¿Qué tipos de cibercriminales existen?
Desde hace ya unas semanas que en la plataforma Netflix se está viendo una serie denominada “Día Cero” que trata del ciberataque masivo a un país (en este caso la víctima es Estados Unidos), y de cómo se responde ante este tipo de conflicto, tan actual y de probable ocurrencia (de más está decir que ya existen casos registrados).
En nuestra anterior columna desarrollamos el tema de ataques de día cero. Ahora trataremos otro fenómeno: el de la “atribución”; proceso mediante el cual analistas intentan identificar el origen de un ciberataque o, al menos, identificar al tipo de actor de amenaza (quién lo hizo).
En la serie concretamente, de forma certera y casi inmediata a la ocurrencia del ciberataque masivo, se menciona como actor de amenaza la muy posible participación de un “Actor Estado/Nación”
Ahora bien: ¿Qué significa esto? Trataremos de responderlo
El mundo de la cibercriminalidad es amplio, muy amplio. Por lo cual clasificarlo, agruparlo, es una tarea necesaria y nada menor. ¿Por qué? Resulta fundamental porque en la medida que se lo haga de forma correcta, más personalizada/mejor será mi estrategia defensiva. También es algo extremadamente complejo, debido a un factor existente en la amenaza virtual que no se da en el mundo de la criminalidad física: el anonimato.
Si alguien dispara un arma, lo puedo ver, o en el peor de los casos podré reconstruir el escenario para poder dar con el mismo (¿CSI?). Ahora, en el ciberespacio, no se visualiza el disparo, lo que se visualiza es el impacto. Y ese impacto pudo haber sido generado desde infinitas fuentes.
Las mismas herramientas que protegen nuestra intimidad al navegar en internet, son las que cubren el rastro de una ciberamenaza.
Por lo cual desde ya le aviso: olvídese de saber con certeza quién fue el que lo atacó.
Su identificación, por llamarlo de alguna manera, se efectúa esencialmente clasificándola en base a sus intenciones o a la auto atribución (“fui yo”), corriendo siempre el riesgo de ataques de falsa bandera
¿En base a qué factores se hace esta posible identificación? ¿Al poder de fuego de la ciberamenaza? ¿A su origen? ¿A sus técnicas?
Vayamos de lo más inocente a lo más letal.
Script Kiddie (“niño que programa”) se refiere al nivel más bajo en la escala criminal (si puede identificarse como tal). Trata de una persona recién iniciada que prueba herramientas obtenidas de fuentes abiertas (accesibles a cualquiera).
Estos “niños”, luego de varias pruebas, un día despiertan en el hecho de que pueden obtener algún redito de esta práctica (tanto sea dinero o el simple reconocimiento en la comunidad) y es ahí donde se presenta el primer anillo de evolución: El Lobo Solitario, individuos operando en la cibercriminalidad que ya generan algún tipo de daño (limitado) accionando de forma independiente.
Estos Lobos Solitarios, identificados en el bajo mundo por sus apodos (“aka”) comienzan a exponer sus credenciales (medallas) en foros de la dark web y, como lo haría cualquier persona en busca de trabajo, esperan su oportunidad de ingresar a la Champions League de la Cibercriminalidad: unirse a grupos ya organizados, las grandes ligas.
Ahora: ¿Cuáles es la intención de este Lobo solitario?
¿Es únicamente el hacer prevalecer una idea y/o causar algún daño de imagen, y no el beneficio personal? Bien, entonces podemos catalogarlos de hacktivistas. Pero esto es la minoría…
Seguramente estos lobos busquen el mayor de los tesoros: el rédito económico. En este caso estos actores son acobijados en Sindicatos Cibercriminales: entidades con fines delictivos, extremadamente organizadas, como cualquier empresa que conocemos (o mejor aún que estas). Las únicas diferencias que podríamos encontrar con un ambiente de trabajo normal es que aquí los “empleados” muy seguramente no se conozcan entre sí, y su contacto con la organización se limite únicamente a un “supervisor” que se encarga del vínculo entre criminal y el sindicato cibercriminal.
Es sabido también que, replicando lo que sucede en organizaciones criminales clásicas (del mundo físico, como carteles o mafias) los actores criminales si bien son conscientes de que podrían estar participando de una actividad ilícita (en el mejor de los casos), desconocen la verdadera identidad de la organización la cual integran. Cuanto menos se sepa mejor.
Ahora bien, hagamos una pausa aquí.
Desde hace un tiempo, estas organizaciones cibercriminales, han encontrado una ventaja estratégica en un panorama como el actual, en el cual los conflictos armados abundan: pueden operar desde estas naciones atacando a sus enemigos. De esta forma, en un contrato seguramente implícito entre nación y organización, se transforman en un brazo armado del estado, matando dos pájaros de un tiro: se logra cumplir con el objetivo mayor de generar ganancias financieras provenientes de actividad cibercriminal y paralelamente lograr el amparo del estado desde el cual operan (oficiando como ciber-mercenario)
Y es aquí donde se gesta la mayor de las amenazas para las naciones, los Actores Estados/Nación: organizaciones cibercriminales que, independientemente de su cometido (sea financiero u otro), actúan alineadas a intereses geopolíticos.
Hoy, los Actores Estados/Nación son el más temido flagelo en el ciberespacio, y sus técnicas difieren en cuanto a su naturaleza.
Las más notables de estas son las de cibercriminalidad pura (financiera o hackivista) o la Amenaza Persistente Avanzada (APT).
Así como los sindicatos cibercriminales buscan la acción rápida (golpear rápidamente con resultados inmediatos), los APT buscan todo lo contrario: permanecer en las sombras por un período prolongado, implementando técnicas avanzadas de sigilo y persistencia, manteniéndose en el sistema afectado por un largo período de tiempo sin ser detectado, con el único objetivo de escuchar y robar información.
Y listo, si llego hasta acá y comprendió todo, ya puede considerarse un señor analista de inteligencia de ciberamenazas. Ahora solo le resta ver alguna noticia de algún robo de información a agencias gubernamentales, darse vuelta y gritar convencido a los cuatro vientos: “Uhhh, muy seguramente esto sea obra de un APT”. De nada.