Los ciberdelincuentes se convierten en los sicarios del siglo XXI

El abanico de ofertas del ‘crime as a service’ ha vivido en los últimos dos años una potente inyección de servicios cibercriminales  / Archivo
photo_camera El abanico de ofertas del ‘crime as a service’ ha vivido en los últimos dos años una potente inyección de servicios cibercriminales / Archivo
Varios ciberexpertos alertan del auge del ‘crime as a service’ (el crimen como servicio), en especial en relación con la ciberdelincuencia: ya no hace falta tener nociones sobre hacking para delinquir en el ciberespacio, basta con pagar para que otros lo hagan.

El ‘Crime as a service’ (el crimen como servicio) no es, precisamente, una fenómeno inédito en el panorama delictivo actual. De hecho, el entender el crimen como un servicio siempre ha estado representado en la figura del sicario. Es decir, aquella persona que mata a cambio de recibir una contraprestación económica. Ofreciendo, de este modo, sus servicios criminales a cualquiera que quiera y pueda pagarlos.

Alerta del auge de ciberdelitos a la carta

Lo mismo ocurre, como alertan desde la Policía Nacional, en el ámbito de la ciberdelincuencia. Según un informe elaborado por el cuerpo policial al que ha tenido acceso eltaquigrafo.com, desde el año 2020 se ha constatado una profesionalización y especialización de los grupos criminales que ofrecen sus servicios a particulares, empresas u otros delincuentes ya sea para labores de blanqueo de capitales procedentes del narcotráfico, tráfico ilícito de vehículos o de elaboración y ejecución de ciberataques de todo tipo.

En este sentido, el abanico de ofertas del ‘crime as a service’ ha vivido en los últimos dos años una potente inyección de servicios cibercriminales. Por lo tanto, ya no hacen falta conocimientos de seguridad informática o hacking para cometer delitos en el ciberespacio, basta con pagar para que otros lo hagan. Es decir, contratar a organizaciones criminales que publicitan sus servicios de hackeo, ciberestafa y/o ataques a la red, para llevarlos a cabo en nombre de un tercero.

Se pueden encontrar buscando en Google

Estos servicios, que han sido corroborados por la ciberexperta Selva Orejón, fundadora y directora ejecutiva de OnBranding -- empresa dedicada a la gestión de la identidad, la reputación y la protección de personas y empresas en Internet-- pueden encontrarse tanto en la ‘dark web’, como haciendo una búsqueda sencilla en Google.

«Estas organizaciones se publicitan en cualquier lado y no hace falta meterte en la ‘dark web’ para encontrarlos. A veces en Instagram son ellas mismas las que, mediante anuncios ambiguos, ofrecen sus servicios, para luego incluso estafar económicamente al solicitante». «Por supuesto --añade Orejón-- en la ‘dark web’ los mensajes de oferta son mucho más explícitos».

Alerta policial por los cibercrímenes a la carta
Organización criminal que publicita sus servicios en la 'dark web'

Y lo más novedoso: las aplicaciones de ‘phishing’

Una muestra clara de que el ‘crime as a service’ está creciendo a pasos agigantados es la preocupante aparición de nuevas aplicaciones destinadas a diseñar estafas ‘phishing’a gusto del consumidor. Un ejemplo de estos portales emergentes es: “Cafeinne”. Se trata de una nueva plataforma de Phishing-as-a-Service (PhaaS), la cual nos permite lanzar ataques de suplantación de una forma muy sencilla, utilizando su función de proceso de registro abierto y con ello permitir a cualquier usuario hacerse pasar por una entidad bancaria de una forma «fácil y rápida».

De este modo, un usuario anónimo, haciéndose pasar por una entidad bancaria puede enviar correos electrónicos y SMS a posibles víctimas y obtener información sensible y tremendamente confidencial de sus cuentas y contraseñas. Los Cuerpos Policiales ya han sido alertados de este tipo de appsy los unidades contra la ciberdelincuencia ya han puesto el foco en ello.

El ciberdelito por excelencia

Cabe recordar que la estafa ‘phishing’ es, según fuentes estadísticas del portal de criminalidad del Ministerio del Interior, el ciberdelito más cometido con diferencia. El objetivo es robar datos personales y bancarios. Con la ayuda de técnicas de ingeniería social, el ciberdelincuente suplanta la identidad de entidades, personas, marcas o servicios conocidos para tratar de engañar a sus víctimas. Su propósito final suele ser la obtención de información sensible y de autorizaciones para transacciones fraudulentas, generalmente solicitando los datos a través de páginas web falsas o infectando el equipo mediante la descarga de un malware.

En este sentido, varias plataformas de prevención contra el ‘phishing’ y revistas especializadas en ciberseguridad lanzan estas recomendaciones:

  • Si recibe un correo electrónico solicitando información personal o financiera, no responder.
  • Si el mensaje lo invita a acceder a un sitio web, a través de un enlace adjunto, no entrar.
  • Habilitar la autenticación en dos pasos (2FA).
  • No acceder desde redes públicas.
  • No descargar ni abrir archivos de fuentes no confiables.
  • Mantener actualizado el software de nuestros dispositivos y evitar el uso de aplicaciones no oficiales.
  • Revisar los resúmenes bancarios y de tarjeta de crédito tan pronto como se reciban y en caso de detectar operaciones no autorizadas, comunicarse de inmediato con la organización emisora.

Comentarios