemas informáticos son los árboles
de ataque [79]. Los árboles de ataque pro po rcio nan una fo rma fo rmalizada de visualizar la
seguridad de un sistema durante un ataque. En un árbol de ataq ue, el nodo raíz es el objetivo
del ataque, y sus nodos hijos son las formas en que un atacante puede lograr ese o bjetivo.
Al descender por el árbol, cada nodo se convierte en un subobjetivo necesario para el

2019 258
ciberseguridad
www.cybok.org
ataque para tener éxito, y sus hijos son posibles formas de lograrlo.
La figura 7.1 representa un ejemplo de árbol de ataque. En este ejemplo, los atacantes
pretenden comprometer un servidor. Para ello, tienen dos opciones: o bien explotan una
vulnerabilidad o bien obtienen la contraseña de la cuenta raíz y se conectan por medios
normales. Para explotar una vulnerabilidad, pueden desarrollar el exploit ellos mismos o
comprar uno ya existente, quizás a través de un kit de exploits. Si los atacantes deciden
utilizar la contraseña de la cuenta para entrar en el servidor, primero tienen que obtenerla.
Para ello, pueden instalar un malware en el ordenado r del administrado r del servidor para
registrar la contraseña a medida que la introducen (es decir, un keylogger), adivinar la
contraseña utilizando una lista de las más utilizadas o realizar un ataque de fuerza bruta, y
finalmente extorsionar al propietario. El gráfico de ataque podría refinarse aún más con las
posibles formas en que el atacante podría realizar estas acciones (por ejemplo, extorsionar
la contraseña chantajeando al propietario, secuestrándolo, etc.).
Los árboles de ataque permiten dos tipos de nodos, los nodos "o" y los nodos "y". Los
nodos "o" representan las diferentes fo rmas en que los atacantes pueden alcanzar un objetivo
(es decir, los hijos de cualq uier no do de la Fi gura 7.1). Los no dos "y", por su parte, representan
los diferentes pasos que deben completarse para alcanzar el objetivo. Una vez creado el
árbol, los analistas de seguridad pueden anotarlo para evaluar el riesgo del sistema ante el
ataq ue, po r ejemplo, marcando las distintas estrategias de ataq ue co mo factibles o inviables,
asignándoles puntuaciones de probabilidad o estimando el coste para un atacante de
realizar una determinada acción. A continuación, las puntuaciones pueden propagarse a lo
largo del árbol siguiendo reglas específicas [79] para evaluar la viabilidad y la probabilidad
global del ataque.
Otro modelo relacionado con los árboles de ataque son los gráficos de ataque [837].
Mientras que los árboles de ataque se limitan a objetivos únicos, los gráficos de ataque
permiten modelar actores, vectores, vulnerabilidades y activos de ataque. Otro modelo útil
para entender los ataques a la red son las redes de ataque [838].
Cadenas de matanza
Otra herramienta útil que puede utilizarse para modelar y comprender los ataques son las
cadenas de muerte. En el contexto militar, una kill chain es un modelo que identifica las
distintas fases que intervienen en un at- tack. 7 En el mundo de la informática, Hutchins et
al. desarrollaron una Cyber Kill Chain [831] que modela los diferentes pasos implicados en
una operación maliciosa realizada contra sistemas informáticos. En su modelo, Hutchins
et al. identifican siete fases. El modelo está diseñado para operaciones en las q ue el
atacante i dentifica, co mpro mete y posterio rmente explo ta un sistema info rmático y, por lo
tanto, no todas las fases se aplican a todos los comportamientos adversos discutidos en
este documento. Las siete fases son las siguientes:
1. Reconocimiento, cuando los atacantes identifican posibles objetivos. Esta fase
puede consistir en que un atacante escanee l a red en busca de servidores vulnerables o
que un spammer co mpre una lista de direcciones de correo electrónico de víctimas en
el mercado negro.
2. Armado, cuando un atacante prepara la carga útil del ataque para su uso. Esto podría
consistir en el desarrollo de un exploit de software contra una vulnerabilidad
recientemente identificada o en la elaboración de un correo electrónico de fraude por
adelantado.
3. Entrega, cuando el atacante transmite la carga útil a su víctima. Esto puede consistir

2019 259
ciberseguridad
www.cybok.org
en la creación de un servi do r web malicioso, la compra de espacio publicitario para

realizar un ataque de malversación o el envío de un correo electrónico con un archivo
adjunto malicioso.
7 https://en.wikipedia.org/wiki/Kill_chain

2019 260
ciberseguridad
www.cybok.org
4. Explotación, cuando se apro vecha la vulnerabilidad del objetivo. Esta fase puede co nsistir
en un ataque dri ve by download, o en que la víctima sea inducida a hacer clic en un
archivo adjunto malicioso mediante engaño.
5. Instalación, cuando el software malicioso se descarga, permi tiendo así al atacante
beneficiarse de la máq ui na de la vícti ma. E n su artículo, Hutchins et al. co nside raron un
atacante q ue quería mantener un acceso co nstante al ordenado r de la vícti ma, utilizando
un tipo de malware conocido como troyano de acceso remoto (RAT) [839].
6. Mando y control, cuando el atacante establece una infraestructura de C&C y un
protocolo de comunicación para controlar el ordenador infectado.
7. Acciones sobre los objetivos, cuando la infección se monetiza. Esto podría suponer
el robo de información sensible del ordenador de la víctima, el cifrado de los datos de
la víctima con ransomware, el minado de criptomonedas, etc.
Para cada uno de los siete pasos, Hutchins et al. identificaron estrategias para interrumpir
las operaciones maliciosas, siguiendo cinco posi bles o bjetivos (Detectar, Negar, Interrumpi r,
Degradar, Engañar). Algunos ejemplo s de estas técnicas son la aplicación de parches a las
vulnerabilidades, la instalación de sistemas de detección de intrusos en la red o el engaño
al atacante mediante la instalación de honeypots [840].
Otros investigado res han propuesto cadenas de muerte similares a lo largo de los años. Un
ejemplo es el propuesto por Gu et al. para model ar las infecciones de botnets [688]. En este
modelo, los autores identifican cinco fases en las que se separa una infección: un escaneo
de entrada (similar a la fase uno del modelo descrito anteriormente), una infección de
entrada (similar a la fase cuatro del modelo anterior), una descarga de "huevos" (análoga a
la fase cinco), una fase de C&C (igual que la fase seis) y un escaneo de salida. En el
momento de desarrollar este modelo, los botnets actuaban principalmente como gusanos
informáticos [841], buscando ordenadores vulnerables, infectándolos y utilizándolos para
seguir propagándose. Aunque este modelo describía correctamente las primeras redes de
bots, dejó de ajustarse a la realidad cuando los creadores de bots empezaron a utilizar
otros métodos para instalar su malware y monetizar sus infecciones. Hoy en día, los
gusanos están casi extinguidos, con la excepción del infame malware WannaCry [842]. Este
ejemplo demuestra que es difícil desarrollar modelos de comportamiento de los atacantes
que sean resistentes a los cambios en su modus operandi.
Criminología ambiental
Mientras que la ciberdelincuencia es una amenaza relativamente nueva, la delincuencia
física ha sido estudiada por los académicos durante décadas. Por lo tanto, es interesante
investigar si este cuerpo de conocimientos establecido puede aplicarse para comprender
mejor y mitigar la amenaza emergente de la delincuencia en línea. La criminología
ambiental, en particular, es una rama de la criminología que se centra en los patrones
delictivos en relación con el espacio donde se cometen y con las actividades de los actores
implicado s (vícti mas, auto res y tuto res) [832]. Un reto particular que surge cuando intentamos
aplicar la teoría de la criminología ambiental a la ciberdelincuencia es que el c oncepto de
"lugar" en Internet no está tan bien definido como en el mundo real. A continuación,
repasaremos brevemente los conceptos clave de la criminología ambiental y ofreceremos
algunos ejemplos de cómo podrían aplicarse para mitigar los delitos en Internet.
Teoría de la actividad rutinaria. La teoría de la actividad ruti naria es un co ncepto co múnmente
utilizado en la criminología ambiental, que postula que la ocurrencia de un delito está
mayormente influenciada por una oportunidad inmediata para cometer un delito [843]. En

2019 261
ciberseguridad
www.cybok.org
concreto, la teoría de la actividad rutinaria afirma que para que se produzca un delito es
necesario que confluyan tres componentes (i) un delincuente motivado, (ii) un objetivo
adecuado y (iii) la ausencia de un guardián capaz.

2019 262
ciberseguridad
www.cybok.org
Estos conceptos podrían ser útiles para modelar mejor la actividad maliciosa en línea. Por
ejemplo, las investigaciones han demostrado que la actividad de las redes de bots alcanza
un pico durante el día, cuando la mayoría de los ordenadores vulnerables están
encendidos y las víctimas los utilizan, mientras que desciende significativamente durante
la noche [716]. En términos de la teoría de la actividad rutinaria, esto puede traducirse en el
hecho de que cuando hay más víctimas potenciales en línea, aumenta la oportunidad de
que los delincuentes las infecten, lo que se traduce en un aumento de la actividad de las
redes de bots.
Teoría de la elección racional. La teoría de la elección racional pretende ofrecer un modelo
de por qué los delincuentes toman decisiones racionales para cometer delitos [844]. En el
caso de la ciberdelincuencia, este modelo podría ser útil para entender la reacción de los
delincuentes a la mitigación como una elección racional, y ayudar a modelar los
problemas de aplicación introducidos por la prevención situacional del delito, como el
desplazamiento. Por ejemplo, cuando un proveedor de alojamiento a prueba de balas es
derribado por las fuerzas del orden, ¿qué factores intervienen en la elección del siguient e
proveedor por parte del delincuente?
Teoría de los patrones de la delincuencia. Otra teo ría, deno mi nada teoría de los patrones de la
delincuencia, permi te a los investi gadores identificar varios lugares que están relacionados
con la delincuencia. Estos lugares son susceptibles de atraer a losdelincuentes (atractores
de la delincuencia), generan la delincuencia por la disponibilidad de oportunidades para
delinquir (generadores de la delincuencia) y permiten la delincuencia por la ausencia de
gestores del lugar (facilitadores de la delincuencia).
Aunq ue la defi nición de lugares en el ciberespacio no es tan sencilla como en el espacio físico,
pensar en términos de teoría de patrones puede ayudar a identificar los lugares que son
puntos calientes para la ciberdelincuencia, ya sean objetivos especialmente atractivos,
como empresas que almacenan datos sensibles (atracto res), sistemas mal configurados
que son más fáciles de co mpro meter (generado res) o servicios en línea co n po ca hi giene q ue
no reaccionan rápi damente al spam/malware publicado en sus platafo rmas (facilitado res). La
identificació n de estos punto s calientes puede servir para diseñar medidas adecuadas contra
la actividad maliciosa (por ejemplo, a quién dirigir las campañas de educación).
Prevención situacional de la delincuencia. La prevención situacional de la delincuencia
comprende un conjunto de teorías y técnicas cuyo objetivo es reducir la delincuenci a
mediante la reducción de las opo rtunidades de delinq uir [ 845]. Las ideas que sustentan la
prevención situacional del delito se basan en tres conceptos principales, que también se
aplican a la ciberdelincuencia:
• Es mucho más probable que la delincuencia se produzca en determinados lugares
(hotspots). Esta idea se aplica al contexto de la ciberdelincuencia. Como hemos
visto, los delincuentes tienden a concentrar sus servi do res maliciosos en pro veedo res
de servicios de alojami ento a prueba de balas, q ue les pro po rcio nan garantías de que sus
operaciones pueden continuar durante largos períodos de tiempo. En el extremo
opuesto, en lo que respecta a las víctimas, los delincuentes tienden a dirigirse a
ordenadores con configuraciones de software vulnerables, que también constituyen
puntos calientes en esta aceptación.
• La delincuencia se co ncentra en determi nados "pro ductos calientes". Esto también se
aplica a la ciberdelincuenci a, ya q ue los delincuentes se centran en las operaciones
que producen más beneficios (es decir, en el momento de escribir este artículo, el
ransomware).

2019 263
ciberseguridad
www.cybok.org
• Las víctimas reincidentes tienen más probabilidades de sufrir delitos en

comparación con otras personas. En el contexto de la ciberdelincuencia, se aplica el
mismo concepto. Un ordenador vulnerable que no está parcheado es probable que
se vea comprometido de nuevo [841]. Del mismo modo, en el caso de los fraudes de
comisiones por adelantado, es pro bable que las vícti mas caigan repeti damente en el
fraude, po rq ue la narrativa utilizada po r los delincuentes les resulta especial mente
atractiva [ 751]. Además de la predispo sición natural de las vícti mas a caer de nuevo en
estafas si milares, los delincuentes tratan de contactar acti vamente con las vícti mas
anteriores del fraude, reco pilando las deno minadas listas de chupones y co mpartiéndol as
entre ellos [846].
Para reduci r las opo rtuni dades de delinq uir, la prevención situacional de la delincuencia
pro po ne cinco catego rías de mitigaciones. A continuación, las enumeramos junto co n alguno s
ejemplos de mitigaciones contra

2019 264
ciberseguridad
www.cybok.org
ciberdelincuencia que se han propuesto en la literatura informática y que pueden

agruparse en estas categorías:
• Aumentar el esfuerzo de la delincuencia. Las mitigaciones en este caso incluyen el
despliegue de cortafuegos y el establecimiento de actualizaciones automáticas para
el software instalado en los ordenadores.
• Aumentar el riesgo de delincuencia. Entre las medidas de mitigación se encuentra la
reducción del anonimato de los pagos (por ejemplo, solicitar una identificación
cuando alguien cobra dinero de Western Union).
• Reducir las recompensas. Las mitigaciones en este caso incluyen el bloqueo de
pagos o paquetes sospechosos, o la penalización de los resultados de búsqueda
maliciosos.
• Reducir las provocaciones. Los ejemplo s aq uí incluyen la aplicación de la presió n de los
pares a los ISP y los bancos deshonesto s.
• Eliminar las excusas. Las medidas de mitigación típicas en esta categoría incluyen la
realización de campañas educativas o la creación de redireccio namientos auto máticos
para desviar a las vícti mas q ue hubieran visto contenidos maliciosos, explicarles lo
sucedido e instarles a proteger sus sistemas.
Un aspecto interesante del marco de prevención de la delincuencia situacional es que
identifica, para cada mitigación, las cuestiones de implementación que surgen al poner en
marcha la mitigación [845]. En el caso de la ciberdelincuencia, las dos cuestiones de
aplicación más relevantes son la adaptación y el desplazamiento.
La adaptación representa el hecho de que los delincuentes intentarán activamente eludir
cualquier mitigación haciendo su operación más sigilosa o más sofisticada. Se trata de
una típica carrera armamentística que puede observarse en la investigación sobre
seguridad informática. Cuando los investigadores empezaron a recopilar listas negras de
direcciones IP conocidas por pertenecer a servidores de C&C, los delincuentes
reaccionaron desarrollando FastFlux. Cuando la realización de pagos a través de los medios
tradicionales se hizo más difícil debido al aumento de la investigación, los delincuentes se
pasaron a las criptomonedas. Tener en cuenta la adaptación es importante a la hora de
diseñar mitigaciones contra la ciberdelincuencia. En particular, las mitigaciones eficaces
son aquellas ante las que el delincuente no puede reaccionar fácilmente, o cuando la
adaptación tiene un precio financiero (por ejemplo, una reducción de los ingresos).
El desplazamiento representa el hecho de que, una vez establecidas las mitigaciones, los
delincuentes pueden simplemente trasladar sus operaciones a otro lugar. Mientras que en el
mundo físico la distancia que pueden recorrer los delincuentes viene dictada por las
limitaciones prácticas, en Internet el desplazamiento de un "lugar" a otro es prácticamente
gratuito. Entre los ejemplos de desplazamiento se encuentran los delincuentes que
empiezan a registrar dominios DNS con otro registrado r después de que su registrado r
preferido aumentara el precio del dominio para frenar el uso indebido [ 847], o la apertura de
multitud de mercado s de drogas para llenar el vacío dejado por el desmantelamiento de Silk
Road [714]. Los efectos de desplazamiento son importantes a la hora de planificar las
acciones contra la ciberdelincuencia. En general, una mitigación debe dificultar que los
delincuentes se trasladen a otro lugar. Por el contrario, una acción de mitigación que
simplemente desplace una operación cibercriminal sin afectar a su eficacia
probablemente no merezca la pena.
Los investigadores han aplicado la Prevención Situacional del Delito a una serie de delitos

2019 265
ciberseguridad
www.cybok.org
informáticos, como las violaciones de datos de las organizaciones [833] y la mitigación de

las vulnerabilidades del software [834]. Sin embargo, según lo expuesto en esta secció n, este
marco podría aplicarse a cualquier actividad delictiva que ocurra en línea.
Crime scripting. Otra técnica útil que puede ayudar al análisis de las acti vidades maliciosas en
Internet desde el campo de la criminología es el crime scripting [848]. En el marco de esta
técnica, los investigadores extrapolan la secuencia de pasos que realiza un adversario
para cometer sus delitos. Por ejemplo, en una estafa romántica, los estafadores crean una
cuenta falsa en un sitio de citas

2019 266
ciberseguridad
www.cybok.org
El delito de estafa se caracteriza por su perfil, la identificaci ón de una víctima adecuada, la

fase de captación y el fraude propiamente dicho, cuando el estafador pide dinero a su
víctima. Diseccionar las distintas etapas de un delito puede ser útil para comprenderlo
mejor e identificar posibles intervenciones. El scripting del delito está en cierto modo
relacionado con las cadenas de asesinatos, aunque ambas técnicas se desarrollaron en
ámbitos completamente independientes.
Modelización de la economía sumergida como flujo de capital

Co mo se ha co mentado en la sección 7. 1, muchas operaciones maliciosas so n realizadas po r
delincuentes con el objetivo de obtener dinero de sus víctimas. Por esta razón, seguir el
flujo de dinero es una forma útil de entender mejor las operaciones maliciosas y, en
particular, de identificar los cuellos de botella que podrían aprovecharse para desarrollar
mitigaciones contra ellas y detener a los delincuentes [804,849].
Thomas et al. presentaro n un modelo diseñado para seguir el flujo de dinero dentro de una
operación cibercriminal [850]. Como parte de este modelo, introdujeron dos elementos
necesarios para que una operación de ciberdelincuencia funcione: los centros de
beneficios, a través de los cuales las víctimas transfieren nuevo capital a la operación
delictiva, y los centros de apoyo, que pueden facilitar la operación delictiva prestando diversos
servicios a cambio de una tarifa. El dinero se introduce en el ecosistema a través de los
centros de beneficios, y luego es consumido por los distintos actores que participan en él,
que se proporcionan herramientas y servicios entre sí. Por ejemplo, en una operación de
spam por correo electrónico, el centro de beneficios serían las víctimas que compran
productos farmacéutico s falsificados a través de un programa de afiliados, mientras que todos
los servicios que necesitan los spammers para operar (por ejemplo, los proveedores de
alojamiento a prueba de balas para alojar los servidores de C&C, los servicios de pago por
instalación para entregar el malware, los servicios de generación de contenidos para crear
el contenido del spam ) son cent r o s de apoyo. Este modelo ofrece una interesante
conceptualización de cómo fluye el dinero en el ecosistema cibercriminal y cómo se
reparte la riqueza entre los diferentes actores que lo componen. Al cruzarlo con datos del
mundo real, también puede ayudar a formarse una idea del beneficio que obtiene cada
delincuente y de los ingresos de la operación.
Otro aspecto interesante del seguimiento del flujo de efectivo de las operaciones de los
ciberdelincuentes es que en algún momento los delincuentes querrán cobrar, lo que se
hará utilizando méto do s de pago tradicionales (véase la sección7. 2). Dado q ue estas
interacciones se pro ducen en el mundo físico, es más fácil para las fuerzas del orden
rastrearlas y potencialmente detener a los delincuentes [849].
Atribución de ataques
Cuando se habla de actividades maliciosas, la atribución es importante. A las fuerzas del
orden les interesa saber qué delincuentes están detrás de una determinada operación y, en
particular, atribuir a los mismos actores operaciones cibercriminales aparentemente no
relacionadas podría ayudar a construir un caso legal contra ellos. Del mismo modo, los
gobiernos están interesados en identificar a los culpables de los ataq ues que reci ben. E n
particular, les interesa saber qué estados nación (es decir, países) están detrás de estos
ataques.
La atribución, sin embargo, es un tema controvertido en el ciberespacio. Como ya hemos
comentado, el concepto de "lugar" es relativo para los ataques informáticos, y los

2019 267
ciberseguridad
www.cybok.org
atacantes pueden dirigir fácilmente sus conexiones de red a través de proxies o máquinas
comprometidas en terceros países, ocultando así su ubicación real. Es razo nable suponer
que los mismos actores seguirán un modus operandi similar en sus ataq ues y, en particul ar,
utilizarán los mismos exploits de so ftware para entrar en los sistemas de sus vícti mas. Estos
exploits y artefacto s de có di go po drían utilizarse para i dentificar a los grupo s patroci nados po r
el Estado o a otro s atacantes (para m ás detalles, véase el área de conoci miento de malware y
tecnología de ataq ue (sección 6.5. 2)). Lamentablemente, este enfoq ue tiene dos
inconvenientes principales. El

2019 268
ciberseguridad
www.cybok.org
La primera es que la mercantilización de los servicios de ciberdelincuencia ha permitido a

los atacantes utilizar kits de explotación, que contienen un gran número de exploits y, por
tanto, aumentan la probabilidad de que se pro duzca un ataq ue. Aunq ue es ventajosa para los
atacantes, esta tendencia si gnifica que los exploits utilizados so n una señal meno s significativa
para identificar a los atacantes, especial mente a aq uellos que no tienen la sofisticació n
necesari a para explotar las vul nerabilidades en casa (po r ejemplo, los ciberdelincuentes). La
excepció n a esta tendencia so n los acto res patrocinado s po r el Estado, que a diferencia de los
delincuentes tradicio nales suelen tener objetivos muy específicos. Por esta razón, pueden
adaptar sus ataques con más cuidado, e incluso desarrollar nuevos exploits para atacar a
una víctima específica. Lo más importante es que a menudo desarrollan exploits para
vulnerabilidades que no son conocidas públicamente, también conocidos como ataques de
día cero [794]. Al ser únicos para un actor, podrían utilizarse para identificar quién está
detrás de un ataque específico. El problema es que, una vez utilizado el exploit, podría ser
interceptado por la víctima (o por cualquier persona de la red) y utilizado posterio rmente
contra otro o bjetivo afectado por l a misma vulnerabilidad. Esto co nfundirí a activamente la
atri bución. Recientes filtraciones han demostrado q ue la CIA ha estado reco pilando
activamente...
La empresa de seguridad de la Unión E uro pea (UE ) ha desarrollado una serie de exploits
utilizados po r o tras nacio nes y los ha añadido a su arsenal, lo que les permite hacer creer que
otro país está detrás de un ataque informático. 8
Rid et al. propusieron un marco para sistematizar los esfuerzos de atribución de los
ciberataques [835]. Dentro de este marco, identificaron tres capas de análisis que son
necesarias para realizar correctamente la atribución: táctica, operativa y estratégica. El
componente táctico consiste en comprender los aspectos técnicos que componen el
ataque (el cómo), el componente operativo consiste en co mprender la arq uitectura de las
características de alto nivel del ataq ue y el tipo de atacante al que no s enfrentamo s (el qué),
mientras que el componente estratégico se ocupa de comprender la motivación detrás del
ataque (el por qué).
Aunque este marco se desarrolló pensando en los ataques patrocinados por el Estado,
podría utilizarse para atribuir otros tipos de actividad maliciosa. Por ejemplo, para atribuir
un ataque de odio en línea orquestado po r el tablero Politically Incorrect de 4chan, [735] se
po drían rastrear los mensajes de o dio que llegan a la víctima (cómo), o bservar la info rmación
perso nal de la vícti ma en el tablero (qué) y analizar la discusió n sobre la vícti ma para entender
la motivación detrás del ataque (por qué).
CONCLUSIÓN
En este documento, presentamos una visión general de los comportamientos adversos
que existen en Internet en el momento de redactar este documento. Hemos estudiado
varios tipos de operaciones maliciosas, en función de las motivaciones y las capacidades
del atacante, y hemos analizado los componentes necesarios para poner en marcha
operaciones maliciosas con éxito. Por último, describimos una serie de téc nicas de
modelización procedentes de diversos campos (informática, criminología, estudios
bélicos) que pueden ayudar a los investi gado res y pro fesionales a mo delizar mejor estas
operaciones. Argumentamos q ue co ntar co n buenos modelos es de importancia
fundamental para desarrollar mitigaciones eficaces que sean difíciles de eludir.
8 https://en.wikipedia.org/wiki/Vault_7

2019 269
ciberseguridad
www.cybok.org
REFERENCIAS CRUZADAS DE TEMAS FRENTE A MATERIAL DE

REFERENCIA
SeccionesCitas
1 Una caracterización de los adversarios
Delitos que dependen del ciberespacio y del ciberespacio [711]
Infractores interpersonales [712,736,739,741,742]
Delincuencia organizada por medios informáticos [713,714,751]
Delincuentes organizados dependientes del ciberespacio [15,16,17,715,716,783,784]
Hacktivistas [717,726,791]
Actores estatales [718,719,798,801]
2 Los elementos de una operación
maliciosa Programas de afiliados [764,804]
Vectores de infección [723,805]
Infraestructura [706,806,818]
Servicios especializados [807,808]
Servicios humanos [775,822,823,827]
Métodos de pago [763,809,810]
3 modelos para entender los árboles de ataque de
las operaciones maliciosas [79]
Criminología ambiental [832,833,834]
Modelización de la economía sumergida como flujo de [722]
capital
Atribución de ataques [835]

2019 270

Capituli 7

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capituli 7

Cargado por

Copyright:

Formatos disponibles

Suscríbete a DeepL Pro para poder editar este documento.

Entra en www.DeepL.com/pro para más información.

7.1 UNA CARACTERIZACIÓN DE LOS ADVERSARIOS

KA Adversarial Behaviour | octubre de Página

Delitos que dependen del ciberespacio y del ciberespacio

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

junto con sus motivaciones, más adelante en esta sección.

Criminales organizados con ayuda del ciberespacio

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

propensas a caer en la estafa [754]. Su argumento es que responder al primer mensaje

KA Adversarial Behaviour | octubre de Página

es el tráfico de drogas. Gracias a tecnologías de anonimización como Tor [755] y las

Criminales organizados dependientes del ciberespacio

KA Adversarial Behaviour | octubre de Página

(por ejemplo, la incautación de un servidor de correo electrónico). Aunque todavía eran

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

ofrecer funcio nalidades q ue facilitan al delincuente la reco gi da y el segui miento de las

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

intercambio pagando a los delincuentes po r i mpresio nes publicitarias q ue no eran "auténticas",

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

para bloquear a la víctima de su ordenador [783]. Estas técnicas incluyen la configuración

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

El activismo es la divulgació n de documentos ro bado s al do mi nio público, po r ejemplo, para

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

7.2 LOS ELEMENTOS DE UNA OPERACIÓN MALICIOSA

KA Adversarial Behaviour | octubre de Página

en los últimos años se ha observado una especialización en el ecosistema de la

KA Adversarial Behaviour | octubre de Página

en la sección7.1. Sin embargo, muchos de los elementos discutidos también se aplican a

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

de servicios de Internet (ISP) vigilan continuamente los servidores en busca de indicios de

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

entre Mebroot y Torpig [716]).

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

Explotar la Robar la contraseña

Desarro Comprar Instalar Adivina Extorsión

los delincuentes se trasladaron a otros métodos de pago.

7.3 MODELOS PARA ENTENDER LAS OPERACIONES

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

en la creación de un servi do r web malicioso, la compra de espacio publicitario para

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

KA Adversarial Behaviour | octubre de Página

• Las víctimas reincidentes tienen más probabilidades de sufrir delitos en