Advertencia sobre el contenido: debido a la naturaleza de algunas de las actividades que hemos descubierto, esta serie de artículos contiene contenido que puede herir la sensibilidad de algunos lectores. Esto incluye lenguaje soez y referencias a drogas, adicción a las drogas, juego, pornografía, violencia, incendios provocados y trabajo sexual. Estas referencias son solo textuales y no incluyen imágenes ni vídeos.
Tras explorar los intereses comerciales «legítimos» y no tan legítimos que los actores maliciosos debaten en foros criminales, llegamos al capítulo final de nuestra serie. Aquí analizaremos las implicaciones y oportunidades que presentan estas actividades.
Como hemos señalado a lo largo de esta serie, la diversificación de los actores maliciosos hacia otras industrias y actividades delictivas puede tener consecuencias preocupantes. Puede dificultar la interrupción de sus actividades, especialmente cuando se trata de incautar activos, y puede complicar las investigaciones, es decir, «seguir el rastro del dinero». Además, puede aumentar la riqueza, el poder y la influencia de los actores maliciosos, lo que a su vez puede complicar las investigaciones. Y significa que sus delitos pueden afectar a más víctimas, directa o indirectamente.
En el sector de la ciberseguridad, a veces tratamos la ciberdelincuencia como si fuera un silo, es decir, como una actividad distinta, especializada y aislada, limitada al mundo virtual de las redes y los hosts. No es descabellado que nuestros esfuerzos se centren en la «cadena de destrucción cibernética», la inteligencia sobre amenazas convencional y el refuerzo de las protecciones, la concienciación sobre la seguridad y otras medidas preventivas. Y tras los ataques, nuestra atención suele centrarse en las víctimas, ya sean organizaciones que se enfrentan a incidentes o personas que han sido estafadas.
Mientras tanto, los autores vuelven a sumirse en las sombras y, por lo general, no pensamos en lo que hacen una vez finalizado el ataque ni en el destino del dinero. Esta cuestión no ha sido prioritaria para los investigadores de seguridad.
Pero tal vez deberíamos dedicar más tiempo a investigar cómo utilizan e invierten sus ganancias los ciberdelincuentes. Hacerlo puede dar lugar a nuevas oportunidades de investigación e inteligencia en torno a la atribución, la motivación, las conexiones y mucho más.
Además, algunas de las actividades que hemos descubierto en esta serie sugieren claramente que no debemos poner a los actores maliciosos en un pedestal. No son solo ciberdelincuentes, son delincuentes, y punto. No deben ser glorificados, celebrados ni retratados como nada que no sean: personas que ganan dinero a costa de las víctimas. Nuestra investigación sugiere que al menos algunos actores maliciosos participan en actividades explotadoras, dañinas e ilegales, tanto en línea como en el mundo real, de las que se benefician activamente.
La recopilación proactiva de información y la investigación en los límites entre las ganancias legítimas e ilegítimas, y entre la ciberdelincuencia y la delincuencia/los negocios en el mundo real, podrían ayudar a golpear a los actores maliciosos donde realmente les duele: en su bolsillo. Aunque no pretendemos afirmar que esto sea fácil de lograr, la información que hemos compartido en esta serie podría ser un primer paso valioso para sentar las bases de futuros esfuerzos e investigaciones en esta línea.
Atribución y vías de investigación
Como se muestra en nuestros artículos anteriores, los planes y sistemas que los actores maliciosos describen en detalle en los foros criminales, a veces acompañados de capturas de pantalla, fotografías e información biográfica específica, pueden proporcionar oportunidades de investigación y atribución que hasta ahora no se habían explorado lo suficiente. Estas pueden ser especialmente útiles en los foros criminales, donde los participantes suelen ser anónimos.
Por ejemplo, durante nuestra investigación, observamos que los actores maliciosos revelaban la siguiente información en sus discusiones sobre «negocios legales»:
-
Referencias a los lugares (países/regiones/ciudades) en los que residen y/o operan.
-
Otra información biográfica, como la edad, el estado civil y si tienen hijos.
-
Capturas de pantalla sin censurar o parcialmente censuradas que revelan fotos de perfil, nombres, direcciones y números de referencia.
-
Fotografías de lugares que podrían identificarse mediante una investigación de fuentes abiertas.
-
Referencias a cantidades específicas de dinero y compras, a veces acompañadas de fechas y horas.
-
Referencias a condenas anteriores, que podrían utilizarse para una posible identificación
-
Discusiones detalladas sobre planes y actividades legales o ilegales
-
Detalles del asesoramiento recibido de abogados, contables y asociados.
