Cuando pensamos en ciberdelincuentes, la primera imagen que se nos viene a la cabeza es la que habitualmente se utiliza para ilustrarlo: una persona con un suéter con capucha, al que no se ve el rostro y que trabaja sobre el ordenador en una sala totalmente en penumbra. Pero esa clásica imagen ya no tiene que ver nada con la realidad. Desgraciadamente, hace tiempo que el cibercrimen ha dejado de ser una actividad individual y, el hacker criminal, un individuo que, con profundos conocimientos informáticos y con diferentes motivaciones, se dedica a intentar burlar la seguridad de los sistemas de diferentes organizaciones.

Como se pudo ver en los recientes ataques de ransomware, WannaCry y NoPetya, dos malwares que corrieron como la pólvora infectando a cientos de miles de equipos y organizaciones públicas y privadas por todo el planeta, secuestrando datos y pidiendo un rescate económico para liberarlos, el crimen organizado ya no se rige por viejos modelos artesanales. Ha adoptado modelos empresariales de lo más sofisticados, con una planificación y ejecución que no deja nada al azar. Como apuntaba en este interesante artículo David Febrache, Director de Ciberseguridad de KPMG en Reino Unido, los cibercriminales actúan como consejeros delegados (CEOs), con una estrategia definida, un objetivo claro, la búsqueda de beneficios, y con unos recursos (herramientas y habilidades) que, si carecen de ellos, simplemente van y los adquieren en el mercado negro, en las oscuras profundidades de la Dark Web.

Y diría más, el cibercrimen cuenta con sus propios sistemas de Investigación y Desarrollo (I+D) para seguir innovando y mantener su negocio vivo. Ha creado sus propios ecosistemas empresariales, con marketplaces, donde se encuentran comentarios sobre el trabajo de los ciberdelincuentes y el nivel de sus servicios; y cuenta con una red colaboradores o partners. Ecosistemas diseñados a imagen y semejanza de los que tanta popularidad están adquiriendo en el mundo empresarial. En los foros de ciberseguridad es muy común leer: los service desk de los ciberdelincuentes son más amables y eficientes que los de un banco o compañía telefónica.

Es la industrialización del cibercrimen que algunos han dado en llamar Ciberdelincuencia como Servicio (Crime-as-a-Service), como apunta este estudio elaborado por la agencia europea Europol junto al Centro  de Ciberseguridad de la Universidad George Washington. El último informe anual de Europol, Internet Organised Crime Threat Assessment (IOCTA) 2016, recoge detalles interesantes sobre las últimas tendencias en ciberdelincuencia.

La ciberdelincuencia, que ya ha superado a la delincuencia tradicional en el mundo físico, tiene sus propias fuerzas del mercado para equilibrar oferta y demanda, sus propias barreras de entrada, su amplia y variada oferta de servicios y su especialización laboral, con roles profesionales bien definidos, tal y como describe este artículo del Centro de Ciberseguridad Nacional británico (NCSC en sus siglas en inglés)

Bajo este modelo de negocio, los ciberdelincuentes gestionan con la máxima flexibilidad los activos de –digamos- “su compañía” y saben perfectamente cómo monetizarlos y qué procedimientos pueden utilizar para blanquear el dinero. Según el tamaño de su organización, desarrollan in house o adquieren en el mercado los virus que van a utilizar; cuentan con su propio helpdesk; con sistemas para blindarse contra ataques de otros ciberdelincuentes con los que compiten; tienen su propio mercado y escaparte digital donde comprar y vender servicios; sus propios diseñadores y editores para hacer buenas réplicas de las páginas o emails que buscan suplantar la identidad original para hacerse con los datos… Y suma y sigue.

Su lógica es maximizar los beneficios con el menor nivel posible de riesgos. Como cualquier empresa. Por eso centran sus objetivos y buscan acciones en las que puedan conseguir rápidamente economías de escala. Una gran acción a escala global, como ocurrió con WannaCry y NoPetya. No es casualidad que el sector financiero haya sido históricamente uno de los más afectados por ciberataques. Pero eso está cambiando. Y va a seguir cambiando con la digitalización del resto de sectores y la llegada del Internet de las Cosas (IoT en sus siglas en inglés).

Basta recordar que uno de los más afectados por el malware WannaCry fue el sistema público de salud británico: no podía acceder a sus sistemas ni al historial clínico de los pacientes. Todos sabemos ya que los datos tiene tanto o más valor que el dinero.

Y con la creciente automatización y digitalización industrial, la llamada Industria o Empresa 4.0, ningún sector estará a salvo: energía, infraestructuras, transporte… La ciberseguridad deberá ser un aspecto clave, absolutamente integrado en su estrategia desde principio a fin.

Otro aspecto que está cambiando, fruto de esta industrialización del cibercrimen y la búsqueda de acciones que impliquen bajo riesgo, máximo beneficio y gran escala, es la tipología de ciberdelitos. El crecimiento de los ataques de ransomware, como Wannacry y NoPetya, que están haciendo sombra a los clásicos virus troyanos, no son más que una señal de la creciente organización y agresividad de la ciberdelincuencia.

Peor aún, sin desviarme de la esencia de este artículo, la frontera entre la ciberdelincuencia y el ciberterrorismo es cada vez más difícil de delimitar. El ataque NoPetya aún nos deja con la incertidumbre sobre la motivación del atacante: ¿querían dinero o simplemente causar caos?

Si la naturaleza y organización del cibercrimen ha cambiado, para combatirlo no queda otro remedio que adoptar un enfoque de seguridad más dinámico e invertir equilibradamente en mecanismos de defensa, monitorización y respuesta. En otras palabras, los controles de seguridad (personas, procesos o herramientas) no pueden permanecer estáticos y sin capacidad de evolución continua. Asimismo, la gestión presupuestaria de la ciberseguridad tiene que ser tan adaptable como la del negocio.

Conocer su forma de actuar y cómo va evolucionando ésta en el tiempo, igual que evolucionan las estrategias de las empresas para adaptarse al cambio constante, es clave para ganar la batalla a la ciberdelincuencia. Sea cual sea la forma que ésta adopte.

 

Autor: Alejandro Rivas-Vásquez es Director de Ciberserguridad de KPMG en España.