Además de atentar contra todo tipo de organizaciones y contra el público en general, los ciberdelincuentes también se atacan entre ellos. Ya en 2009 Microsoft señaló que el engaño y la deshonestidad son una forma de vida en la economía clandestina y, en 2017, Digital Shadows informó de que en la dark web existe un amplio ecosistema de servicios de soporte para ciberdelincuentes que incluyen a los denominados "rippers", lo que en castellano se traduciría como "destripadores" y que no son más que estafadores que engañan a los cibermalos. Sin embargo, esta guerra ha sido objeto de muy pocos estudios y Sophos acaba de arrojar luz sobre la misma poniéndola en el foco de una investigación que considera que no tiene precedentes.
La compañía de ciberseguridad ha hecho públicos los resultados, aunque solo parcialmente porque ha decidido ir compartiéndolos desglosados en una serie de cuatro partes que ha titulado "Los estafadores que estafan a otros estafadores en foros de ciberdelincuentes".
El estudio, llevado a cabo por el equipo de Sophos X-Ops, ha consistido en investigar durante 12 meses tres foros de ciberdelincuentes. En concreto, han indagado Exploit y XSS, dos foros de ciberdelincuencia en ruso que ofrecen listados de Accesos-as-a-Service (AaaS), y BreachForums, un foro y mercado de ciberdelincuencia en inglés especializado en fugas de datos. Los tres foros disponen de salas de arbitraje específicas, a las que los ciberdelincuentes pueden acudir para denunciar ataques, estafas y a quienes piensan son sus autores.
En la primera parte de esta serie, Sophos ha destacado cinco conclusiones que califica como hallazgos sorprendentes.
Un gran negocio, con luchas internas que derivan en pérdidas millonarias
Durante los doce meses en los que ha transcurrido la investigación, Sophos analizó alrededor de 600 estafas que hicieron perder más de 2,5 millones de dólares a los ciberdelincuentes solo en los tres foros analizados, con reclamaciones que oscilaban entre los 2 y los 160.000 dólares.
"Mientras investigábamos las estafas de los ciberdelincuentes, descubrimos toda una subeconomía en la que participan no sólo delincuentes de perfil bajo, sino también algunos de los grupos de ransomware más importantes", señala Matt Wixey, investigador principal de amenazas de Sophos.
El dinero no es el único objetivo
Estos ataques entre ciberdelincuentes no solo tienen una motivación económica. Según constata este estudio, también es habitual que respondan a disputas personales, rivalidades y al deseo de destruir (o, a veces, mejorar) reputaciones.
Qué tipo de ataques cometen
Para engañar y estafar a otros expertos del cibercrimen, los ciberdelincuentes utilizan técnicas clásicas, algunas con décadas de antigüedad, como el phishing, el typosquatting, los malwares de puerta trasera y los mercados falsos. Además, los expertos de Sophos han sido testigos de chantajes, cuentas suplantadas e incidentes en los que los ciberdelincuentes se vengaban de otros que les habían estafado a ellos.
"En una ocasión, descubrimos un concurso de 'trolling' organizado para vengarse de un estafador que intentaba engañar a los usuarios para que pagaran 250 dólares por unirse a un falso foro clandestino. El 'ganador' del concurso recibía 100 dólares", cuenta Wixey.
También hay casos de estafas a largo plazo y a gran escala
Sophos inició esta investigación tras detectar, en su cobertura reciente al Genesis Market, que por lo menos había una imitación fraudulenta de esta tienda de la dark web, dedicada a traficar con identidades digitales de usuarios reales. En este nuevo estudio, la compañía descubrió otros 19 sitios que imitan mercados criminales y que en todos los casos tratar de engañar a los usuarios para que paguen una supuesta tarifa de activación de 100 dólares.
Según afirma Wixey, todos ellos fueron creados por la misma persona o grupo, pero no han podido determinar quien o quienes están detrás de los mismos. Además, revela que encontraron tentadores enlaces a un vendedor de drogas que opera en varios sitios de la dark net.
Los informes de las sales de arbitraje, una rica fuente de inteligencia poco explorada
La última conclusión de esta primera parte de la investigación se centra en las salas de arbitraje y se divide en dos puntos. Por un lado, explica cómo es la interacción de los ciberdelincuentes con ellas, a menudo recurriendo a una "buena seguridad operativa" ya que son conscientes de que los foros de ciberdelincuencia están monitoreados.
"Dado que las reglas del foro exigen pruebas para respaldar las acusaciones de estafa, los actores de amenazas agraviados a menudo publican felizmente capturas de pantalla de conversaciones privadas y código fuente, identificadores, transacciones, registros de chat y relatos detallados de negociaciones, ventas y resolución de problemas", explica Wisey.
Por otra parte, Sophos advierte que los procesos de arbitraje y los argumentos que contienen dejan patente que existe una gran cantidad de información sobre cómo actúan los ciberdelincuentes que no está siendo aprovechada y que podría ser utilizada por los profesionales de ciberseguridad y las fuerzas policiales para comprender mejor su comportamiento y defenderse frente a ellos.
"Estos informes de arbitraje también nos permiten conocer las prioridades de los atacantes, sus rivalidades y alianzas e, irónicamente, cómo son susceptibles a los mismos tipos de engaño utilizados contra sus víctimas", apunta el investigador principal de amenazas de Sophos.