¿Qué hacen los ciberdelincuentes con los datos robados?

Crimen Cibernético. Imagen tomada de: Grafvision © Shutterstock.com

Muchas veces nos preguntamos, ¿y para qué va a querer alguien acceder a mi equipo si lo único que guardo en él son cosas aburridas?, informes de trabajo, facturas, reportes…

Lo que no nos damos cuenta es que existe un mercado negro donde se compran y venden todo tipo de mercancías y hay mucha gente que vive (y no vive mal) de la venta de información que obtiene de acceder a nuestros equipos y sistemas.

Pero, ¿qué pueden sacar de nuestros equipos que sea de interés para su venta? En este post os contaremos, mediante una infografía, todo lo que un ciberdeliencuente puede obtener de nuestros sistemas para posteriormente venderlo en el mercado negro.

Credenciales o contraseñas

Sean del tipo que sean, se venden en el mercado negro. Las contraseñas de redes sociales pueden servirle a un delincuente para hacerse pasar por otra persona (por nosotros) a la hora de cometer algún delito. Además, en nuestras redes sociales hay más información de utilidad para ellos que también puede venderse: desde números de teléfono, nuestros o de otros, otras contraseñas, y fotos, por ejemplo de niños. Como veis: todo se vende.

El ciberdelincuente también puede encontrar contraseñas de servicios de pago (de cualquier tipo) que podrá vender o números de tarjeta de débito/crédito con su correspondiente código PIN. Seguro que conoces algún caso de tarjetas de crédito duplicadas.

Por otra parte, es posible que almacenemos en nuestro equipo credenciales para acceso a servicios internos de la empresa. La posesión de este tipo de credenciales, aunque probablemente no pudieran venderse en el mercado negro, podría permitir al atacante el salto hacia dichos servidores con información muy valiosa.

Direcciones de correo electrónico

Las direcciones de correo electrónico se venden en el mercado negro como parte de enormes bases de datos de correos electrónicos (previamente verificados) para el envío de correos no deseados, el spam.

El spam es un negocio porque aunque sólo el 0,001% de los receptores de dicho spam puedan hacer compras del producto, la relación coste/beneficio es muy baja. Estas bases de datos son relativamente muy baratas en comparación con lo que se puede ganar con ellas.

Además, hay todo un proceso de sectorización detrás, ya que estas bases de datos de direcciones de correo electrónico se encuentran incluso filtradas por tipo de sector en el que pudiera estar interesado el destinatario.

Existe también mucho spam que descarga malware, que, de nuevo, si sólo un porcetaje muy bajo de los receptores llegan realmente a infectarse, proporcionarán pingües beneficios al ciberdelincuente con la venta de equipos infectados/controlados en el mercado negro para con ellos obtener otro tipo de información o realizar actividades delictivas.

Perfiles de usuario

Con perfiles de usuario no nos referimos sólo a los perfiles de las diferentes redes sociales. Lo que puede ser de interés a un ciberdelincuente son los gustos, las preferencias de compra, las características de un usuario.

Este tipo de preferencias y características permitirá por ejemplo establecer un perfil de usuario vinculándolo a una dirección de correo electrónico en una base de datos de spam (de las que hablábamos antes).

Además, si un ciberdelincuente tiene como objetivo el ataque a una empresa en particular, el ciberdelincuente necesitará todo tipo de información sobre la empresa. Entre ella las características de cada empleado.

Información confidencial

Tal vez sea el caso más claro. Si guardamos en nuestro ordenador o nuestros servidores planos o informes de importancia estratégica para la empresa, información que sólo conocen unos pocos y que podría ser de interés para empresas rivales, y nuestro equipo se ve comprometido, es probable que el ciberdelincuente sea capaz de sacar dinero de esta información.

Generalmente cuando se produce un ataque a una empresa por este motivo, se trata de lo que se ha venido a llamar APT (amenaza persistente y avanzada). Son ataques en los que se busca algún tipo de información en concreto. No se trata por tanto de ataques oportunistas en los que se vende todo lo que se encuentra.

Recursos del sistema

Por «recursos del sistema» nos referimos a cosas tales como espacio de almacenamiento en el disco duro del equipo o servidor comprometido, tiempo de procesamiento, etc. En definitiva, acceso al equipo para que el ciberdelincuente haga lo que quiera.

¿Y para que se pueden querer estos recursos? Pues para múltiples finalidades. Por ejemplo, los mercados negros son ilegales (al igual que el alojamiento de otro tipo de contenidos), sin embargo existen y son un negocio. ¿Y cómo es posible que no sean desarticulados por la policía? La razón es que muchos de estos mercados están alojados en servidores de empresas legítimas sin el conocimiento de sus propietarios. Así podría pasar, si nos han comprometido un equipo o un servidor, que estuviéramos alojando la web de un «mercado negro online» sin ni siquiera saberlo. De ahí la importancia de una auditoría de seguridad después de un incidente de seguridad.

El acceso a estos mercados ilegítimos también puede ser ilegal, sobre todo si eres el administrador. No es extraño encontrar sistemas comprometidos que son utilizados por los ciberdelincuentes como «saltos intermedios» hacia sitios ilegítimos. De esta forma resulta imposible rastrearles y detenerles.

Los bitcoins son una moneda virtual que se puede crear mediante la resolución de fórmulas matemáticas muy complejas. Los ciberdelincuentes «compran» (en el mercado negro) acceso a equipos comprometidos para el cálculo de estas fórmulas y la generación de bitcoins.

Lo que hacen con estos equipos que han comprado es acceder a ellos, instalarles un software de obtención de bitcoins y ponerles a resolver formulas muy complejas para la obtención de los bitcoins. Probablemente tarden un mes en que nuestro equipo comprometido consiga resolver la formula y obtenga un bitcoin, pero al final les sale rentable. De esta manera, están usando nuestra CPU, el procesador de nuestro equipo, para generar bitcoins, y obtener dinero «legal» de una manera sencilla. Para evitar ser detectados sólo utilizan nuestros sistemas por la noche o cuando no estamos trabajando en ellos.

Otra modalidad de negocio para un ciberdelincuente consiste en crear una página web con banners y anuncios (que normalmente nadie visitaría) y «comprar» acceso a gran número de equipos comprometidos para crear una red zombi, una botnet, que haga que los equipos afectados visiten de forma periódica los anuncios y banners de la web antes mencionada. De esta manera el ciberdelincuente recibe dinero de sus anunciantes por tráfico generado fraudulentamente.

Una variante de esta idea en teléfonos móviles es la contratación de un numero premium y hacer que los teléfonos infectados manden SMS a dicho número premium.

Otros motivos

Existen por supuesto otros motivos «no económicos» que pueden provocar que nuestra empresa o nuestros equipos sean comprometidos. Por ejemplo, ha habido muchos casos de organizaciones y entidades que han sufrido ataques como parte del hacktivismo, la lucha social, la libertad de expresión, etc.

También es muy común el caso de intrusiones con el único motivo de «demostrar la propia capacidad de conseguirlo».

Cierre

Como vemos hay un sinfín de formas de «monetizar» un equipo comprometido. Un ordenador es un tesoro y siempre tendrá algo que pueda aprovecharse. No creáis que porque lo que guardáis es aburrido, deja de ser interesante. Y sobre todo, no por esta razón dejéis de proteger vuestros sistemas que se encuentran en permanente peligro.

Tomado de: Instituto Nacional de Ciberseguridad