El «cibercrimen», de rebajas

Madrid- ¿Qué da de sí un minuto en internet? Seis millones de visitas a Facebook, 204 millones de mails enviados, 100.000 nuevos «tuits»... Sin embargo, también hay lugar para actividades menos inocentes. Cada 60 segundos, nacen 173 clases de malware –códigos maliciosos– con el objetivo de infectar ordenadores; 20 nuevos sitios son infectados, dos decenas de personas sufren un robo de identidad... Sólo en un día se crean 250.000 nuevos tipos de «malware» que afectan a 30.000 páginas web a diario. Pero lo más aterrador de esta amenaza es que el «arsenal» de virus y «ciberarmas» está al alcance de un «click». Cualquiera con un mínimo conocimiento en tecnología –y unos cuantos cientos de euros para invertir– puede sabotear y chantajear a usuarios y empresas. Se trata del mercado negro del «cibercrimen», del que, para más inri, no es difícil salir impune. En este «zoco» virtual pueden hallarse al menos 40 sitios que ofrecen «packs» para infectar ordenadores

Así se puso de manifiesto en un congreso celebrado en Atenas por Sophos, compañía norteamericana especializada en la seguridad informática de las empresas. Como señala James Lyne, director de Tecnología Estratégica de la compañía, este mercado negro «está creciendo de forma impresionante. Hemos hallado varios sitios que compiten entre ellos, ofreciendo diferentes "productos"y precios. Y en torno a este mercado, se ha montado una verdadera economía. Si echamos la vista atrás apenas dos años, vemos cada vez más códigos maliciosos distribuidos en estos "packs"». En apenas dos horas, Lyne pudo adquirir con su tarjeta de crédito hasta 40 «kits» de «ciberdelincuencia» con una tarjeta de crédito. ¿Y los precios? «Comprar» un «ciberataque» sale rentable: entre 500 y 7.000 euros. Sobre todo teniendo en cuenta que este mercado mueve cientos de miles de millones de dólares en un año.

Ataques dirigidos

Lyne afirma que, actualmente, el Blackhole Exploit Kit es el «pack estrella» para los cibercriminales, siendo «responsable de un tercio de la distribución de malware», aunque sin olvidar otros sitios de la «competencia» como «Crimepack». Ahora bien: ¿qué se puede adquirir? Si el año pasado eran los falsos antivirus que terminaban robando datos bancarios, de la tarjeta de crédito, etc., a día de hoy, el producto más demandado es el «ransonware», un virus «troyano» que secuestra literalmente el ordenador del usuario: sólo podrá volver a utilizarlo bajo fianza. ¿Y si no pagas? Los criminales aseguran que te denunciarán ante las autoridades por posesión de pornografía infantil. En algunos casos pueden llegar a exigir hasta 3.000 euros.

La otra gran amenaza se centra en los «ataques dirigidos». Aquí no necesariamente hablamos de bandas organizadas. En Sophos han comprobado como algunas compañías contratan un servicio para «tumbar» un sitio web de la competencia por un tiempo limitado. En este caso, la tarifa sería de 44 euros a la hora. Por supuesto, en estos «packs» también ofrecen la posibilidad de contratar una «botnet»: el control de miles y miles de ordenadores que, sin que sus usuarios lo sepan, pasan a ser «zombis» que, a su vez, van «contagiando» con más «malware» a otros equipos.

El grado de profesionalidad de estos «packs» llega hasta el punto de contar con un «servicio técnico», garantía a los 30 días, un aseguramiento de calidad... «Pagas por adelantado y pruebas el código maliciosos para saber que funciona correctamente», dice Lyne.

Pero, ¿quién está detrás de estos «packs»? Ahí está el desafío. Las personas que elaboran el software malicioso pueden estar integrados en la organización criminal o ser autónomos. El rastreo de estos servidores ha llevado a países como China, Rusia, Indonesia, Corea... Sin embargo, eso no significa que los responsables sean chinos, rusos, indonesios o coreanos. «Se suele encontrar a aquellos que compran los "kits", pero no a los cabecillas. Es muy difícil. Los "cibercriminales"se mueven en segundos, saltan a nuevos sistemas, cambian de dirección IP al pasar a otro país...», dice Lyne. Dicho de otro modo: es muy difícil «pillarlos». «Piensa en un hotel con mil puertas. Si somos los "buenos", tenemos que defender cada puerta a diario; si somos los "malos", nos basta con derribar una puerta para obtener nuestros propósitos», asegura Lyne.

Por eso, Lyne cree que se abusa del término «ciberguerra» hoy en día, cuando la verdadera amenaza está sobre todo a pie de calle. «Se le está dando demasiado bombo, cuando el objetivo es fomentar las buenas prácticas entre la gente. El 99% del "malware"se podría evitar con unos simples patrones de seguridad: buenos "passwords", buenos antivirus...».

«Es difícil situarse un paso por delante de los "cibercriminales". Podemos ser proactivos, tener una estrategia ofensiva, intentar averiguar qué va a ser lo siguiente... Vemos patrones y podemos protegernos. Pero el 0% de riesgo es imposible. Somos humanos, no máquinas», asegura Mike Valentine, vicepresidente de ventas internacionales de Sophos.

Valentine señala que las pequeñas y medianas empresas están siendo especialmente castigadas por estos ciberataques. Por ello, lanza dos consejos: «Primero, nunca hay que pensar que un negocio es demasiado pequeño para no ser un objetivo; segundo, protegerse todo lo que uno pueda. Detrás hay una red muy sofisticada de personas que tratan de "hackear"nuestros sistemas», dice. Dentro de la seguridad informática, la clave reside en la simplicidad. «Cuanto más simples sean estas herramientas, más correctamente podrán ser usadas», asegura.

Hasta 3 años de cárcel por dañar un equipo

La reforma penal de 2010 provocó que la legislación española se pusiera al día en lo que respecta a los «ciberataques». Así, destacan los dos puntos del artículo 264, que recoge las penas por dañar a los sistemas informáticos. El primer punto castiga con penas de prisión de 6 meses a dos años a todo aquel que «borre, dañe, deteriore, alterase o hiciese inaccesible datos, programas informáticos o documentos electrónicos ajenos». Más severo es el punto segundo, que dicta prisión de seis meses a tres años para aquellos «cibercriminales» que «obstaculicen o interrumpan» un sistema. Lo que se conoce en el universo informático como ataque DdoS (degeneración de servicio). Por supuesto, las leyes recogen también las estafas informáticas. Se produjo un añadido en el artículo 248.2 para considerar «reo de estafa» a aquel que «fabrique, introduzca, posea o facilite programas informáticos» con este fin. Por eso, y como cualquier delito de estafa tipificado en el Código Penal, se penaliza con penas de prisión de seis meses a tres años si la cuantía estafada supera los 400 euros.

España, contra los PC «zombis»

Dentro de la lucha contra los «crimepacks» en particular –en la imagen, una web de venta de «kits» para infectar ordenadores– como del «cibercrimen» en general, nuestro país va a jugar un papel esencial. El Instituto Nacional de Tecnologías de la Comunicación (Inteco) lidera desde este año un proyecto para luchar contra los ordenadores «zombis», controlados a distancia por los «hackers». Hay quien dice que puede haber 100 millones de equipos infectados en todo el mundo. «La finalidad es aumentar la ciberseguridad en Europa disminuyendo el nivel de las ''botnets'' y su impacto. La Comisión Europea financia parcialmente el proyecto e Inteco desarrollará nuevas herramientas para la lucha contra ''botnets''», afirman desde el Instituto. Así, estas herramientras se pondrán a disposición de ciudadanos, pymes, administraciones públicas, proveedores de servicios de internet y operadores.