Centro Criptológico Nacional  El cibercrimen busca refugio en la red Discord

El Centro Criptológico Nacional (CCN) detectó en 2022 un incremento exponencial del uso de servicios de mensajería instantánea. El informe anual del Centro señala que se ha disparado el número de grupos y canales dedicados al cibercrimen. Principalmente, dichos grupos incluían la venta de información, la venta de accesos, el alquiler de servicios de cibercrimen o actividades relacionadas con el fraude bancario.

«Telegram continúa siendo la aplicación de mensajería preferida por los actores de cibercrimen debido a sus funcionalidades y su capacidad de ser utilizada en múltiples dispositivos de forma sencilla». Con estas palabras se resume una realidad evidente: las potencialidades de una aplicación como Telegram son aprovechadas al máximo por los ciberdelincuentes, que se sienten más protegidos que en otras. Sin embargo, el uso de otros servicios de mensajería como Tox, Matrix, Element, Session o Discord han aumentado. En el caso de Discord se estima que en enero de 2023 la plataforma tendría aproximadamente 563 millones de usuarios registrados, lo cual suponía un aumento de más del 87% en comparación con los 300 millones de usuarios reportados en junio de 2020.

El Centro Criptológico Nacional considera que esta amplia utilización de Discord también se ha visto reflejada en el empleo de la plataforma con fines dañinos. En este sentido, refleja que durante una investigación llevada a cabo en 2022 se detectó que el wiper del malware WhisperGate (empleado en la guerra entre Rusia y Ucrania) mostró la aplicación de un fragmento de lenguaje intermedio de Microsoft (MSIL) como mecanismo de diseminación del malware, que abusaba de la red de entrega de contenido (CDN) de Discord.

En lo relativo al uso de Telegram, hay que tener en cuenta que ya venía presentando un aumento de usuarios a lo largo de años anteriores. Durante 2022, y tras la invasión rusa de Ucrania, se detectó la creación de nuevos canales para la distribución de contenido relativo al conflicto. «Incluso comenzó a verse cómo varios grupos 'hacktivistas' de origen prorruso, como KillNet, NoName057(16) o Anonymous Sudan, entre otros, utilizaban dicha plataforma para llevar a cabo sus comunicaciones y notificación de objetivos contra los que atacar». De igual modo, el CCN desvela que grupos como Gonjeshke Darande también utilizaron esta plataforma «como medio a través del cual notificar la intención de sus ciberataques». Destaca el uso de Telegram para la promoción y venta de kits de phishing, así como la "capacitación del desarrollo de configuraciones personalizadas de los mismos», subraya el informe.

Foros del cibercrimen

Los foros de cibercrimen que más actividades ilícitas desarrollaron, según el detallado informe del CCN, fueron Exploit y XSS, de habla rusa, los ahora extintos foros de habla inglesa Raid Forums y Breached, y el foro de cibercrimen RAMP, que fue inicialmente creado para alojar contenido relacionado con el negocio del ransomware tras su prohibición en otras comunidades.

Con respecto a España, el foro conocido con el nombre Nodo313 fue una de las principales comunidades que alojaron actividades ilícitas en España. Los mercados especializados en la venta de credenciales para servicios de acceso remoto más relevantes en 2022 incluían Genesis Market y Russian Market. Otros mercados de interés fueron TwoEasy, Lufix Shop, xLeet o Olux Premium Shop, entre otros citados por el Centro Criptológico Nacional.

En cuanto a las tendencias del cibercrimen, una de las más acusadas es el auge del malware dedicado al robo de información. El uso de familias de malware dedicadas al robo de información de los equipos víctima, también conocidos como infostealers o stealers, es una actividad habitual en el mundo del cibercrimen, que incluyen: