La ciberamenaza al alcance de todos

 

El que piense que para convertirse en hacker hace falta tener profundos conocimientos de informática está equivocado. Hoy en día, todo internauta lo suficientemente inclinado hacia el lado del mal puede llevar a cabo una acción de ransomware –encriptar la información de los sistemas de la víctima y exigir un rescate- o poner en pie de guerra a un ejército de ordenadores zombis y atacar un objetivo, con las nociones más básicas sobre el uso de tecnología de redes. Y todo gracias a la tendencia Malware-as-a-Service.

Como su propio nombre indica, el “malware como servicio” o Malware-as-a-Service (MaaS) implica poner en manos de usuarios que carecen de destrezas digitales las herramientas y las instrucciones para que puedan poner en marcha ciberataques con éxito. Se trata de kits fáciles de usar que, a cambio de una cantidad de dinero que le pagas al delincuente que lo ha creado, te permiten crear tus propias ciberamenazas profesionales.

El MaaS no es sino una versión maliciosa del modelo de negocio “como servicio” (as-a-service), que se ha convertido en una forma de disponer de unos recursos digitales sin la necesidad de realizar inversiones elevadas. Básicamente, consiste en externalizar y contratar a terceros necesidades informáticas que antiguamente se llevaban en el seno de la empresa. Las ventajas que aporta este enfoque es que el cliente siempre dispone del software o los sistemas actualizados –sin tener que preocuparse de adquirir nuevas versiones-, y con la posibilidad de escalar cuando haga falta. De esta forma, aparecen conceptos como IaaS (infraestructuras), PaaS (plataformas) y SaaS (software), que suponen distintos niveles de prestación de los servicios. A pesar de que se trata de un planteamiento muy centrado en el mundo de la informática corporativa, el término ha dado el salto a otros sectores, como, por ejemplo, la movilidad urbana (Mobility-as-a-Service), en donde distintas soluciones de transporte urbano están integradas en una sola plataforma, a través de la cual los usuarios pueden determinar la mejor ruta al mejor precio, eligiendo distintas opciones entre distintos medios que unen dos puntos.

Este formato de alquiler de malware bajo suscripción ha democratizado el uso de botnets, es decir, robots informáticos alojados en ordenadores infectados que son utilizados para llevar a cabo ciberataques, y ha contribuido a extender su número. Tradicionalmente, los criminales tenían que desarrollar una red de bots, primero, escribiendo el código malicioso, y después, intentando que se extendiese lo más posible infectando el mayor número de ordenadores. Era algo complicado y trabajoso, y solamente los ciberdelincuentes especialistas podían llevar a cabo este tipo de acciones delictivas. Hoy en día, el orquestar un ataque de denegación de servicio distribuido (DDoS) –consiste en obligar a miles de bots a efectuar simultáneamente solicitudes a un servidor con el fin de inhabilitarlo- es tan fácil y accesible como desplegar una campaña de publicidad en internet a través de Google o Facebook.

Un caso destacado de MaaS fue el troyano ZeuS llegó a infectar más de tres millones de equipos en Estados Unidos en el año 2009. El virus se introducía en los dispositivos a través de descargas voluntarias, aunque inintencionadas, mediante pop-ups o archivos anexados a correos electrónicos, y abría una puerta trasera, que era utilizada más tarde por el hacker para acceder al control total sobre el ordenador infectado. La administración de los equipos zombi se llevaba a cabo vía web por medio de una interfaz intuitiva y sencilla de manejar. Aunque la red que explotaba criminalmente ZeuS fue desmantelada en 2010, el software sigue circulando por la red y es utilizado y actualizado regularmente por los ciberdelincuentes.

Otro conocido ejemplo es la red de bots Mirai, un software desarrollado en 2016 por un estudiante para hacer dinero a través del juego Minecraft, pero que, tras publicar el código su autor fue utilizado para llevar a cabo ataques DDoS contra los servidores de Microsoft que albergan los juegos propiedad de la compañía.

Una de las principales plataformas de distribución de malware como servicio es Emotet, desde donde se lanzan ataques de ransomware o troyanos como TrickBot y QBot. Durante la crisis de la COVID-19 han partido desde allí numerosas campañas de spam. Emotet –considerado como uno de los troyanos más peligrosos del mundo- roba credenciales de acceso a cuentas de correo en los ordenadores infectados, que luego utiliza para acciones de envíos masivos de correos lanzadas desde robots.

Emotet hace además de nodriza para otro malware, facilitando su difusión y la infección por su código maligno. Es el caso TrickBot, que ha evolucionado de ser un conocido troyano especializado en hacer daño en el sector financiero a convertirse en una pieza de malware-as-a-service, que ahora es utilizado por numerosos agentes. Como está articulado en distintos módulos, puede ser utilizado de distintas maneras en función de las necesidades del cliente, desde robar datos financieros y credenciales personales, hasta lanzar ataques de ransomware. Las campañas de TrickBot se suelen basar en el envío de correos electrónicos maliciosos que contienen anexos infecciosos de programas de Microsoft Office que, al ser abiertos por la víctima, instalan la carga útil del virus en el dispositivo en cuestión. Este malware ataca a empresas y particulares, especialmente en Estados Unidos y Europa, y se calcula que puede haber llegado a infectar hasta un millón de ordenadores desde su descubrimiento.