Los piratas informáticos ya no son figuras solitarias con capuchas negras encorvadas sobre sus teclados y operando desde oscuras y remotas habitaciones. Esta imagen se ha quedado bastante obsoleta y ya no refleja con precisión el panorama actual de las ciberamenazas. Ahora los cibermaos operan más bien como sindicatos comerciales a través de las diversas fronteras.
Esta es una de las principales conclusiones a las que ha llegado Europol, que acaba de publicar la primera parte de su Evaluación de amenazas de la delincuencia organizada en Internet (IOCTA). La policía europea lleva nueve ediciones haciéndolo. Su primer módulo analiza en profundidad el ecosistema criminal online, examinando actores notables, sus vectores de ataques y las víctimas.
El IOCTA de Europol tiene como objetivo proporcionar y comprender el ciberdelito moderno para equipar a las fuerzas del orden con el conocimiento para defenderse.
Esta última edición está muy influida por el nuevo paradigma creado tras la invasión de Rusia a Ucrania. Los ataques se han centrado en muchos casos en los intereses de los bloques y la situación geopolítica.
Ha habido un impulso claro de las actividades maliciosas dirigidas a la Unión Europea y a los estados miembros, con ataques DDoS que han afectado a las instituciones públicas nacionales y regionales. Estos tenían motivaciones políticas.
También se ha mostrado la adaptabilidad y el oportunismo de los cibermalos para aprovecharse de toda esta situación, llegando a hacer cosas como crear webs falsas o de famosos para solicitar dinero que supuestamente era para ayudar a Ucrania con fines humanitarios.
La Europol destaca la Operación Overlord, que supuso el esfuerzo combinado de las fuerzas del orden de varios países para parar VPNLab, uno de los servicios más prolíficos usados por los ciberdelincuentes.
También hace una mención a la Operación Elaborate, que se llevó a cabo en noviembre del año pasado y permitió detener la actividad de la página iSpoof.cc, la cual se cree que causó un daño de 115 millones de euros.
Esta plataforma proporcionaba a los actores de amenazas varios servicios, incluyendo Respuesta de Voz interactiva automatizada, interceptación de telepins y monitorización de llamadas en directo. Se arrestaron 124 sospechosos.
Se ceban con los mismos objetivos
El informe habla de mismas víctimas, pero múltiples amenazas. Y es que el ciberdelito puede adoptar diversas formas aunque apunte contra los mismos objetivos.
La información de las víctimas a menudo se monetiza al máximo, lo que lleva a que los objetivos sean revictimizados por estafadores y distribuidores de malware por igual. Además, las organizaciones comprometidas pueden estar expuestas a varios ciberataques simultáneos o consecutivos. Así, similares credenciales comprometidas pueden ser usadas por distintos piratas informáticos.
El informe también habla de un interés de los actores de amenazas por reclutar aliados muy jóvenes.
Asimismo, también se cita cómo las redes criminales involucradas en fraude actúan para conseguir extraer dinero rápidamente de plataformas de criptomonedas y lavarlo mediante mulas. A través de ellos, pueden mover cantidades muy altas rápidamente en diferentes países.
Aunque estas mulas son reclutadas en foros de ciberdelincuentes, en muchos casos las contratan mediante redes sociales. A veces las víctimas de los estafadores son usadas como mulas de dinero sin saberlo.