El mercado del cibercrimen

30 de Octubre de 2007 — Manuel Delgado

A  través del blog de Bruce Schneier, llego a un interesante trabajo sobre los motivos y los métodos de los profesionales del cibercrimen:

This paper studies an active underground economy which specializes in the commoditization of activities such as credit card fraud, identity theft, spamming, phishing, online credential theft, and the sale of compromised hosts. Using a seven month trace of logs collected from an active underground market operating on public Internet chat networks, we measure how the shift from “hacking for fun” to “hacking for profit” has given birth to a societal substrate mature enough to steal wealth into the millions of dollars in less than one year.

Probablemente, lo mejor del artículo es que reúne mucho conocimiento en un único punto, con lo que aquellos que no estén muy al día en los asuntos del cibercrimen tienen la posibilidad de adquirir una visión general del tema. No obstante, no hay que tomar el trabajo más que como un acercamiento a la matería y, desde luego, no como un trabajo de precisión incuestionable, puesto que, como bien advierte Schneier, los datos recopilados no pueden ser validados ni comparados, debido al carácter ilegal de esas actividades (no creo que ningún ciberdelincuente profesional preste sus libros de cuentas para que sirvan de referencia).

Quizá el propio tema del trabajo, el “mercado del cibercrimen”, pueda sorprender a muchos. Asumámoslo: no es otra cosa. Lo que pudo empezar como una vía de escape para muchos brillantes adolescentes con problemas de relaciones sociales es ahora un mercado rebosante de oportunidades y en el que es normal hablar de conceptos típicamente empresariales, como el ROI, la innovación, la especialización, los modelos de negocio flexibles… Incluso existen productos de inversión: los “inversores” compran participaciones en fondos compuestos por ordenadores infectados por virus que “escuchan” y transmiten la actividad de sus usuarios y se embolsan los beneficios generados de vender (o usar directamente) los datos confidenciales (tarjetas de crédito, números de cuenta, etc.) recopilados en esas máquinas. Como ejemplo de especialización, los spammers y los phishers profesionales alquilan a terceros las redes de robots que estos mantienen (botnets, que no son más que ordenadores de usuarios cualquiera, infectados por virus que responden a las órdenes dadas por el “propietario” de la red) y que necesitan para enviar millones de mensajes en muy poco tiempo.

Se acabó el romanticismo y llegó la piratería, pura y dura, como si se tratara de los Mares del Sur de aquellas películas que veíamos cuando éramos pequeños.