Cibercrimen como servicio, el delito digital se profesionaliza

«Lo que tiene de particular el concepto de CaaS es el hecho de utilizar conceptos de negocio dentro del mundo del crimen», dice Andrés de Benito, responsable de ciberseguridad en Capgemini España. Esta situación demuestra el salto en el nivel de madurez de los delincuentes digitales, que han alcanzado una capacidad organizativa similar a la de cualquier otra corporación. Esto significa que estas organizaciones cuentan con equipos de recursos humanos, departamentos de ventas y divisiones de operaciones como los de una empresa normal, explica de Benito.

«Cada vez más los grupos de ciberdelincuencia se están profesionalizando y creando agrupaciones que ofrecen servicios personalizados para sus clientes o víctimas», dice Carlos Gómez, líder del equipo red team en Cipherbit, una empresa de ciberseguridad de Grupo Ocesia. Según los expertos consultados, es fácil contratar estos servicios a través de foros y marketplaces estilo Wallapop o Ebay en la 'dark web'. Esta internet oscura es una parte de la red, a la que se requiere un software para acceder, cuyo contenido no está indexado en los motores de búsqueda como Google. Esta no indexación, entre otros factores, aumenta la privacidad y el anonimato, haciendo que los servicios ofrecidos y los movimientos de los usuarios sean difíciles de rastrear.

«Contratarlos es sencillo, y el pago generalmente se realiza utilizando criptomonedas para dificultar la trazabilidad de las transacciones», dice de Benito. «El precio cambia enormemente dependiendo del tipo de amenaza y las características del ataque, pero puede tener un coste desde 20 euros hasta varios miles de euros por un 'hacking as a service' contra una determinada entidad», dice Sergio Fidalgo, responsable global de seguridad de BBVA.

El cibercrimen como negocio está experimentando un 'boom'. En 2021 este mercado estaba valorado en 139.770 millones de dólares, pero se espera que crezca un 169% hasta alcanzar los 376.320 millones de dólares en 2029, según un estudio de Fortune Business Insights. Y el número de ciberataques va en aumento, con un 28% más en el tercer trimestre de este año en comparación con el mismo periodo de 2021, según un informe de Check Point, empresa que vende soluciones de ciberseguridad.

Toda esta tendencia tiene un significativo impacto para las empresas. Según las estimaciones de Cybersecurity Ventures, la ciberdelincuencia tendrá un coste anual de 10,5 billones de dólares en 2025. Este coste incluye varios factores, como el impacto negativo de la destrucción de datos, el dinero robado, el robo de propiedad intelectual y la interrupción del curso normal de los negocios y el daño a la reputación, entre otros efectos que surgen como consecuencia de ser víctima de un ciberataque.

«Hoy en día, no existe ninguna organización que se encuentre libre de los cibercriminales», dice De Benito, de Capgemini. Algunos de los sectores más amenazados son la industria como consecuencia de la digitalización masiva de las fábricas, pero históricamente se han centrado en las empresas del sector financiero. «Las entidades financieras suelen ser objetivos bastante recurrentes de este tipo de amenazas. El nivel de amenaza es alto, especialmente por el nivel técnico que están llegando a adquirir los cibercriminales que realizan este tipo de ataques», dice Fidalgo, de BBVA.

«En cuanto a la compra y venta de servicios de Hacking en formato CaaS, lo más común que nos podemos encontrar es el robo de información a empresas de la competencia, exfiltración de bases de datos. De la mano de estos dos servicios van los 'spyware' pero hoy en día lo más demandado y ofertado son los 'ransomware'», dice Gómez, de Cipherbit. El 'ransomware' es un 'malware' que permite secuestrar los datos de la organización víctima, para después solicitar un rescate por parte de los cibercriminales, explica el experto.

Ante la pregunta de quiénes pueden ser las personas o entidades que contratan los servicios de CaaS, los expertos explican que puede ser un competidor, un empleado descontento que decide infectar la organización con 'malware', o incluso otros grupos de ciberdelincuentes que quieren contratar software para no tener que contratar más hackers para llevar a cabo un ataque.

«Los servicios suelen ser comprados por la competencia (especialmente en casos de espionaje industrial en los que el objetivo es robar información confidencial de un determinado proyecto) o criminales que quieren buscar una vía de extorsión y chantaje a empresas que, con alta probabilidad, vayan a hacer frente al pago de un rescate», dice Fidalgo, quien comenta que el caso del empleado descontento es más típico de otro tipo de amenazas, pero tanto de servicios CaaS.

Los cibercriminales han comprobado que este es un negocio que está en alza, mientras que las empresas cada vez dependen más de su infraestructura informática. «Donde antiguamente había que entrar en la sucursal de un banco y robarlo a punta de pistola con el nivel de exposición que ello requería, hoy en día puedes robarlo desde la comodidad de tu casa, sin exponerte al público y con tan solo un ordenador», dice Gómez. «El CaaS tiene muchas probabilidades de seguir al alza y ser un negocio muy beneficioso para los cibercriminales», concluye Fidalgo.

Preguntado por qué pueden hacer las empresas frente a esta situación, de Benito, de Capgemini, dice que la respuesta es compleja porque no hay una solución que encaje para todos los jugadores. Sin embargo, hay dos aspectos en los que es importante hacer hincapié. «El primero, la concienciación de los empleados para que sepan cómo reaccionar cuando se sufren este tipo de ataques, ya que ellos son la primera línea de defensa de las compañías», comenta.

El otro punto es desarrollar un plan de ciberseguridad que establezca las pautas bajo las cuales actuar sin entrar en pánico en caso de un ataque. «Hay que entender bien el tablero de juego y sus reglas, comprender que vas a ser atacado, desplegar las medidas de seguridad necesarias, protegiendo sus activos y procesos clave. Con esto, una empresa estará cubierta el 99,99% de los casos», concluye.