MARKETING

COMUNICACIÓN

INTERNET

FORMACIÓN

RRHH

PUBLISHING & EVENTS

Q-LAWYER

DIRECTORIO

PORTADA

Noticias de Despachos

Operaciones

Vida Colegial Comunidad Legal Sistema Judicial Internacional
Arbitraje Mediación TIC Abogados Jóvenes Entrevistas Colaboraciones/Opinión Reportajes Agenda BLOGS LP emprende

OPINION

 
Million dollar fraudster. El cibercrimen como modelo de negocio
MADRID, 12 de NOVIEMBRE de 2014 - LAWYERPRESS

Por Silvia Barrera. Inspectora de la UIT de la Policía Nacional

Silvia Barrera. Inspectora de la UIT de la Policía NacionalEl creciente aumento de cifras en relación al cibercrimen sigue alarmando y no es para menos. Según un estudio de la prestigiosa compañía de desarrollo web Go-Gulf basado en numerosas fuentes de información, se espera que el mercado global de la Ciberseguridad llegue a los 120.1 billones de dólares de los 63.7 en 2011. Estas cifras de volumen de negocio conllevan también un aumento en el coste anual del cibercrimen, estimado en 100 billones de dólares, con 556 millones de víctimas. La experiencia en este campo deja constancia de que en el 40% de los casos, la motivación de un ciberataque es criminal.

¿Qué hay detrás del propio fraude, la distribución de spam, los ataques de Denegación de Servicio (DDos), los dirigidos contra Infraestructuras Críticas o el Ciberespionaje? Dinero, grandes sumas de dinero, con poca inversión y riesgo incial.

El usuario particular que sufre un ciberataque forma parte del escalón más bajo y debemos de empezar a considerar este hecho como la mínima expresión de la manifestación usual del cibercrimen. El autor estará a miles de kilómetros y contará con datos personales de otros cientos de víctimas así como de una infraestructura técnica, probablemente, no muy compleja, situada en otros países.

Como en el crimen tradicional, el cibercrimen organizado está migrando a nuevas formas de comisión, referidas como “un modelo de negocio” o Crime as a service. Se sabe que este modelo es altamente rentable y no exige que el mismo delincuente esté especializado o posea unos conocimientos técnicos específicos.

Basta con introducirse en la economía digital sumergida para comprar accesos a máquinas comprometidas o redes de botnets donde instalar un determinado malware, que sirvan para cometer fraudes, especialmente contra la banca online y los servicios de e-commerce. Estos malware se encargan de obtener credenciales y números de tarjetas bancarias para perpetrar fraudes financieros.

En cuanto a las ciberextorsión, debemos de distinguir principalmente dos modalidades: la extorsión sexual o sextorsion, en la que las víctimas de los chantajes no son sólo menores sino que, incomprensiblemente, muchos adultos sin saber o desconociendo las verdaderas intenciones de quien se esconde al otro lado de la webcam, acceden a posar o a ceder imágenes íntimas a desconocidos. El martirio que desencadena tal temeridad puede llegar a constituir un verdadero sufrimiento para la víctima.

Otro tipo de extorsión, esta vez más familiar para el usuario, es la llevada a cabo por motivos económicos. Un ejemplo de ella es el famoso “ransomware” o “rescate de la mercancía”, en el que el ordenador de la víctima quedaba bloqueado hasta que se pagaba una supuesta “multa” a través de un sistema de pago online. Esta modalidad comisiva se ve facilitada por los sistemas de pagos electrónicos y las cripto-monedas, que garantizan una mayor seguridad en las transacciones económicas y el anonimato.

El mercado se extiende a la gestión de nuestro correo electrónico donde hay que tener especial cuidado. La mayoría de los ataques de phising aún van asociados a nuestro email, aunque el mercado se esté diversificando a las redes sociales, al SMS y otras aplicaciones de mensajería instantánea como Whatsapp, ante el creciente aumento de los dispositivos móviles.

Es muy fácil creerse la existencia de utilidades y aplicaciones que nos “prometen” invadir la privacidad del vecino o conocer información ajena que suscite interés. Ya lo decía a Blaise Pascal:una de las principales enfermedades del hombre es su inquieta curiosidad por conocer lo que no puede llegar a saber” o que se denomina técnicamente hablando, ingeniería social.

También se observa un incremento del denominado “spear phising” o phising flecha, término que se refiere a ataques selectivos dirigidos contra grandes ejecutivos de empresa para acceder a datos corporativos sensibles, con sistemas de ingeniería social cada vez más sofisticados. ¿Por qué ir al último peldaño cuando la rentabilidad de atacar la cabeza es mucho mayor?

Por ello, debemos recordar que los cibercriminales no sólo focalizan sus ataques contra los propios usuarios sino ¿qué mejor que hackear a los proveedores de servicios para tener acceso a grandes volúmenes de información en corto tiempo y venderlos más tarde en el mercado underground?. Por poner un ejemplo, según un estudio de la Universidad de Southampton, el envío de hasta 19 paquetes de datos con información relacionada con tarjetas bancarias cuesta 200 dólares en ese mercado.

Otros casos de e ciberextorsión se encuentran distribuidos vía Ddos. En la siguiente imagen podemos observar un mapa en el que se recogen más de 25.000 ataques de denegación de servicio en todo el mundo en mayo de 2014

 

 Screener tomada de la web: http://blog.sucuri.net/2014/05/map-of-a-ddos-attack.html

Miles de sitios web o servidores sufren este tipo de ataques, no sólo asociados a movimientos hacktivistas de protesta sino con el objetivo económico de obtener el pago del rescate por la restauración de un sistema.

Tampoco debemos olvidar los ataques a los Centros de Infraestructuras Críticas ( CNI). Véase el caso Stuxnet o Aurora, en el cual sus principales víctimas fueron Adobe Systems, Yahoo, Symantec, Morgan Stanley y el propio Google. En otras ocasiones los cibercriminales mediante ciberespionaje roban información privilegiada o credenciales a instituciones gubernamentales y grandes compañías; véase la  Operación Nitro, Gauss o el Octubre Rojo.

En otros casos, este tipo de ataques, más que la intención de provocar daños técnicos, lo que ponen de manifiesto es la existencia de serias vulnerabilidades en sus sistemas, con el consiguiente daño reputacional.

Y por último, la naturaleza de la estructura del Cloud Computing complica aún más la posibilidad de ataque. Al anonimato virtual hay que añadirle la complejidad de la infraestructura de la nube. A través de este modelo los cibercriminales pueden explotar los tres niveles de servicio en tándem (IaaS, PaaS y SaaS) como posibilidad de negocio que permite, entre otras acciones, capturar passwords, acceder al disco duro del cliente del servicio Cloud y la monitorización de máquinas virtuales.

 

Buscar en lawyerpress.com

 

Suscribirse a nuestro Boletín semanal

Grupo Paradell

 

 

 

Nosotros  /  Contacto  / MARKETING  / COMUNICACIÓN  / INTERNET  / DIRECTORIO DE BUFETES  / 

copyright, 2014 - Strong Element, S.L.  -  Peña Sacra 18  -  E-28260 Galapagar - Madrid  -  Spain -  Tel.: + 34 91 858 75 55  -  Fax: + 34 91 858 56 97   -   info@lawyerpress.com  -  www.lawyenuleft" href="http://www.lawyerpress.com/avisolegal.html">Aviso legal