Llegamos a ustedes gracias a:



Reportajes y análisis

¿Quiere detener la ciberdelincuencia? Siga el dinero

La economía de los delitos informáticos es la clave para detener a los piratas informáticos

[29/06/2011] Cinco dólares por el control de más de mil cuentas de correo electrónico comprometidas. Ocho dólares por un ataque de denegación de servicio que da de baja a un sitio web durante una hora. Y solo un dólar por resolver mil captchas.

Esas son las tarifas de la delincuencia informática, las cantidades que los criminales pagan a otros criminales por los servicios técnicos necesarios para lanzar ataques. Es el tipo de outsourcing de TI que una empresa legítima nunca llevaría a cabo, pero es un negocio rentable si se hace con eficiencia.
Este submundo del crimen se detalló en una charla muy entretenida dada por el investigador Stefan Savage en la conferencia anual técnica Usenix en Portland, Oregon. Los ejemplos escandalosos de delitos informáticos externalizados provocaron risas en la audiencia, pero Savage también presentó una aproximación empírica a la investigación de delitos informáticos y la elaboración de los más efectivos - léase los más económicamente viables- métodos de detenerlo.
Savage es un profesor de la Universidad de San Diego y director del Centro de Colaboración para Internet Epidemioloy and Defenses (CCIED). Fundada para estudiar los componentes técnicos de la ciberdelincuencia, CCIED comenzó a recibir fondos federales en el 2004 y como consecuencia tuvo que incorporar modelos económicos en sus investigaciones para satisfacer al gobierno.
Savage admitió que su mirada hacia la economía era "de palabra total" al principio, pero después él y su equipo se percataron de que la base financiera de la piratería criminal puede ser la clave para resolver el problema. Ampliaron su estudio del dinero, incluso en la interacción con las organizaciones criminales en caminos tortuosos, por ejemplo, añadiendo su propio código a los hackers para poder monitorearlos, y ordenando muchos antecedentes de las estafas de phishing para trazar la ruta del dinero.
"Una falla clave era ver esto como un problema puramente técnico", señaló Savage. Podemos detener algunos ataques reaccionando a cada nueva amenaza con una tecnología nueva para detenerlo, e instalando software antivirus en miles de millones de PC en todo el mundo a un alto costo por unidad, pero es un modelo insostenible, añadió.
"Su papel como defensor es el siguiente: Cuando un nuevo ataque sale, tiene que salir con una nueva defensa", agregó. "Los atacantes, por otro lado, pueden atacar de manera proactiva cuando les da la gana".
Es casi imposible medir la eficacia de la defensa, y es caro crear defensas nuevas, mientras que el costo de la comisión de delitos cibernéticos es barato debido a un gran mercado negro.
Si no tiene la experiencia para robar las credenciales de correo electrónico o de tarjetas de crédito, acaba por comprar las cuentas comprometidas de un sitio web -en la cantidad acostumbrada de lotes de mil que les gusta usar a los ciberdelincuentes.
"Nosotros compramos y vendemos equipos comprometidos en lotes de mil, donde los precios cambian según la oferta y la demanda", indicó.
Basta con ver las páginas web de las empresas que venden el acceso a las computadoras comprometidas, para darse una idea de su costo. Un sitio ruso que Savage mostró, tenía una lista de los precios de la instalación de software malicioso en las computadoras.
"Diez centavos es lo que vale su máquina, y si está en China su equipo tendrá el valor de un centavo", comentó.
En un ejemplo de cómo una persona puede beneficiarse de la delincuencia cibernética, con muy poco know-how, es un negocio que paga a la gente para que abuse del acceso a los recursos de sus empleadores. Por ejemplo, puede ser instruido para insertar una pequeña pieza de código HTML en el sitio web de su empresa con el fin de ganar una comisión por cada persona que se ve comprometida por visitar el sitio. No es su experiencia lo que es importante -es su contraseña para el servidor web.
"Usted no necesita saber nada", señaló Savage. "Esta es la externalización llevada a su conclusión lógica".
Savage detalló algunos de los proyectos de su equipo que buscan volverse un poco más personales con el cibercrimen subterráneo. CCIED infiltró el botnet Storm, que se volvió salvaje en el 2007, con honeypots que "envenenaron" el 1% de las URL que estaban siendo distribuidas dentro de la red de bots.
"Potencialmente, esto le permite observar lo que está pasando e influir sobre sus acciones", señaló Savage. "Hemos sido capaces de medir la probabilidad de entrega, el porcentaje de clics y la tasa de conversión".
Mediante este tipo de trabajo, encontraron que las estafas farmacéuticas necesitan enviar 12 millones de correos electrónicos para obtener una compra, pero todavía pueden ganar millones de dólares al año.
La verdadera pregunta es, ¿cómo detener todo esto? Un ejemplo relacionado con la tecnología CAPTCHA -esa cosa molesta que te hace escribir en una secuencia aleatoria de letras y números- muestra cómo la investigación económica puede hacer que estemos más seguros en la web.
Resulta que utilizar un software de programas de reconocimiento de caracteres es menos viable económicamente que pagar a seres humanos para que escriban las letras y los números, porque las compañías que alojan sitios web cambian periódicamente su sistema de CAPTCHA para engañar al software. Pero los seres humanos ni siquiera tienen que saber inglés para resolver CAPTCHAs. Solo tienen que ser capaces de reconocer los caracteres.
Puede pagar por CAPTCHA de la misma manera que paga por credenciales de tarjeta de crédito y de correo electrónico. Pero en el otro extremo está un trabajador que gana solo un dólar, o incluso menos, en un turno de ocho horas en el que ingresa mil CAPTCHAs.
El equipo de Savage compró varios servicios de reconocimiento de CAPTCHAs para ver qué tan grande es la capacidad disponible. Uno de los proveedores tenía 400 o 500 personas trabajando en un momento dado, con toda la industria resolviendo millones de CAPTCHAs al día con mano de obra barata.
Esto puede hacer que la tecnología de adición de CAPTCHAs a sitios web parezca un ejercicio inútil. Pero es todo lo contrario. Obligar a las empresas criminales paguen por este servicio hace que la mayoría de ellas tengan un punto de inflexión en el que toda la empresa ya no es económicamente viable.
"Si usted no tiene CAPTCHAs, las personas con malos planes de negocio pueden darse el lujo de explotar sus recursos", señaló Savage. "las CAPTCHAs mantienen a un pequeño porcentaje de personas que tienen un buen modelo de negocios y pueden pagar el costo".
Al limitar el grupo de criminales, permite que la industria de defensa de computadoras ponga más recursos en detener una menor cantidad de ataques.
Pero como cualquiera que haya tenido un virus sabe, no es perfecto.
Es fácil espumear y hacer phishing, debido a la existencia de grandes botnets llenos de equipos infectados.
Este hecho ha creado una economía de plataforma en la que las botnets son la plataforma, señaló Savage. Aunque él no hizo esta comparación específica, se parece mucho a qué tan populares son los sistemas operativos, navegadores y dispositivos como plataformas de desarrollo de software a gran escala. Sin embargo, los objetivos son muy diferentes.
Por desgracia para los criminales, ni siquiera pueden confiar entre ellos. Los piratas informáticos que venden software que infecta a las computadoras, son como las empresas normales en el sentido de que "no quieren que usted piratee su software", indicó Savage.
"Estos chicos tienen un problema con esto, ya que se están vendiendo a los criminales", añadió.
Uno de esos autores de software dio el paso extraordinario de la distribución de las versiones del software comprometidos con malware, por lo que las personas que descargan copias piratas serían infectadas.
"Esto ha sido eficaz y ha mantenido su alto precio", añadió Savage. "Él lo vende por 500 dólares".
Y si alguna vez se ha preguntado qué pasaría si en realidad responde a uno de esos anuncios de Viagra, resulta que casi siempre obtendrá pastillas -reales o no- a cambio de un pago con tarjeta de crédito, siempre y cuando la empresa pueda pasar su mercancía por la aduana. Y si usted no está satisfecho con el producto, conseguir un reembolso es fácil. Estas empresas tienen que volar bajo el radar, y quieren tan poca atención de las compañías de tarjetas de crédito como sea posible.
"Tienen un servicio al cliente mucho mejor que cualquier negocio con el que haya lidiado antes", finalizó Savage.
Jon Brodkin, Network World (US)