El Centro Criptológico Nacional alerta sobre el auge del mercado ilegal de compraventa de información comprometida

El Centro Criptológico Nacional alerta sobre el auge del mercado ilegal de compraventa de información comprometidaPaula Andrade

Defensa española  El Centro Criptológico Nacional alerta del auge de la venta de datos en los mercados de cibercrimen

El mercado de compraventa de información comprometida continúa siendo uno de los negocios del cibercrimen más lucrativos en el panorama actual, según indica el último informe del Centro Criptológico Nacional, titulado «Ciberamenazas y tendencias 2023». «En los últimos años, tanto los actores de amenaza reconocidos como los recién llegados al negocio han visto cómo dichas actividades permitían incrementar sus ganancias económicas producto de la realización de actividades ilícitas relacionadas con la venta de información confidencial y datos de carácter personal (PII) en los principales foros, mercados y comunidades de cibercrimen», afirma el exhaustivo y minucioso estudio elaborado por el Centro.

En 2022, Estados Unidos continuó siendo la región más afectada por actividades de cibercrimen relacionadas con brechas de información e incidentes de ransomware, seguida de cerca por Europa, donde los principales países objetivos fueron Alemania, Reino Unido, Italia, Francia y España. Se observó un incremento en la afectación de países de Asia y América Latina.

Los sectores e industrias más afectados por el negocio del cibercrimen en todo el mundo incluían: consumo y productos industriales, manufacturación, telecomunicaciones, tecnologías de la información (IT), consultoría y servicios profesionales, público y gubernamental, financiero, energía, salud y educativo– científico.

El crecimiento de esta problemática merece un capítulo del informe, centrado en el auge del malware dedicado al robo de información. Son los denominados infostealers o, simplemente, stealers. El uso de familias de malware dedicadas al robo de información es una actividad habitual en el mundo del cibercrimen.

funcionalidades de las familias de malware:

  • Recolección de cookies.
  • Contraseñas almacenadas o datos de pago en navegadores web.
  • Robo de credenciales de acceso a servicios de correo electrónico y cuentas de mensajería instantánea.
  • Acceso a diferentes soluciones de software de almacenamiento e intercambio de criptomonedas.
  • Obtención de información del sistema operativo.

El sistema de compraventa de información es un negocio perfectamente estructurado. El informe del Centro Criptológico Nacional pone de manifiesto actividades que revelan un modus operandi sistematizado. Es habitual que los diferentes operadores ofrezcan su uso como servicio (malware-as-a-service), con diferentes opciones de alquiler a gusto de sus clientes. Estos grupos delictivos basan su «prestigio» en la credibilidad y reputación que son capaces de mantener en los foros de cibercrimen. Incluso existen ofertas o promociones, llegando a establecer descuentos en sus primeros días de existencia en dichas comunidades. «Los afiliados u operadores del malware infostealer monetizan sus compromisos a través de la venta de información o credenciales comprometidas», asegura el documento.

El Centro Criptológico alerta del importante crecimiento de este negocio delictivo. Desde principios de 2022, el número de familias de malware infostealer anunciadas en foros de cibercrimen aumentó de forma drástica en comparación con los registros observados en 2021, al calor de la alta demanda y de los elevado beneficios que genera. En este punto, el Centro relata un aspecto tremendamente llamativo sobre uno de los grupos detectados. «Una de las familias de este tipo de malware más conocidas, Raccoon Stealer, pausaron sus operaciones tras el inicio de la invasión de Ucrania, asegurando que uno de sus principales desarrolladores había fallecido a causa del conflicto. Este vacío en el mercado fue cubierto por otras familias como RedLine Stealer, Meta Stealer o Vidar Stealer. Sin embargo, en junio de 2022, el principal portavoz o responsable de la administración de Raccoon Stealer volvió a aparecer en uno de los foros de cibercrimen de habla rusa más conocidos para anunciar la vuelta a las operaciones y el lanzamiento de una nueva versión».

Mercados de cibercrimen

Además, durante el año 2022 el Centro Criptológico español observó el auge de mercados de cibercrimen especializados en la venta de productos relacionados con el acceso remoto a redes corporativas. En estos mercados se ofrece la venta de lotes o paquetes de credenciales para servicios de correo web (ej. Google, Outlook, Microsoft 365, etc.), servicios de entretenimiento online (ej. Apple, DAZN, Netflix, HBO, etc.), paneles de administración web (ej. cPanel) o acceso a redes corporativas vía red virtual privada (VPN) (ej. Citrix, Global Protect, Pulse Secure, etc.) o el protocolo de escritorio remoto (RDP) (ej. TeamViewer, AnyDesk, etc.).

Los foros del cibercrimen

Durante el año 2022, los foros de cibercrimen que más actividades ilícitas de interés alojaron fueron los conocidos foros Exploit y XSS, de habla rusa, los ahora extintos foros de habla inglesa Raid Forums y Breached, y el foro de cibercrimen RAMP, que fue inicialmente creado para alojar contenido relacionado con
el negocio del ransomware tras su prohibición en otras comunidades. Con respecto a España, el foro conocido con el nombre Nodo313 fue una de las principales comunidades que alojaron actividades ilícitas en nuestro país.

«El incremento en la venta de credenciales a servicios de acceso remoto ha permitido también establecer vínculos directos entre aquellos actores de cibercrimen implicados en su obtención (a través del uso de dichas familias de malware, su obtención en otros mercados o comunidades y posterior venta en foros de cibercrimen) con operadores o afiliados de ransomware, dedicados a su compra y posterior explotación para lograr así el cifrado de las redes comprometidas», subraya. En definitiva, este mundo ofrece una gran variedad de actividades ilícitas y un alto beneficio económico. Se ha detectado que algunos están modificando su ámbito de actuación habitual, observándose su transición entre la venta de información, la venta de accesos comprometidos o su implicación en incidentes de ransomware.

comentarios
tracking