Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Capítulo 7
Comportamiento adverso
Gianluca StringhiniUniversidad de Boston
223
El conjunto de conocimientos de
ciberseguridad
www.cybok.org
INTRODUCCIÓN
Los avances tecnológicos de los que ha sido testigo nuestra sociedad en las últimas
décadas han traído consigo mejoras en nuestra calidad de vida, pero también han creado
una serie de oportunidades para que los atacantes causen daño. Antes de la revolución de
Internet, la mayor parte de los delitos y actividades maliciosas requerían generalmente que
una víctima y un agresor entraran en contacto físico, y esto limitaba el alcance q ue tenían
los malintencionados. La tecnolo gía ha eliminado la necesi dad de co ntacto físico para llevar a
cabo muchos ti pos de delitos, y aho ra los atacantes pueden llegar a las vícti mas en cualquier
parte del mundo, siempre que estén conectados a Internet. Esto ha revolucionado las
características del crimen y la guerra, permitiendo operaciones que antes no habrían sido
posibles.
En este documento, proporcionamos una visión general de las operaciones maliciosas que
se producen en la actualidad en Internet. En pri mer lugar, ofrecemos una taxo no mí a de las
activi dades maliciosas basada en las motivaciones y capacidades del atacante, y luego
pasamos a los elementos tecnológicos y humanos que los adversarios necesitan para
llevar a cabo una operación con éxito. A continuación, analizamos una serie de marcos de
trabajo que se han pro puesto para mo del ar las operaciones maliciosas. Dado que los
co mpo rtami entos de los adversarios no son un tema puramente técnico, nos basamos en la
investigación en varios campos (informática, criminología, estudios bélicos). Al mismo
tiempo, discutimos cómo estos marcos pueden ser utilizados po r los investigado res y los
pro fesionales para desarrollar mi tigacio nes eficaces contra las operaciones maliciosas en
línea.
Infractores interpersonales
La primera categoría que vamos a analizar es la de los delitos interpersonales. Estos
delitos incluyen la violencia y el acoso selectivos, dirigidos tanto a personas cercanas (por
ejemplo, miembros de la familia) como a extraños. Aunque estos delitos siempre han
existido, Internet ha hecho que el alcance de los acosadores y delincuentes sea mucho
mayor, eliminando de hecho la necesidad de contacto físico para que se cometa el delito.
Como tal, estos delitos entran en la categoría de los ciberdelitos. En el resto de esta
sección, ofrecemos una visión general de estos comportamientos adversos.
Ciberacoso. Willard [ 712] define el ciberacoso co mo "el envío o la publicación de material
perj udicial o la participación en o tras fo rmas de agresió n social utilizando Internet u o tras
tecnologías di gitales". Aunque no siempre es ilegal1 , el ciberacoso suele ocupar una zona
gris entre lo que se considera un acto dañino y un delito penal [729]. Esta práctica se ha
converti do en un grave pro blema para los jóvenes, que a menudo so n blanco de sus
co mpañero s no sólo en la vida real, sino también en las plataformas en línea [730]. Aunque la
práctica del acoso no es nada nuevo, Internet ha cambiado significativamente la dinámica
de estas prácticas de acoso. Lo que solía ser una práctica dañina limitada al horario
escolar ahora puede perpetrarse en cualquier momento, exponiendo efectivamente a las
víctimas a un acoso ininterrumpido [731].
Un aspecto que diferencia el ciberacoso del acoso físico tradicional es que las perso nas en
línea pueden ser anóni mas, y no tienen su no mbre o su cara uni dos a la actividad abusi va que
están llevando a cabo [732,733]. Los investigadores descubrieron que la interacción con
las personas en línea crea un efecto de desinhibición por el que se acentúan los rasgos
personales (es decir, las personas negativas se vuelven más malas y las positivas más
agradables) [734]. Este efecto de desinhibición puede hacer que al gunas perso nas sean más
pro pensas a realizar acti vidades abusi vas de lo que harían en el mundo o ffline [ 733]. Otro
aspecto que co ntri buye a la desinhibició n es el hecho de que el contenido en línea que se
distribuye en ciertas plataformas (por ejemplo, snapchat, 4chan) es efímero, en el se ntido
de que se borra después de un cierto período de tiempo [735]. De este modo, los
acosadores sienten que sus acciones no tienen consecuencias negativas, ya que no habrá
pruebas fehacientes de ello en el futuro.
Doxing. Otro tipo de acoso en línea es la práctica del doxing, un ataque en el que la
info rmación privada de la vícti ma se hace pública en línea [ 736]. Esta o peració n suele fo rmar
parte de una campaña de acoso más amplia, en la que la divulgación de información
sensible se utiliza como forma de avergonzar a la víctima o de facilitar un mayor acoso,
incluso en el mundo físico (por ejemplo, divulgando información en el lugar de trabajo o la
dirección del domicilio de la víctima).
La práctica del doxing se ha hecho cada vez más popular en los últimos años como forma
de po- larizar el debate en línea y silenciar a las personas. Un ejemplo destacado es la
contro versia del #GamerGate, en la que se atacó a menudo a mujeres activistas y se
publicó su info rmación perso nal en línea [737]. El doxing ha sido un vehículo principal para
los ataques de odio coordinados por comunidades online polarizadas como el tablero
Politically Incorrect de 4chan (/pol/) [735]. Como parte de esto s ataq ues, los usuarios
anó ni mos publican info rmación so bre sus o bjetivo s en línea (po r ejemplo, páginas de medios
sociales, números de teléfo no, direccio nes físicas), y luego invitan a o tras perso nas a llevar a
cabo ataques vagamente coordinados (llamados redadas) contra esas personas. Estos
ataques suelen consistir en discursos de odio y otro tipo de lenguaje abusivo.
Aunq ue es una práctica destacada en el ámbi to del aco so en línea, el do xi ng tambi én es
utilizado po r otro s delincuentes. Por ejemplo, es una de las técnicas empl eadas po r grupo s de
KA Adversarial Behaviour | octubre de Página
2019 226
El conjunto de conocimientos de
ciberseguridad
www.cybok.org
hacktivistas co mo Ano ny- mo us para po ner so bre aviso a sus o bjeti vos. A co ntinuació n,
hablaremos de las otras técnicas utilizadas por los hacktivistas,
1 Aunque no existe unadefinición de ciberacoso en la legislación británica, algunas formas del mismo
pueden ser perseguidas en virtud de la Ley de Protección contra el Acoso de 1997.
[749] o en verdaderas organi zacio nes cri minales estructuradas [ 750]. Reconocemos que
existen otros delitos que han visto incrementado su alcance gracias a la tecnología. Sin
embargo, estos delitos aún no han sido estudiados en profundidad por la comunidad
investigadora y, por tanto, hemos decidido centrarnos en el que la comunidad
investigadora conoce mejor.
2 http://www.nationalcrimeagency.gov.uk/crime-threats/kidnap-and-extortion/sextortion
Fraude con honorarios anticipados. En este tipo de estafa, se promete a la víctima una
recompensa (económica o de otro tipo), pero para obtenerla tiene que pagar primero una
pequeña cantidad al estafador. Una vez efectuado el pago , la vícti ma no suele vol ver a tener
no ticias del estafador, mientras que a veces la relación se prolo nga durante largos perio dos de
tiempo y la víctima es estafada repetidamente con grandes sumas de dinero [751].
El ejemplo arquetípico de fraude con comisiones por adelantado son las llamadas estafas
419 [713]. Estas estafas, que llevan el no mbre de la secció n del Có digo Penal nigeriano que
trata sobre el fraude, se hiciero n po pul ares en la década de 1980, cuando las vícti mas reci bían
cartas físicas de un supuesto príncipe ni geriano q ue pretendía transferir grandes canti dades de
dinero fuera del país. Para iniciar el proceso, se exige a la víctima que transfiera una pequeña
cantidad de dinero al estafador (por ejemplo, para cubrir los gastos legales). Como puede
imaginarse, Internet permitió que este tipo de fraude floreciera, al permitir a los
delincuentes llegar instantáneamente a un gran número de víctimas potenciales.
Otro ejemplo de fraude por adelantado es el fraude al consumidor perpetrado en sitios web
de anuncios clasificados como Craigslist [752]. Como parte de este fraude, las víctimas
responden a un anuncio clasificado de un artículo deseable (por ejemplo, un coche usado
o una propiedad de alquiler) que tiene condiciones mucho mejores (como un precio más
bajo) que otros anuncios similares. El estafador responde que necesitará un pequeño pago
por adelantado para entregar la mercancía. Tras recibirlo, la víctima no volverá a saber
nada del estafador.
Un último ejemplo de fraude de tarifa avanzada es el fraude romántico en línea. Este tipo
de fraude, que tiene lugar en sitios de citas en línea, suele consistir en que los delincuentes
se hacen pasar por personas atractivas que buscan iniciar una relació n co n la víctima. A
diferencia de la estafa 419, estas relaciones en línea suelen durar meses antes de que el
estafador exija dinero, por ejemplo, para ayudar a su familia o para abrir un negocio [ 749].
Para entonces, es probable que la víctima, que probablemente esté involucrada
emocionalmente con la persona suplantada por el delincuente, acceda. Investigaciones
anteriores informaron de que las víctimas de este delito pueden perder entre 50 y 240.000
libras esterlinas [751]. Sin embargo, a diferencia de otros tipos de fraudes por adelantado,
el daño psicológico de la pérdida de la relación ficticia puede ser mucho mayor que el
financiero.
Un elemento común a todos los tipos de fraudes por adelantado es la necesidad de que
los delincuentes construyan una narrativa atractiva que induzca a las víctimas a pagar la
cuota fraudulenta. Para ello, los delincuentes suelen dirigirse a grupos demográficos
específicos y hacerse pasar por personas concretas. Por ejemplo, investigaciones
anteriores demostraron que los estafadores románticos suelen hacerse pasar por
miembros del ejército destinados en el extranjero [753]. De este modo, los estafadores
pueden construir una narrativa creíble sobre el motivo por el que no pueden reunirse con la
víctima en persona, y pueden crear una conexión emocional con la vícti ma, lo que
aumentará las po sibilidades de q ue cai ga en la estafa. A menudo, los estafadores se hacen
pasar por hombres viudos de mediana edad que se dirigen a mujeres viudas del mismo
grupo demográfico, en un intento de establecer una conexión emo cional con su vícti ma [ 749].
En otro s casos, los estafadores emplean trucos psicológicos para ganarse a sus ví ctimas,
como la presión del tiempo o el comentario de que han elegido específicamente a la
víctima por sus elevadas características morales [713].
De forma más cínica, Herley argumenta que los estafado res están incentivado s para co nstrui r
las narrativas más absurdas posi bles, para asegurarse de q ue sólo responderán aq uellos que
sean lo suficientemente crédulos co mo para creerlos, y que estas personas serán las más
Reino Unido4 y la Ley CAN-SPAM en Estados Unidos. 5 Estas leyes ayudaron a perseguir a
algunos de los primeros spammers. En 2004, America Online (AOL) ganó un juicio contra Davis
Wolfgang Hawke, que vendía aparatos nazis a través de correos electrónicos basura. Hawke
fue condenado a pagar una multa de 12,8 millones de dólares.
Los avances técnicos de principios de la década de 2000, y en particular el desarrollo de
botnets, redes de ordenadores comprometidos controlados por el mismo ciberdelincuente
[758], dieron oportunidades sin precedentes a los delincuentes que hoy quieren dedicarse al
spam por correo electrónico. El spam por correo electrónico ya no es una operación
unipersonal, sino que se apoya en prósperos ecosistemas delictivos. Los emisores de spam
pueden alquilar botnets a delincuentes especializados en infectar ordenadores con
malware [723], comprar listas de direcciones de correo electrónico objetivo a actores
especializados [762] e inscribirse en un programa de afiliados [763,764], que proporcionará
al emisor de spam una forma de publicidad, además de encargarse de los envíos y los
pagos.
La carrera armamentística relacionada con la mitigación del spam se lleva a cabo desde
los años 90, y se han pro puesto numerosas mi tigacio nes [765]. En la actualidad, las técnicas
antispam garanti zan que la inmensa mayoría de los correos maliciosos nunca lleguen a los
buzones de sus víctimas. Para solucionar este problema, los delincuentes tienen q ue enviar
decenas de miles de millones de co rreo s electró nicos [ 723] para que sus o peracio nes sigan
siendo rentables. Otro problema es que, de las víctimas a las que llegan los correos
electrónicos de spam, sólo una pequeña parte comprará los productos anunciados y
obtendrá beneficios para los delincuentes. Los investigadores llevaron a cabo un estudio
de caso para la red de bots Storm [17], que demostró que de los 469 millones de correos
electrónicos de spam enviados por la red de bots, sólo el 0,01% llega a sus objetivos. De
ellos, sólo el 0,005% de los usuarios hace clic en los enlaces co ntenido s en los co rreo s
electrónicos, mientras q ue un número aún meno r termi na comprando artículos: sólo 28
usuarios en total de los 469 millones alcanzados, o el 0,0004% del total. A pesar de este
fuerte descenso, McCoy et al. demostraron que los programas de afiliación de spam más
populares fueron capaces de obtener hasta 85 millones de dól ares de ingresos en un perio do
de tres años [ 763]. Tambi én demostraro n que la clave de este éxito son los clientes que
regresan. De hecho, los correos electrónicos de spam sólo tienen que llegar a un cliente
interesado una vez, y esta persona puede seguir comprando en el sitio sin tener que
preocuparse por los filtros de spam.
Phishing. Un tipo particular de spam es el phishing, en el que los delincuentes envían
correos electrónicos que simulan ser de servicios genuino s (po r ejemplo, banca en línea,
sitios web de redes sociales) [715]. Estos co rreos electró nicos suelen atraer a los usuarios
para que entreguen sus nombres de usuario y contraseñas a estos servicios
presentándoles un correo electrónico creíble en el que se les pide que visiten el sitio web
(por ejemplo, para recuperar su último estado de cuenta). Al hacer clic en el enlace del
correo electrónico, los usuarios son dirigidos a un sitio web que muestra páginas de inicio
de sesión falsas pero realistas. Una vez que han introducido sus credenciales, los
delincuentes acceden a ellas y podrán posteriormente iniciar sesión en esos servicios en
nombre de los usuarios, pudiendo ganar dinero directamente o vendiendo las credenciales en
el mercado negro.
Para el delincuente, un componente clave del éxito de las páginas de phishing es la
creación de páginas web que se parezcan lo más posible a las originales. Para facilitar
esta tarea, los ciberdelincuentes especializados desarrollan y venden los llamados kits de
phishing [766], pro gramas que pueden instalarse en un servidor y que producirán una página
web de aspecto adecuado para muchos servicios populares. Estos kits también suelen
Tras ro bar un gran número de credenciales, los delincuentes pueden explo tar estas cuentas
ellos mismos o vender los nombres de usuario y las contraseñas en el mercado negro.
Investigaciones anteriores han demostrado que, a menudo, esto s delincuentes entran en las
cuentas y dedican tiempo a evaluar su valor, por ejemplo, buscando información financiera
en las cuentas de correo web[726,769].
Malware financiero. Otra operación delictiva muy popular es el malware financiero. En este
caso, los delincuentes pretenden instalar malware en los ordenadores de sus víctimas y
robar credenciales financieras como números de tarjetas de crédito y nombres de usuario
y contraseñas de la banca online. Esta tendencia se inició con el malware Zeus, que los
delincuentes podían adquirir en el mercado negro y utilizarlo para mo ntar sus o peraciones
[770]. Una vez instalado en el ordenado r de la vícti ma, Zeus esperaba a que el usuario visitara
un sitio web de una lista preconfigurada de sitios interesantes que el delincuente podía
especificar. A continuació n, registraba los nombres de usuario y las contraseñas a medi da que
el usuario los escri bía, y los enviaba al servidor de mando y control configurado por el
delincuente.
Un bo tnet más so fisticado para el ro bo de info rmació n fue To rpi g [716]. A diferencia de Zeus,
Torpi g utilizaba un mo delo de botnet co mo servicio, en el q ue un único delincuente
especializado se encargaba de alojar la infraestructura de la botnet, mientras que otros
delincuentes podían realizar sus campañas para infectar los ordenadores de las víctimas,
pagar una cuota por utilizar la infraestructura de Torpig y recuperar posteriormente las
credenciales robadas. Los investigadores demostraron que, en 2009, la botnet Torpig fue
capaz de robar 8.310 credenciales únicas de cuentas bancarias y 1.660 números únicos de
tarjetas de crédito en un periodo de diez días. [716].
Para rentabilizar sus operaciones, los ciberdelincuentes pueden vender la info rmación
financiera ro bada en fo ro s clandestinos dedicados a ello [771]. El precio q ue los delincuentes
pueden pedir po r estas credenciales varía en función del tipo de registros que hayan podido
robar. Por ejemplo, en el mercado clandestino hay dos tipos de registros de tarjetas de
crédito que se comercializan: los dumpz, que contienen la información q ue permi te a un
delincuente clonar una tarjeta de crédi to (es decir, el número de tarjeta, la fecha de caducidad y
el código de seguridad), y los fullz, que también contienen la dirección de facturación
asociada a la tarjeta. Los fullz valen más dinero en el mercado negro, po rq ue permiten a los
delincuentes comprar artículos en línea.
Un tipo de delito relacionado que se está haciendo más popular es el skimming de tarjetas
[772]. En este delito cibernético, los delincuentes instalan dispositivos en las máquinas
ATM que recogen detalles de las tarjetas
insertados en las máquinas por usuarios involuntarios. El delincuente puede entonces
recoger los dispositivos para recuperar las credenciales financieras robadas. Aunque este
tipo de delito es grave, también es un buen ejemplo de l as limi taciones de los delitos físico s
en co mparació n con sus ho mólogo s en línea: la necesidad de una acción física por parte del
delincuente limita la escala de la operación, mientras que las operaciones de malware
financiero pueden afectar a un número mucho mayo r de vícti mas. Por ejemplo, el malware
Torpig se instaló en más de 100.000 ordenadores [716].
Hay que tener en cuenta que el malware no siempre es necesario para realizar un fraude
financiero. En algunos casos, las amenazas internas dentro de las organizaciones financieras
podrían actuar maliciosamente y defraudar tanto a sus instituciones como a sus clientes
[773,774]. En otros casos, la información financiera, como los números de las tarjetas de
crédito, podría ser robada explotando una vulnerabilidad en un sistema online (por ejemplo,
volcando la base de datos de una tienda online) [775]. En otros casos, las credenciales
SWIFT robadas de los bancos pueden utilizarse para realizar grandes transferencias de
dinero fraudulentas [776].
Fraude por clic. Los anuncios web son la principal forma de monetizar la web. Un
administrador de la web puede decidir alojar anuncios en su sitio web y, cuando los
visitantes los ven o hacen clic en ellos, reci be una peq ueña co misió n de un anunciante. P ara
mediar en esta interacció n, han surgido servicios especializados co no cido s co mo "ad
exchanges". Debido a su fácil mo neti zación, los anuncios en la web son propicios para el
fraude. En particular, los delincuentes pueden alojar anuncios en sus propios sitios web y
generar clics "falsos" (por ejemplo, utilizando bots). El resultado es un anuncio
Además, la víctima está muy incentivada para pagar el rescate, porque la probabilidad de
que los delincuentes hayan cifrado archivos que el usuario necesitará (y de los que no
tiene copia de seguridad) es alta. De hecho, una investigación reciente pudo rastrear 16
millones de dólares en pagos en la blockchain de Bitcoin que pueden atribuirse a
campañas de ransomware [782].
Aunq ue las campañas de ranso mware más so fisticadas implican el cifrado de los archivos de
la víctima, Kharraz et al. demostraron que no es raro que los autores de malware utilicen
otras técnicas
Hacktivistas
Aunq ue los delincuentes co n áni mo de lucro son una gran amenaza, no to do s los adversarios
se mueven por dinero. En particular, defini mo s el acto de delincuenci a informática mo tivado po r
un o bjeti vo político co mo hacktivismo [ 717]. Estos delitos pueden adoptar diversas formas,
desde ataques de denegación de servicio [717] hasta comprometer sistemas informáticos
con el objetivo de divulgar información sensible al público [785]. Existe un debate en curso
entre los académicos sobre si las acciones de los hacktivistas entran dentro del activismo
político (por ejemplo, desobediencia civil) o del ciberterrorismo [786]. Holt et al. estudiaron
los ciberataques llevados a cabo por grupo s de extrema izq uierda en EE.UU. y descu briero n
que habí a un aumento de los ataq ues en línea durante los periodos en los que se observaba
una disminución de la violencia física por parte de esos mismos grupos [787].
Negación de servicio. La práctica del hacktivismo comenzó en los años 90 con los
netstrikes [788]. Como parte de esta práctica, los usuarios de Internet se conectaban para
atacar simultáneamente a los sitios web para ago tar sus recurso s y hacer que no
respo ndieran. Esto se hací a a menudo para pro testar co ntra las acciones y políticas de las
agencias gubernamentales y las corporaciones. Veinte años después, con la mayo r
sofisticación que ofrece la tecnolo gía, grupos de hacktivistas co mo Ano nymous [ 789] tomaron
la idea de los netstrikes y la hicieron más grande. Este colectivo se hizo po pular por lanzar
ataques de denegación de servicio contra organizaciones culpables de realizar acciones
que no coincidían con su postura moral, como gobiernos vinculados a la represión de la
Primavera Árabe, empresas de tarjetas de crédito que no hacían do naciones a entidades
como Wikileaks u organizaciones religiosas radicales.
Para llevar a cabo sus ataques, Anonymous pedía a sus simpatizantes que instalaran un
programa informático, llamado Low Orbit Ion Cannon (LOIC), que actuaría como un bot en una
red de bots: su controlador utilizaría el ancho de banda del ordenado r para llevar a cabo un
ataque de denegació n de servicio contra un objetivo elegido. La diferencia con las redes de
bots tradicionales (y las que se utilizan para llevar a cabo ataques de DDoS
en particular) es que el usuario acepta formar parte de ella al instalar el programaLOIC , y
que por ello sufre la acción de las fuerzas del orden.
Fugas de datos. Otra tendencia que venimos observando en los últimos años en el ámbito
de los hack-
Actores estatales
Otro tipo de actor malicioso involucrado en comportamientos adversos en línea son los
estados nacionales. En los último s años, hemos o bservado una escalada en el uso de ataq ues
info rmáticos por parte de acto res estatales para lograr sus o bjetivo s. A grandes rasgo s, este
tipo de ataq ues se diferencia de los realizados por ciberdelincuentes con motivación
económica por dos razones:
1. La ciberdelincuencia necesita reunir el mayor número posible de víctimas para maximizar
sus beneficios. Por ejemplo, los delincuentes que crean una red de bots para robar
información financiera de sus víctimas querrán alcanzar el mayor número posible de
víctimas para mejorar sus ingresos. Esto significa que los ataques del
ciberdelincuente tienen que ser genéricos o lo suficientemente versificados como
para cubrir una gran población de dispositivos (por ejemplo, mediante el uso de kits
de explotación, como se explica en la sección 7.2). En un ataque patrocinado por el
Estado, en cambio, no hay necesidad de ganar dinero, y normalmente la víctima está
bien definida (por ejemplo, una organización específica o una persona de interés). En
este caso, el ataque se puede adaptar a la víctima; esto aumenta las posibilidades de
éxito, debido al tiempo que se puede dedicar a diseñar el ataque y al hecho de que el
ataque será único (por ejemplo, utilizando un ataque de día cero [ 794]), y será poco
probable que el software de protección existente lo detecte.
2. Debido a la necesidad de ganar dinero, los ciberdelincuentes tradicionales necesitan que
sus ataques sean rápidos. Este no es el caso de los ataques patrocinados por el
Estado, en los que la recompensa por conseguir su objetivo (por ejemplo, robar
información sensible de un gobierno) hace que sea aceptable esperar largos periodos
de tiempo antes de finalizar el ataque.
Los ataques patrocinados por el Estado se dividen en tres categorías, dependiendo del
propósito del ataque: sabotaje, espionaje y desinformación. A continuación describimos
con más detalle estos tres tipos de ataques.
Sabotaje. Las infraestructuras críticas modernas pueden ser perturbadas por medios
electrónicos. Las investigaciones han demostrado que no es raro que instalaciones
críticas como las centrales eléctricas tengan algún tipo de conectivi dad de red entre los
ordenado res q ue controlan la maq uinaria y los q ue están conectados a Internet [ 795]. En el
caso de un adversario estatal, ni siquiera co ntar con dispositivos de seguri dad de red para
proteger la frontera entre las dos redes es suficiente, ya que, como hemos dicho, los
ataques pueden ser tan sofisticados y adaptados que las soluciones estándar no los
detectan [718]. Una vez que un trozo de malware consigue entrar en la red de control,
puede hacer que la maq uinaria funcione mal y potencial mente destruirla. Incluso cuando hay
una separación física
entre la red de control y la Internet más amplia, los ataques siguen siendo posibles cuando
nos enfrentamos a adversarios con recursos prácticamente ilimitados [718].
Un ejemplo destacado es el gusano Stuxnet [718.796], un sofisticado ataque realizado
contra la instalación de enriquecimiento nuclear de Nathanz, en Irán, en 2010.
Supuestamente, el malware se introdujo en la instalación infectando primero el portátil de
uno de los consultores que se encargaba del mantenimiento de la maquinaria. Una vez que
el malware se encontraba en el entorno adecuado, identificaba las piezas del equipo par a
las que estaba diseñado y saboteaba los experimentos de enriquecimiento , haciendo que
las centrifugadoras giraran sin control. Hasta la fecha, Stuxnet es un ejemplo de libro de los
extremo s a los que pueden llegar los atacantes patrocinados por el Estado para lograr sus
objetivos, y de la sofisticación que pueden alcanzar sus ataques.
El sabo taje no siempre está vinculado a acto res estatales. Alguno s incidentes impo rtantes han
sido causados por empleados descontentos de las empresas que actuaron como
amenazas internas, como en el caso de Maroochy Water Services [797]. En este incidente,
un empleado con información privilegiada, cuyo empleo no había sido confirmado, decidió
vengarse de la empresa derramando aguas residuales, lo que provocó importantes daños
medioambientales [797].
Espionaje. Otro objetivo de los actores patrocinados por el Estado para sus ataques es el
espionaje de los activistas y adversarios destacados. La investigación ha demostrado que
los actores estatales hacen un uso destacado del spearphishing (es decir, el phishing
dirigido) para atraer a activistas y empresas para que instalen malware que luego se utiliza
para espiarlos [726,798]. En otros casos, los actores estatales infectan los sistemas
sensibles (por ejemplo, los servidores de las grandes empresas), con el objetivo de robar
información sensible [799]. La industria de la seguridad ha bautizado estos sofisticados
ataques de larga duración como Amenazas Persistentes Avanzadas.
Desinformación. En los últimos dos años han surgido pruebas de que actores
patrocinados por el Estado han participado en la difusión de desinformación en las redes
sociales [719,800,801,802]. Este
se ha hecho a través de cuentas de trolls que han actuado para polarizar el debate en línea
sobre temas delicados [803]. Aunque redes soci ales co mo Twitter han puesto a disposició n
del público datos so bre cuentas rel acionadas co n la desi nformació n patroci nada po r el Estado
[719,800], aún faltan pruebas riguro sas so bre có mo se llevan a cabo estas o peraciones en el
backend. Por ejemplo, no está claro hasta q ué punto las cuentas implicadas en la
desinformación están controladas por operadores humanos y no por bots.
Programas de afiliación
El principal objetivo de la delincuencia organizada es ganar dinero con sus operaciones.
Esto requiere no sólo una infraestructura técnica bien engrasada para asegurarse de que sus
bo tnets funcionen co rrectamente, sino, lo que es quizás más importante, un método de
trabajo para recaudar los pagos de las víctimas (o de los patrocinadores, en el caso del
DoS), al tiempo que se asegura de que todos los actores implicados en la operación
cobren.
En el mundo de la ciberdelincuenci a, esto se hace no rmal mente a través de programas de
afiliación. Un programa de afiliados es un esquema en el que la organización principal
proporciona una "marca" y todos los medios necesarios para realizar pedido s, envíos y
pagos. Los afiliados pueden unirse al pro grama, diri gir el tráfico a la plataforma y obtener una
parte de las ventas de las que son responsables. Aunque este esquema existe para las
empresas legítimas (por ejemplo, Amazon tiene un programa de afiliados), ha tenido un
éxito especial para las operaciones de los ciberdelincuentes. La principal diferencia entre
los programas de afiliación legítimos y los delictivos es que la segunda categoría de
operaciones suele tratar co n pro ductos q ue se consideran ilegales en la mayo ría de las
jurisdiccio nes (po r ejemplo, pro ducto s farmacéuticos falsificados, juegos de azar, pro ducto s de
diseño falsificados) y suelen respal dar técnicas de pro moció n delictivas (por ejemplo, el uso
de malware o la optimización de motores de búsqueda de sombrero negro).
Los programas de afiliación son populares en el mundo de la ciberdelincuencia porque
permiten que los afiliados no tengan que montar sus operaciones de principio a fin, sino que
se centran en atraer tráfico, por ejemplo, creando redes de bots y enviando spam por
correo electrónico para anunciar el mercado de afiliados. Los primeros ejemplos exitosos
de programas de afiliación para la ciberdelincuencia se centraron en el spam por correo
electrónico, y anunciaban producto s farmacéutico s falsificados [759,763,764]. Sin embargo, los
programas de afiliación están presentes en la mayoría de los tipos de ciberdelincuencia,
como por ejemplo la operación de ransomware Cryptowall. 6
Además de proporcionar la monetización necesaria para las operaciones de los
ciberdelincuentes, los programas de afiliación también actúan como facilitadores para que
los delincuentes se pongan en contacto e intercambien los servicios necesarios para qu e
la operación tenga éxito. Esto se suele hacer mediante la creación de un foro en el que los
afiliados pueden comerciar con sus servicios [723,763]. El acceso a estos foros suele
requerir el examen de los administradores de los programas de afiliación.
Vectores de infección
Como ya se ha comentado, el primer paso que necesitan los delincuentes para llevar a
cabo una actividad maliciosa es infectar a sus víctimas con malware. Para ello, los
delincuentes tienen que exponer primero a sus víctimas potenciales al contenido
malicioso, y luego hacer que lo instalen en sus máquinas (medi ante engaño o explotando
una vulnerabilidad de so ftware en su sistema). A co ntinuación, analizamos tres métodos
populares para hacer llegar el malware a los ordenadores de las víctimas. Hay que tener en
cuenta que, aunque son posibles otros vectores de infección, como el acceso físico a una
red o el pirateo de una red inalámbrica, hasta la fecha no tenemo s co nstancia de ningún
co mpro miso a gran escal a que implique estos vectores de infección, por lo que no nos
centramos en ellos.
Adjuntos maliciosos. Posiblemente el método más antiguo de distribución de malware es
adjuntar software malicioso a los correos electrónicos de spam, disfrazándolo de
contenido útil que el usuario podría querer abrir. Esta técnica de propagación fue
popularizada por los gusanos de correo electrónico a principios de la década de 2000,
como
6 https://www.secureworks.com/research/cryptowall-ransomware
co mo el gusano "I love yo u" [ 811], pero si gue siendo una forma po pular de hacer llegar el
malware a las vícti mas [723]. En la economía mercantilizada descrita anteriormente, es
frecuente que un delincuente que quiere pro pagar una i nfección de malware pague a o tro
delincuente q ue ya tiene el co ntrol de una red de bots para entregar las cargas útiles [ 716]. Para
tener éxito, el conteni do utilizado para este vecto r de infección debe convencer al usuario para
que haga clic en el archivo adjunto y lo instale. Para ello, los delincuentes suelen utilizar
técnicas de engaño para hacer que el contenido parezca interesante y atractivo, de forma
similar a las técnicas comentadas para el phishing [ 715]. Este engaño entra en el ámbito
de la ingeniería social [812].
Optimización de sombrero negro para motores de búsqueda. La optimización para
motores de búsqueda (SEO) es una práctica popular por la que los webmasters optimizan sus
contenidos para que sean mejor indexados por los motores de búsqueda y aparezcan entre l os
primeros resultados de las búsquedas relevantes. A los ciberdelincuentes también les interesa
que sus páginas web maliciosas aparezcan en los primeros puestos de los resultados de
búsqueda, ya que así aumentan las posibilidades de que las víctimas potenciales las
encuentren y hagan clic en ellas. Para ello, los delincuentes especializados ofrecen
servicios de black hatSEO. Como resultado de estos servicios, los sitios web maliciosos son
empujados hacia arriba en los rankings de los motores de búsqueda para palabras clave
que no están relacionadas con el sitio web [813]. Esto ocurre con especial frecuencia en las
proximidades de eventos populares (por ejemplo, eventos deportivos y políticos), ya que es
más probable que la gente busque palabras clave relaci onadas con el evento. Para lograr un
black hatSEO eficaz, los ciberdelincuentes comprometen sitios web vulnerables y los
utilizan para promocionar las páginas web de sus clientes (por ejemplo, añadiendo enlaces
invisibles y texto que apunta a la página web objetivo).
Ataques drive-by download. Aunque engañar a los usuarios para que instalen el malware
funciona, tener un método automatizado que no requiera la interacción humana es más
ventajoso para los ciberdelincuentes. Para ello, los ciberdelincuentes han perfeccionado los
llamados ataques drive-by download [805]. Como parte de uno de estos ataques, la víctima
visita una página web bajo el control del criminal (por ejemplo, encontrada a través de
black hatSEO). La página web contiene código JavaScri pt malicioso que intentará explotar
una vulnerabilidad en el navegado r web del usuario o en uno de sus plugins. Si tiene éxito, el
navegador web recibirá instrucciones para descargar e instalar automáticamente el
malware.
Para alojar sus scripts maliciosos, los ciberdelincuentes suelen comprometer sitios web
legítimos [814]. Una tendencia alternativa es la de comprar espacio publicitario en la web y
servir el cono malicioso como parte del anuncio, en una práctica conocida como
malvertisement [815].
Compromiso de los dispositivos conectados a Internet. A medida que más dispositivos se
conectan a la red (por ejemplo, los dispositivos de la Internet de las Cosas (IoT)), una
oportunidad adicional que se ofrece a los atacantes es la de escanear Internet en busca de
dispositi vos q ue presenten vulnerabilidades co noci das y explotarlas para co nstruir grandes
redes de bots. Un ejemplo destacado de esto fue la red de bots Mirai [682].
Infraestructura
Otro elemento importante que los delincuentes necesitan para que sus operaci ones
tengan éxito es dónde alojar su infraestructura. Esto es importante tanto para los
programas de afiliación (por ejemplo, dónde alojar los sitios web de compras fraudulentas)
como para las operaciones de las redes de bots. Las fuerzas del orden y los proveedores
Esto es posible gracias a que están ubicados en países con una legislación poco estricta
en materia de ciberdelincuencia o a que los operadores de los proveedores de servicios
sobornan activamente a las fuerzas del orden locales [759]. Los proveedores de servicios
de alojamiento a prueba de balas suelen cobrar a sus clientes más dinero del que cobraría
un proveedor de servicios de Internet normal. Por ello, se co nvierten en un foco de
actividad ilícita, ya que los usuarios malintencionados se congregan allí debido a sus
garantías, pero los usuarios legítimos no tienen ningún incentivo para utilizarlos. A pesar
de ofrecer mayores garantías a los ciberdelincuentes, los proveedores de servicios de
alojamiento a prueba de balas no son invencibles a los esfuerzos de desmantelamiento. En
particular, los proveedores de servicios de Internet necesitan estar conectados entre sí
para poder enrutar el tráfico, y un proveedor de servicios de Internet que aloje
exclusivamente contenido malicioso podría ser
desconectado por los otros proveedo res sin muchas consecuencias para el tráfico legítimo de
Internet [759].
Infraestructura de mando y control. Una red de bots requiere una infraestructura de mando y control
(C&C) a la que los ordenadores infectados puedan ser instruidos para conectarse, recibir
órdenes e informar sobre el pro greso de la o peració n maliciosa. En un principio, las redes de
bo ts utilizaban un único servi do r de mando y co ntrol, aunq ue éste suponí a un único punto de
fallo. Incluso supo niendo que el servi do r estuviera alojado en un pro veedo r de alojamiento a
prueba de balas, y q ue po r lo tanto no pudiera ser derribado, el hecho de que el servidor tuviera
una dirección IP única significaba que podía ser fácilmente incluido en la lista negra de las
empresas de seguridad.
Para mitigar este problema, los ciberdelincuentes idearon infraestructuras de C&C que son
redundantes y más difíciles de derribar. Un ejemplo es la infraestructura de botnet de
varios niveles, en la que los bots reciben instrucciones para conectarse a un servidor de
C&C intermedio, que se encarga de transmitir la informació n hacia y desde un servidor de
control central [817]. Esta infraestructura hace que la red de bots sea más resistente, ya que
incluso si algunos de los relés se caen, el C&C central sigue funcionando y se pueden añadir
relés adicionales. Además, los ordenadores infectados nunca ven la dirección IP del
servidor central de C&C, lo que hace más difícil localizar y
de la red. Una variante de este modelo son las redes de bots peer-to-peer, en las que
ordenadores infectados con una conectividad especialmente buena y direcciones IP
públicas son "elegidos" para actuar como relés [818]. Esta infraestructura aumenta la
flexibilidad que tiene el delincuente y reduce el coste de la operación, ya que el delincuente
no tiene que gastar dinero para instalar repetidores. Sin embargo, la infraestructura de la
red de bots se vuelve vulnerable a la infiltración, ya que los investigadores pueden crear
bots falsos, ser elegidos como relés y, de este modo, ser capaces repentinamente de
monitorizar y modificar el tráfico procedente del C&C central [17].
Otras técnicas utilizadas por los ciberdelincuentes para hacer que su infraestructura de
control sea más resistente son Fast Flux [706], en la que los delincuentes utilizan varios
servidores asociados a la estructura de C&C y los rotan rápidamente para dificultar los
desmantelamientos, y Domain Flux [819], en la que el nombre de dominio asociado al
servidor de C&C también se rota rápidamente. Ambos métodos son efectivos para hacer la
operación más resistente, pero también hacen que la operación sea más cara para el
criminal (es decir, tienen que comprar más servidores y nombres de dominio).
Servicios especializados
En esta secció n, descri bi mos los servicios especializados q ue ayudan a los delincuentes a
establecer sus operaciones. Además de estos servicios maliciosos dedicados, otros que
tienen un uso legítimo (por ejemplo, las VPN, Tor) también son utilizados de forma
indebida por los delincuentes, por ejemplo el alojamiento de sitios web del mercado de la
droga en la Dark Net [757,820].
Kits de explotación. En la sección anterior, vimos que los ataques drive-by download son
un arma poderosa que un ciberdelincuente puede utilizar para infectar ordenadores con
malware sin ninguna interacción humana. Sin embargo, el problema de realizar estos
ataques de forma efectiva es que requieren un exploit para una vulnerabilidad de software
en el sistema de la víctima. Dado que los ciberdelincuentes quieren infectar al mayor
número posible de víctimas, es difícil encontrar un exploit que pueda funcionar en los
sistemas de la mayoría de las víctimas potenciales. Además de este problema, los exploits
no envejecen bien, ya que los proveedores de software parchean rutinariamente las
vulnerabilidades que conocen. Por lo tanto, un ciberdelincuente que realice una operación
sostenida de drive-by download necesitaría recopilar continuamente exploits para
múltiples vulnerabilidades, una tarea que es inviable, especialmente cuando el delincuente
también tiene que gestionar otras partes del negocio (por ejemplo, la parte de
monetización). Una vez que la víctima visita la página web del kit de explotación, esta
herramienta primero toma las huellas dactilares del sistema de la víctima, buscando una
posi ble vul nerabilidad que explotar. A continuació n, entrega el exploit a la vícti ma. Si tiene
éxito, el ordenador de la víctima recibe instrucciones para descargar el malware que elija el
cliente.
Esto s pro blemas han creado una o po rtuni dad para que los delincuentes especi alizado s presten
servicios al resto de la comunidad. Esto ha llevado a la creación de kits de explotación
[807], que son herramientas que recopilan un gran número de vulnerabilidades y se venden
en el mercado negro para que las utilicen otros delincuentes. Un kit de explotación suele
ser accesible como una aplicación web. Los clientes pueden dirigir a sus víctimas hacia él
comprometiendo sitios web o utilizando anuncios maliciosos.
Servicios de pago por instalación. Infectar los ordenadores de las víctimas y mantener
una red de bots es una tarea compleja, y las investigaciones han demostrado que los
operadores de malware que intentan hacerlo sin la experiencia adecuada tienen
dificultades para obtener beneficios [821]. Para resolver este problema y satisfacer la
demanda de redes de bots estables, ha surgido un nuevo servicio delictivo denominado
servicios de pago por instalación (PPI) [808]. Los operado res de PPI son expertos en configurar
una red de bots y hacerla funcionar correctamente. Otros delincuentes pueden entonces pagar
al operador PPI para que instale el malware en los ordenadores infectados en su nombre. Los
servicios PPI suelen ofrecer un buen nivel de granularidad de elección a sus clientes, que
no sólo eligen cuántas infecciones quieren instalar, sino también su ubicación geográfica (los
bots en los países desarrollados cuestan más que las infecciones en los países en
desarrollo [808]).
Una de las ventajas de utilizar losPPIservicios es que hacen que las operaciones de los
ciberdelincuentes sean más resistentes: si su malware deja de funcionar, por ejemplo,
porque las fuerzas de seguridad han derribado los servidores de C&C que utiliza, el
delincuente puede reanudar sus operaciones pidiendo al operador delPPI que instale una
versión actualizada de su malware en las máquinas de las víctimas. Por esta razón, esta
simbiosis de malware entrePPIservicios y otras redes de bots es muy común en
el ecosistema criminal (véase, por ejemplo, la simbiosis entre Pushdo y Cutwail [723], y
Servicios humanos
En esta sección, discutiremos los servicios auxiliares que son necesarios para que una
operación cibercriminal de extremo a extremo tenga éxi to. Aunque no se suele pensar q ue
estos elementos fo rmen parte de la ciberdelincuencia, son tan importantes para el éxito de
una operación cibercriminal como los elementos más técnicos.
Servicios de resolución de CAPTCHA. En algunos casos, los ciberdelincuentes necesitan
crear cuentas en los servicios en línea para iniciar sus operaciones (por ejemplo, una
operación de spam en las redes sociales [724,725]). Sin embargo, para protegerse de la
creación automática de cuentas a gran escala, los servicios en línea utilizan ampliamente
losCAPTCHA, que son notoriamente difíciles de resolver para los programas automati zados.
Para resolver este problema al que se enfrentan los ciberdelincuentes, se han creado nuevos
servicios de resolución deCAPTCHAs [822]. Estos servicios se aprovechan de los trabajado res
del crowdsourci ng. Una vez que el cliente deCAPTCHAsolving encuentra unCAPTCHA , éste
es reenviado por el ser-
vicio a uno de estos trabajado res, que lo resolverá. De este modo, el cliente puede proc eder y
crear la cuenta en el servicio online.
En otros casos, los servicios en línea requieren que quien haya creado una cuenta en línea
reciba un código enviado por mensaje de texto a un número de teléfono y emita ese
código de vuelta al servicio. Para superar este problema, los ciberdelincuentes pueden
utilizar servicios que automatizan este tipo de interacción [722].
Cuentas falsas. Dado que la creación de cuentas falsas lleva mucho tiempo y requiere el uso de
servicios auxiliarescomo CAPTCHAsolvers, los ciberdelincuentes han empezado a especializarse en
la creación de cuentas falsas en múltiples servicios en línea y a venderlas en el mercado negro
[823]. Las cuentas en los distintos servicios pueden tener precios diferentes, dependiendo
de la facilidad para crear nuevas cuentas en la plataforma y de la agresividad con la que el
servicio suspende las cuentas sospechosas de ser falsas.
Un problema de las cuentas falsas recién adquiridas es que no tienen una "reputación"
establecida en la red social, lo que reduce su credibilidad ante las víctimas potenciales y
su alcance a la hora de difundir mensajes maliciosos. Esto se puede mitigar utilizando
servicios de "aumento de la reputación", que ayudan a crear una red de contactos para
cuentas que de otro modo no tendrían. Ejemplos de ello son los servicios que ofrecen likes
falsos en Facebook [824] y que atraen a cuentas comprometidas para que sigan a los
clientes del servicio en Twitter [825].
Generación de contenidos. En algunos casos, los ciberdelincuentes necesitan crear
contenidos falsos para enviarlos a sus víctimas, ya sea para correos electrónicos de spam,
sitios web falsos utilizados para el black hatSEO o sitios de redes sociales en línea. Para
generar este contenido, los delincuentes pueden reclutar trabajadores en foros
clandestinos [826].
Mulas de dinero. El objetivo principal de muchas operaciones de los ciberdelincuentes es
obtener dinero de sus víctimas. Sin embargo, extraer dinero de una operación no es fácil.
En el caso de los fraudes bancarios, por ejemplo, aunque los delincuentes obtengan
acceso a la cuenta bancaria de la víctima, todavía tienen que transferir dinero a cuentas
bajo su control sin ser detectados y detenidos.
Para facilitar estas o peracio nes de monetizació n, los delincuentes se apro vechan de las mulas
de dinero [827]. Se trata de personas reclutadas por los delincuentes para realizar
operaciones de blanqueo de capitales y dificultar el segui miento del dinero o btenido en una
operación ilícita po r parte de las fuerzas del orden. En un esquema de mula de dinero, el
KA Adversarial Behaviour | octubre de Página
2019 253
El conjunto de conocimientos de
ciberseguridad
www.cybok.org
delincuente recluta a una persona para que actúe como mula y le envía dinero utilizando
medios rastreables (por ejemplo, un cheque o una transferencia bancaria). A continuación,
se indica a la mula que transfiera el dinero a una cuenta bajo el control del delincuente
utilizando medios no rastreables (po r ejemplo, Western Union). También se le dice a la mula
que puede quedarse con un porcentaje de la cantidad como pago. Dado que estas
transacciones imposibles de rastrear deben realizarse en
perso na po r la mula, consti tuyen un punto débil en la operació n de mo neti zació n, lo que
significa que las fuerzas del orden podrían identificar y detener a la mula antes de que se
transfiera el dinero. De hecho, aunq ue nunca se mencio ne el dinero ro bado, la mula está
participando en el blanqueo de dinero cuando acepta este trabajo.
Una forma alternativa de monetizar las operaciones maliciosas, que se utiliza en el caso de
las tarjetas de crédito robadas, es el reenvío de mulas [775]. En estas operaciones, las
agencias criminales reclutan a usuarios no sospechosos anunciando un trabajo de "agente
de envíos". A continuació n, otro s delincuentes pueden recl utar los servicios de estas agencias
y comprar artículos caros con tarjetas de crédito robadas (por ejemplo, productos
electrónicos, artículos de diseño ), enviándolos al do micilio de la mula. La mula reci be ento nces
instrucciones de abrir los paquetes y reenviar los artículos a una dirección extranjera,
donde se venderán en el mercado negro.
Métodos de pago
Como los delincuentes necesitan que se les transfiera dinero, pueden utilizar distintos
métodos de pago, cada uno de los cuales conlleva un nivel de riesgo diferente y resulta
más o menos familiar para las víctimas.
Procesadores de tarjetas de crédito. La mayoría de las transacciones en línea se realizan
con tarjetas de crédito. Para captar el mayor número posible de clientes, los
ciberdelincuentes tienden a aceptar también los pagos con tarjeta de crédito. McCo y et al.
demo straro n que el 95% de los pro gramas de afiliación de spam entre 2007 y 2012 aceptaban
pagos con tarjeta de crédito [763], y que los servicios de DDoS que no aceptaban tarjetas
de crédito sufrían en cuanto al número de clientes que podían atraer [784]. Los
procesado res de tarjetas de crédito llevan un registro de las devol uciones de cargo s que una
empresa tiene en sus cuentas, y demasiadas quejas de los clientes suelen dar lugar a la
cancelación de las cuentas de la empresa. Por esta razó n, muchas operaciones de
ciberdelincuentes o frec en "asistencia al cliente" a sus vícti mas, ofreciéndoles reembolsos si no
están satisfechas con sus compras [809].
Un reto al que se enfrentan los ciberdelincuentes es encontrar bancos que estén
dispuestos a procesar sus pagos. Normalmente, estos bancos les cobran unas
comisiones de transacción más elevadas (10-20%) para cubrir el riesgo de tratar co n
operaciones delictivas [763]. A pesar de estas mayo res co misiones, no está garanti zado que la
operación delicti va sea segura: de fo rma si milar a lo que ocurre con los ISPs a prueba de balas,
los bancos necesitan mantener buenas relaciones con sus pares, de lo contrario serán
desconectados de la red financiera [804].
Paypal. Otro método de pago que resulta familiar a los usuarios es Paypal. Por esta razón,
Paypal suele ser aceptado por los delincuentes que ofrecen servicios ilícitos. Aunque es
fácil de usar, los delincuentes se enfrentan al pro blema de que la platafo rma está
centralizada, y Paypal puede hacer un segui miento de los pago s fraudulentos y cancelar las
cuentas que incumplan las condiciones del servicio [813].
Western Union y otros pagos "imposibles de rastrear". Otras formas de pago ofrecen más
ano ni mato a los ci berdelincuentes y so n menos arriesgadas, además de no estar tan reguladas.
Ejemplos de ello son los intercambios de dinero (por ejemplo, Western Union, Money
Gram) o los vales de prepago (Money Park). Los delincuentes suelen utilizarlos para transferir
fo ndos [ 828]. Para co brar el dinero, estos servicios sólo requieren un código único y un
documento de identificación. Sin embargo, dependiendo del país en el que se encuentre el
delincuente, el requisito de identificación puede no ser muy riguroso.
Histó ricamente han existido o tros méto dos de pago "anó ni mos" co mo Li berty Reserve, Web
Money y eGold [ 722]. Estas mo nedas virtuales permi tían a los delincuentes realizar pago s co n
facilidad, ya que se apro vechaban de las laxas regulaciones de su país de origen (po r ejemplo,
Liberty Reserve tenía su sede en Costa Rica). Después de que las fuerzas del orden to maran
medidas enérgicas contra estos métodos de pago,
Irrumpir en el servidor
Figura 7.1: Ejemplo de árbol de ataque que describe la acción de irrumpir en un servidor.
Árboles de ataque
La primera forma de modelar los ataques contra los sistemas informáticos son los árboles
de ataque [79]. Los árboles de ataque pro po rcio nan una fo rma fo rmalizada de visualizar la
seguridad de un sistema durante un ataque. En un árbol de ataq ue, el nodo raíz es el objetivo
del ataque, y sus nodos hijos son las formas en que un atacante puede lograr ese o bjetivo.
Al descender por el árbol, cada nodo se convierte en un subobjetivo necesario para el
ataque para tener éxito, y sus hijos son posibles formas de lograrlo.
La figura 7.1 representa un ejemplo de árbol de ataque. En este ejemplo, los atacantes
pretenden comprometer un servidor. Para ello, tienen dos opciones: o bien explotan una
vulnerabilidad o bien obtienen la contraseña de la cuenta raíz y se conectan por medios
normales. Para explotar una vulnerabilidad, pueden desarrollar el exploit ellos mismos o
comprar uno ya existente, quizás a través de un kit de exploits. Si los atacantes deciden
utilizar la contraseña de la cuenta para entrar en el servidor, primero tienen que obtenerla.
Para ello, pueden instalar un malware en el ordenado r del administrado r del servidor para
registrar la contraseña a medida que la introducen (es decir, un keylogger), adivinar la
contraseña utilizando una lista de las más utilizadas o realizar un ataque de fuerza bruta, y
finalmente extorsionar al propietario. El gráfico de ataque podría refinarse aún más con las
posibles formas en que el atacante podría realizar estas acciones (por ejemplo, extorsionar
la contraseña chantajeando al propietario, secuestrándolo, etc.).
Los árboles de ataque permiten dos tipos de nodos, los nodos "o" y los nodos "y". Los
nodos "o" representan las diferentes fo rmas en que los atacantes pueden alcanzar un objetivo
(es decir, los hijos de cualq uier no do de la Fi gura 7.1). Los no dos "y", por su parte, representan
los diferentes pasos que deben completarse para alcanzar el objetivo. Una vez creado el
árbol, los analistas de seguridad pueden anotarlo para evaluar el riesgo del sistema ante el
ataq ue, po r ejemplo, marcando las distintas estrategias de ataq ue co mo factibles o inviables,
asignándoles puntuaciones de probabilidad o estimando el coste para un atacante de
realizar una determinada acción. A continuación, las puntuaciones pueden propagarse a lo
largo del árbol siguiendo reglas específicas [79] para evaluar la viabilidad y la probabilidad
global del ataque.
Otro modelo relacionado con los árboles de ataque son los gráficos de ataque [837].
Mientras que los árboles de ataque se limitan a objetivos únicos, los gráficos de ataque
permiten modelar actores, vectores, vulnerabilidades y activos de ataque. Otro modelo útil
para entender los ataques a la red son las redes de ataque [838].
Cadenas de matanza
Otra herramienta útil que puede utilizarse para modelar y comprender los ataques son las
cadenas de muerte. En el contexto militar, una kill chain es un modelo que identifica las
distintas fases que intervienen en un at- tack. 7 En el mundo de la informática, Hutchins et
al. desarrollaron una Cyber Kill Chain [831] que modela los diferentes pasos implicados en
una operación maliciosa realizada contra sistemas informáticos. En su modelo, Hutchins
et al. identifican siete fases. El modelo está diseñado para operaciones en las q ue el
atacante i dentifica, co mpro mete y posterio rmente explo ta un sistema info rmático y, por lo
tanto, no todas las fases se aplican a todos los comportamientos adversos discutidos en
este documento. Las siete fases son las siguientes:
1. Reconocimiento, cuando los atacantes identifican posibles objetivos. Esta fase
puede consistir en que un atacante escanee l a red en busca de servidores vulnerables o
que un spammer co mpre una lista de direcciones de correo electrónico de víctimas en
el mercado negro.
2. Armado, cuando un atacante prepara la carga útil del ataque para su uso. Esto podría
consistir en el desarrollo de un exploit de software contra una vulnerabilidad
recientemente identificada o en la elaboración de un correo electrónico de fraude por
adelantado.
3. Entrega, cuando el atacante transmite la carga útil a su víctima. Esto puede consistir
4. Explotación, cuando se apro vecha la vulnerabilidad del objetivo. Esta fase puede co nsistir
en un ataque dri ve by download, o en que la víctima sea inducida a hacer clic en un
archivo adjunto malicioso mediante engaño.
5. Instalación, cuando el software malicioso se descarga, permi tiendo así al atacante
beneficiarse de la máq ui na de la vícti ma. E n su artículo, Hutchins et al. co nside raron un
atacante q ue quería mantener un acceso co nstante al ordenado r de la vícti ma, utilizando
un tipo de malware conocido como troyano de acceso remoto (RAT) [839].
6. Mando y control, cuando el atacante establece una infraestructura de C&C y un
protocolo de comunicación para controlar el ordenador infectado.
7. Acciones sobre los objetivos, cuando la infección se monetiza. Esto podría suponer
el robo de información sensible del ordenador de la víctima, el cifrado de los datos de
la víctima con ran- somware, el minado de criptomonedas, etc.
Para cada uno de los siete pasos, Hutchins et al. identificaron estrategias para interrumpir
las operaciones maliciosas, siguiendo cinco posi bles o bjetivos (Detectar, Negar, Interrumpi r,
Degradar, Engañar). Algunos ejemplo s de estas técnicas son la aplicación de parches a las
vulnerabilidades, la instalación de sistemas de detección de intrusos en la red o el engaño
al atacante mediante la instalación de honeypots [840].
Otros investigado res han propuesto cadenas de muerte similares a lo largo de los años. Un
ejemplo es el propuesto por Gu et al. para model ar las infecciones de botnets [688]. En este
modelo, los autores identifican cinco fases en las que se separa una infección: un escaneo
de entrada (similar a la fase uno del modelo descrito anteriormente), una infección de
entrada (similar a la fase cuatro del modelo anterior), una descarga de "huevos" (análoga a
la fase cinco), una fase de C&C (igual que la fase seis) y un escaneo de salida. En el
momento de desarrollar este modelo, los botnets actuaban principalmente como gusanos
informáticos [841], buscando ordenadores vulnerables, infectándolos y utilizándolos para
seguir propagándose. Aunque este modelo describía correctamente las primeras redes de
bots, dejó de ajustarse a la realidad cuando los creadores de bots empezaron a utilizar
otros métodos para instalar su malware y monetizar sus infecciones. Hoy en día, los
gusanos están casi extinguidos, con la excepción del infame malware WannaCry [842]. Este
ejemplo demuestra que es difícil desarrollar modelos de comportamiento de los atacantes
que sean resistentes a los cambios en su modus operandi.
Criminología ambiental
Mientras que la ciberdelincuencia es una amenaza relativamente nueva, la delincuencia
física ha sido estudiada por los académicos durante décadas. Por lo tanto, es interesante
investigar si este cuerpo de conocimientos establecido puede aplicarse para comprender
mejor y mitigar la amenaza emergente de la delincuencia en línea. La criminología
ambiental, en particular, es una rama de la criminología que se centra en los patrones
delictivos en relación con el espacio donde se cometen y con las actividades de los actores
implicado s (vícti mas, auto res y tuto res) [832]. Un reto particular que surge cuando intentamos
aplicar la teoría de la criminología ambiental a la ciberdelincuencia es que el c oncepto de
"lugar" en Internet no está tan bien definido como en el mundo real. A continuación,
repasaremos brevemente los conceptos clave de la criminología ambiental y ofreceremos
algunos ejemplos de cómo podrían aplicarse para mitigar los delitos en Internet.
Teoría de la actividad rutinaria. La teoría de la actividad ruti naria es un co ncepto co múnmente
utilizado en la criminología ambiental, que postula que la ocurrencia de un delito está
mayormente influenciada por una oportunidad inmediata para cometer un delito [843]. En
concreto, la teoría de la actividad rutinaria afirma que para que se produzca un delito es
necesario que confluyan tres componentes (i) un delincuente motivado, (ii) un objetivo
adecuado y (iii) la ausencia de un guardián capaz.
Estos conceptos podrían ser útiles para modelar mejor la actividad maliciosa en línea. Por
ejemplo, las investigaciones han demostrado que la actividad de las redes de bots alcanza
un pico durante el día, cuando la mayoría de los ordenadores vulnerables están
encendidos y las víctimas los utilizan, mientras que desciende significativamente durante
la noche [716]. En términos de la teoría de la actividad rutinaria, esto puede traducirse en el
hecho de que cuando hay más víctimas potenciales en línea, aumenta la oportunidad de
que los delincuentes las infecten, lo que se traduce en un aumento de la actividad de las
redes de bots.
Teoría de la elección racional. La teoría de la elección racional pretende ofrecer un modelo
de por qué los delincuentes toman decisiones racionales para cometer delitos [844]. En el
caso de la ciberdelincuencia, este modelo podría ser útil para entender la reacción de los
delincuentes a la mitigación como una elección racional, y ayudar a modelar los
problemas de aplicación introducidos por la prevención situacional del delito, como el
desplazamiento. Por ejemplo, cuando un proveedor de alojamiento a prueba de balas es
derribado por las fuerzas del orden, ¿qué factores intervienen en la elección del siguient e
proveedor por parte del delincuente?
Teoría de los patrones de la delincuencia. Otra teo ría, deno mi nada teoría de los patrones de la
delincuencia, permi te a los investi gadores identificar varios lugares que están relacionados
con la delincuencia. Estos lugares son susceptibles de atraer a losdelincuentes (atractores
de la delincuencia), generan la delincuencia por la disponibilidad de oportunidades para
delinquir (generadores de la delincuencia) y permiten la delincuencia por la ausencia de
gestores del lugar (facilitadores de la delincuencia).
Aunq ue la defi nición de lugares en el ciberespacio no es tan sencilla como en el espacio físico,
pensar en términos de teoría de patrones puede ayudar a identificar los lugares que son
puntos calientes para la ciberdelincuencia, ya sean objetivos especialmente atractivos,
como empresas que almacenan datos sensibles (atracto res), sistemas mal configurados
que son más fáciles de co mpro meter (generado res) o servicios en línea co n po ca hi giene q ue
no reaccionan rápi damente al spam/malware publicado en sus platafo rmas (facilitado res). La
identificació n de estos punto s calientes puede servir para diseñar medidas adecuadas contra
la actividad maliciosa (por ejemplo, a quién dirigir las campañas de educación).
Prevención situacional de la delincuencia. La prevención situacional de la delincuencia
comprende un conjunto de teorías y técnicas cuyo objetivo es reducir la delincuenci a
mediante la reducción de las opo rtunidades de delinq uir [ 845]. Las ideas que sustentan la
prevención situacional del delito se basan en tres conceptos principales, que también se
aplican a la ciberdelincuencia:
• Es mucho más probable que la delincuencia se produzca en determinados lugares
(hotspots). Esta idea se aplica al contexto de la ciberdelincuencia. Como hemos
visto, los delincuentes tienden a concentrar sus servi do res maliciosos en pro veedo res
de servicios de alojami ento a prueba de balas, q ue les pro po rcio nan garantías de que sus
operaciones pueden continuar durante largos períodos de tiempo. En el extremo
opuesto, en lo que respecta a las víctimas, los delincuentes tienden a dirigirse a
ordenadores con configuraciones de software vulnerables, que también constituyen
puntos calientes en esta aceptación.
• La delincuencia se co ncentra en determi nados "pro ductos calientes". Esto también se
aplica a la ciberdelincuenci a, ya q ue los delincuentes se centran en las operaciones
que producen más beneficios (es decir, en el momento de escribir este artículo, el
ransomware).
Atribución de ataques
Cuando se habla de actividades maliciosas, la atribución es importante. A las fuerzas del
orden les interesa saber qué delincuentes están detrás de una determinada operación y, en
particular, atribuir a los mismos actores operaciones cibercriminales aparentemente no
relacionadas podría ayudar a construir un caso legal contra ellos. Del mismo modo, los
gobiernos están interesados en identificar a los culpables de los ataq ues que reci ben. E n
particular, les interesa saber qué estados nación (es decir, países) están detrás de estos
ataques.
La atribución, sin embargo, es un tema controvertido en el ciberespacio. Como ya hemos
comentado, el concepto de "lugar" es relativo para los ataques informáticos, y los
atacantes pueden dirigir fácilmente sus conexiones de red a través de proxies o máquinas
comprometidas en terceros países, ocultando así su ubicación real. Es razo nable suponer
que los mismos actores seguirán un modus operandi similar en sus ataq ues y, en particul ar,
utilizarán los mismos exploits de so ftware para entrar en los sistemas de sus vícti mas. Estos
exploits y artefacto s de có di go po drían utilizarse para i dentificar a los grupo s patroci nados po r
el Estado o a otro s atacantes (para m ás detalles, véase el área de conoci miento de malware y
tecnología de ataq ue (sección 6.5. 2)). Lamentablemente, este enfoq ue tiene dos
inconvenientes principales. El
CONCLUSIÓN
En este documento, presentamos una visión general de los comportamientos adversos
que existen en Internet en el momento de redactar este documento. Hemos estudiado
varios tipos de operaciones maliciosas, en función de las motivaciones y las capacidades
del atacante, y hemos analizado los componentes necesarios para poner en marcha
operaciones maliciosas con éxito. Por último, describimos una serie de téc nicas de
modelización procedentes de diversos campos (informática, criminología, estudios
bélicos) que pueden ayudar a los investi gado res y pro fesionales a mo delizar mejor estas
operaciones. Argumentamos q ue co ntar co n buenos modelos es de importancia
fundamental para desarrollar mitigaciones eficaces que sean difíciles de eludir.
8 https://en.wikipedia.org/wiki/Vault_7
SeccionesCitas
1 Una caracterización de los adversarios
Delitos que dependen del ciberespacio y del ciberespacio [711]
Infractores interpersonales [712,736,739,741,742]
Delincuencia organizada por medios informáticos [713,714,751]
Delincuentes organizados dependientes del ciberespacio [15,16,17,715,716,783,784]
Hacktivistas [717,726,791]
Actores estatales [718,719,798,801]
2 Los elementos de una operación
maliciosa Programas de afiliados [764,804]
Vectores de infección [723,805]
Infraestructura [706,806,818]
Servicios especializados [807,808]
Servicios humanos [775,822,823,827]
Métodos de pago [763,809,810]
3 modelos para entender los árboles de ataque de
las operaciones maliciosas [79]
Criminología ambiental [832,833,834]
Modelización de la economía sumergida como flujo de [722]
capital
Atribución de ataques [835]