A lo largo de más de una década, la multinacional de ciberseguridad Trend Micro ha seguido de cerca la evolución de la ciberdelincuencia clandestina de habla rusa, documentando su capacidad de innovación, adaptación y creciente influencia en el ecosistema global del cibercrimen global. Ahora, ha publicado una nueva investigación que constituye la 50ª entrega y la culminación de esta serie, iniciada en 2012.
La investigación, titulada "The Russian-Speaking Underground", ofrece una visión exhaustiva sobre el cibercrimen clandestino rusoparlante, destacándolo como el más sofisticado, resiliente e impactante a nivel mundial.
Las características de la ciberdelincuencia rusoparlante
Estos ciberdelincuentes se distinguen por ser una red de actores estructurada con jerarquías, códigos éticos propios, sistemas de reputación internos, y una capacidad de organización y colaboración comparable a la de las empresas más avanzadas del mundo.
Dentro de este ecosistema operan desde programadores experimentados hasta jóvenes que, incluso antes de terminar sus estudios de secundaria, cuentan con los conocimientos técnicos necesarios para integrarse en esta maquinaria delictiva. No obstante, más allá de las habilidades técnicas, las experiencias culturales también desempeñan un papel decisivo. Haber crecido en entornos de alto estrés proporciona una notable resiliencia y adaptabilidad, cualidades cruciales para la ciberdelincuencia.
A esto hay que sumar una cautela profundamente arraigada entre los ciberdelincuentes rusoparlantes que los lleva a desconfiar de cualquier actor externo. Esto se traduce en rigurosos procesos de selección para la integración de nuevos miembros, quienes deben dominar la jerga propia del entorno clandestino o superar filtros como CAPTCHAs culturales diseñados para detectar a los aspirantes no nativos.
Otro de sus rasgos característicos son las estrictas normas que regulan el comportamiento de los ciberdelincuentes. Por ejemplo, la creación de cuentas duplicadas con diferentes nicknames está prohibida y temas como el ransomware suelen estar vetados en la mayoría de los foros para evitar atraer la atención de las autoridades. Además, la reputación actúa como el pilar de este entorno, determinando el estatus y las oportunidades de sus integrantes dentro de la comunidad.
"No se trata solo de una agrupación de delincuentes, sino de una comunidad resistente e interconectada que se ha adaptado a la situación mundial y continúa dando forma al futuro de la ciberdelincuencia", afirma Fyodor Yarochkin, coautor e investigador de Trend Micro.
Nuevas tecnologías, nuevos frentes
Por otra parte, la investigación advierte sobre la transformación que están experimentando los modelos de negocio de los cibercriminales rusoparlantes, impulsados por los avances tecnológicos y la accesibilidad de los datos.
Los atacantes están explorando el potencial de tecnologías Web3, como NFTs, el metaverso y plataformas blockchain (Ethereum, Solana, Polkadot, etc.) para llevar a cabo fraudes, robos de información y actividades de lavado de activos. También están explotando plataformas como TikTok, Instagram, X y otras redes sociales populares para identificar y atacar objetivos, descritos mediante jerga especializada como mamut.
Además, la amplia disponibilidad de datos biométricos en redes sociales, combinada con la tecnología deepfake impulsada por IA, les ha permitido agilizar la creación de identidades falsas altamente verosímiles. Estas identidades se utilizan para suplantar víctimas, burlar sistemas de verificación e infiltrarse en plataformas financieras o gubernamentales, ampliando así el alcance de sus operaciones.
Phishing y robo de cuentas
Entre las tácticas más empleadas por estos grupos destaca el phishing, ampliamente desarrollado en el ecosistema clandestino de habla rusa. A diferencia de otros mercados criminales donde se comercializan kits de phishing, los ciberdelincuentes rusoparlantes se centran en desarrollarlos por sí mismos, ofreciendo una amplia variedad de recursos que incluyen herramientas, servicios y tutoriales completos para sofisticar sus ataques.
Estos ataques pueden variar en escala, desde campañas masivas hasta ataques altamente dirigidos. Los cibercriminales recurren a ellos para infiltrarse en las organizaciones, a menudo empleando tácticas de ingeniería social para acceder a sistemas confidenciales. Estas actividades impulsan las cadenas de suministro clandestinas que proporcionan acceso a las redes corporativas. Las credenciales robadas y los datos obtenidos mediante técnicas de phishing con frecuencia se venden en mercados clandestinos.
Influencia geopolítica y colaboración internacional
Otro aspecto relevante de la investigación de Trend Micro es la significativa influencia del panorama geopolítico en las prioridades de los actores de este ecosistema. Conflictos como la guerra entre Rusia y Ucrania han transformado radicalmente las dinámicas internas del ecosistema. Tradicionalmente, los grupos evitaban atacar a países de habla rusa bajo la norma "Do not work in RU". Sin embargo, el deterioro de la cooperación policial internacional y el aumento de tensiones han llevado a muchos ciberdelincuentes a romper esta regla tácita, atacando tanto a Rusia como a Ucrania.
Al mismo tiempo, se ha intensificado la colaboración con grupos de otras regiones, especialmente comunidades de habla china. Esta sinergia no solo ha permitido compartir herramientas y vulnerabilidades, sino que también ha generado nuevas redes de distribución de servicios ilícitos que operan más allá de las barreras lingüísticas. Según advierte Trend Micro, esta cooperación transnacional está acelerando la expansión del modelo criminal de habla rusa hacia Europa, Asia Central y América Latina.
"Los conflictos políticos, el aumento del hacktivismo y el cambio de alianzas han mermado la confianza y reconfigurado la cooperación, creando nuevos vínculos con otros grupos, incluidos los actores de habla china. El contagio a la UE es cada vez mayor", apunta Vladimir Kropotov, coautor de la investigación y principal investigador de amenazas de Trend Micro.