¿Tiene cinco euros? Puede entrar al internet oscuro a comprar un virus (y le sobrará dinero)

Los mercados negros del cibercrimen se parecen cada vez más a las plataformas de comercio electrónico tradicionales, con sistemas de reseñas, versiones de prueba y guerra de precios

cream_ph (Getty Images)

“Muy buen vendedor... Recomendado 100%”, “Me pareció muy sencillo el tutorial”, “Este tipo es de fiar”, “5/5 Gran servicio”. Podrían ser las típicas reseñas de Amazon, tal vez para un vendedor de cápsulas de café o pastillas de lavavajillas. Pero no. Los servicios elogiados no se pueden conseguir en el internet corriente, solo están accesibles desde navegadores como Thor, que conducen a la dark web o internet oscuro. Es más, lo que han comprado estos usuarios anónimos ni siquiera es legal: es el troyano conocido como Zeus Botnet, que permite robar credenciales bancarias y usar la red de equipos infectados (conocida como botnet) para cometer acciones maliciosas. Y cuesta menos de tres euros.

“Hay diferentes tipos de vendedores de malware [programas informáticos maliciosos]. Normalmente, los más especializados son más caros”, explica el investigador Carlos H. Gañán, del grupo de Ciberseguridad de la Universidad de Delft (Holanda), que ha compartido con EL PAÍS los ejemplos mencionados. En su selección hay ofertas para todos los bolsillos: las muestras de Zeus Botnet oscilan entre unos pocos céntimos y algo más de 30 euros, pero también hay servicios que superan los 1.000 euros.

Los catálogos son tan variados como los precios. De acuerdo con un repaso de la firma de seguridad Armour, la opción más económica para quienes tienen los conocimientos necesarios es adquirir por separado herramientas básicas como exploits que aprovechan vulnerabilidades para acceder a sistemas ajenos, muestras de ransomware (virus de secuestro informático) o el código para ampliar el alcance de botnets como Zeus. “Tienes toda la cadena de suministro. Puedes comprar un paquete en el que el criminal te hace todo, o una parte particular del crimen”, precisa Gañán. “Puedes contratar desde la parte entrada del malware hasta las mulas que pondrán el dinero en tu cuenta o el mixer que reduce la trazabilidad de las criptomonedas”.

Entre los servicios más elaborados figuran plataformas diseñadas para permitir lanzar un ataque de denegación de servicio (DDoS) con unos pocos clics y establecen el coste en función del volumen de máquinas que participan en la sobrecarga de los servidores o la duración de la ofensiva. “Es bastante sencillo: pagas con bitcoin, con monero o incluso con tarjeta y te dan acceso a un panel donde puedes hacer lo que quieras. Pones la URL, el tiempo y el tipo de ataque”, resume Marc Rivero, investigador senior de seguridad del equipo GReAT de Kaspersky. Según el experto, sería posible lanzar un ataque “bastante grande” por unos 90 euros.

Estos “bienes digitales” para hacer el mal son cada vez más demandados y ofrecidos en el internet oscuro, largamente señalado como el mercado de lo sórdido: desde armas hasta drogas, pasando por pornografía infantil. “Los productos físicos son más complicados porque necesitas una dirección a la que enviarlos. Es muy fácil vender software porque lo puedes recibir en cualquier parte del mundo y con total anonimato”, explica Gañán. Además, la competencia entre los proveedores acerca sus usos y costumbres a los de cualquier vendedor que intenta hacerse hueco en una plataforma de comercio electrónico: establecen canales de atención al cliente, mejoran las experiencias de sus usuarios, se preocupan por su buen nombre y ajustan sus precios. “Si eres un principiante, no tienes reputación. Esos son los que normalmente ofrecen tarifas más bajas”, añade el experto.

Además, al abaratamiento de los servicios informáticos malignos contribuye además la expansión del ecosistema digital. Hace tan solo siete años y según datos de IoT Analytics, había unos 3.600 millones de dispositivos conectados al internet de las cosas, que incluye pulseras de actividad, cámaras de vigilancia o asistentes virtuales, entre otros; en 2020 superaban los 11.300 millones. Cuando esas máquinas no están adecuadamente protegidas son presa fácil para los atacantes que están buscando acceder a una red o construir una botnet. “Además, ten en cuenta que si estos aparatos están en una gran empresa o en una universidad, disponen de mucho ancho de banda”, explica Rivero.

Existen propuestas menos informáticas, como “hundir el negocio de alguien”. Por poco más de 150 euros, la víctima se verá arrollada por un tsunami de spam telefónico, recibirá envíos no solicitados en su local (por ejemplo, pizzas) y aparecerá en anuncios que dañen su reputación. También se pueden comprar tarjetas de crédito clonadas y credenciales de PayPal cuyo valor lo determinan los fondos disponibles en las cuentas asociadas. Datos personales como el nombre completo, la fecha de nacimiento, la dirección, el país, el número de teléfono, el número de la seguridad social o el del permiso de conducir estarían a la venta por unos 20 euros para un ciudadano español y por casi 50 para uno británico. Si lo que buscamos es un curso de formación que nos procure habilidades como acceder al panel de administración de un rúter y encontrar los objetivos adecuados en su red, bastan poco más de 100 euros. “Y también hay tutoriales gratuitos”, subraya Gañán.

Si un profano puede lanzar un ciberataque, ¿también puede sortear las consecuencias? Según Gañán, dado que el interés principal de las fuerzas de seguridad es identificar a los operadores de estos mercados para arrancar el problema de raíz, vendedores y compradores quedan en un moderadamente discreto segundo plano. La clave es tomar todas las medidas que preserven la identidad del comprador. Rivero, que ha visto casos de empleados que acaban mal en una empresa y buscan vengarse con un ataque informático, argumenta que el anonimato absoluto no es tan fácil de conseguir. “Este tipo de cosas suelen acabar mal porque la persona sin experiencia acaba dejando un rastro”, precisa.

Éxito no asegurado

En 2019, un equipo de investigadores de la Universidad de California en San Diego se adentró en la dark web para probar diferentes proveedores de robo de credenciales de correo electrónico y redes sociales. Contrataron a 27 criminales y solo cinco de ellos cumplieron con su cometido. “El mercado tenía poco volumen, mal servicio de atención al cliente y múltiples estafadores”, resume el estudio.

La necesidad de construir un sistema de mínima confianza en un mercado criminal justifica la aparición de modelos de comentarios como los que encontramos en Amazon. Los operadores de los grandes mercados controlaban antes quién accedía a sus plataformas admitiendo únicamente a quienes portaban una recomendación de otro vendedor o comprador. “Ahora como hay tanta competencia básicamente te piden que pagues una cantidad. Si la abonas, eres bienvenido”, señala Gañán. También se ofrecen versiones de prueba como las que nos permiten disfrutar de una semana de acceso a una plataforma de streaming.

Pero ni las mejores prácticas aseguran negocios duraderos. La historia de los mercados negros del internet oscuro está llena de líderes caídos. Cada tanto llega a los titulares un nuevo cierre de “la mayor tienda ilegal” de esta parte de la red a la que no se puede acceder desde buscadores convencionales. El último fue DarkMarket: “Este mercado del internet oscuro ha sido clausurado”, rezaba el cartel que dejaron las autoridades en la página del sitio. Al lado del mensaje, el hada que el portal empleaba como logo aparecía debajo de un matamoscas.

De acuerdo con Europol, en este último gran bazar unos 2.400 vendedores ofrecían sus bienes y servicios a casi medio millón de usuarios. Desde su creación, en mayo de 2019, DarkMarket amasó al menos 140 millones de euros comerciando con drogas, dinero falso, tarjetas de crédito robadas y, cómo no, programas maliciosos. Antes cayeron Silk Road, Alphabay o Empire Market. Sin embargo, este recóndito zoco digital sigue bullendo de compradores y vendedores. “Tan pronto como cierran uno, aparece otro”, sentencia Gañán

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.

Normas

Más información

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS