ESET, compañía líder en detección proactiva de amenazas, advierte que el malware ya no es solo una herramienta para causar estragos; en la actualidad, es un negocio multimillonario que opera en un ecosistema altamente estructurado. Desde el ransomware hasta el malware como servicio (MaaS), los cibercriminales han desarrollado sofisticados modelos de negocio para maximizar sus ganancias. En este sentido, ESET explora las estrategias utilizadas en la economía del cibercrimen, los grupos más destacados y casos recientes de gran impacto.
Si bien se suele escuchar mucho la palabra cibercrimen o ciberestafa con bastante énfasis en las pérdidas económicas y daños a la reputación de las empresas e incluso los estados, también los ciudadanos de a pie sufren los embates de los actores maliciosos. Seguramente todos conocen a alguien cercano que haya sido víctima de robos a través de homebanking o billeteras virtuales, o incluso le pudo haber pasado a uno mismo; la seguridad cibernética es una preocupación de todo tipo de usuarios.
Esta problemática no es nueva, y se viene gestando hace varias décadas, quizá desde los comienzos de la hiperconectividad en los años 90. Con el tiempo, la información se digitalizó cada vez más y los ciberdelincuentes, que siempre han estado al acecho, transformaron los datos en el oro de estos tiempos. La cantidad de sistemas y dispositivos que guardan información sensible se multiplicó: desde las computadoras y dispositivos móviles, hasta el extenso ecosistema IoT que incluye cámaras IP, automóviles modernos, smartwatch, entre otros. Con esta expansión, los cibercriminales han desarrollado perfiles diversos y sofisticados para el robo y la explotación de esos datos que resultan tan valiosos.
“Tal como sucede con la delincuencia tradicional existen diversos perfiles de delincuentes, y las bandas cibercriminales más sofisticadas funcionan tan organizadamente y disponen de tanto presupuesto como las grandes empresas de diversas industrias. Esto se pudo observar en varios casos, como la exfiltración de información del grupo cibercriminal Conti, entre otros tantos.”, señala Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
Teniendo en cuenta el escenario descrito previamente, ESET dará un vistazo a este ecosistema del malware y la organización de los grupos ciberdelictivos.
El negocio del malware se sustenta en una cadena de valor bien definida que incluye el desarrollo, distribución, monetización y servicios de soporte. En cada una de estas partes, se pueden destacar los siguientes actores clave:
Desarrolladores de malware: Crean software malicioso, desde troyanos bancarios hasta ransomware.
Distribuidores y afiliados: Utilizan tácticas como phishing, exploits y botnets para propagar el malware.
Operadores de infraestructura: Proveen servidores de comando y control (C2), hosting clandestino y proxies anónimos.
Lavadores de dinero: Facilitan el movimiento de fondos a través de criptomonedas y sistemas financieros alternativos.
Impacto financiero del malware
Según un informe de Cybersecurity Ventures, el costo del cibercrimen a nivel mundial alcanzará los 10,5 billones de dólares anuales para 2025. En cuanto a los pagos por ransomware en Estados Unidos en 2023, el Internet Complaint Center (IC3) reportó los registrados aumentaron a 59,6 millones de dólares, lo que representa un incremento del 74% respecto al año anterior
Entre los principales modelos de negocio del malware ESET destaca:
1. Ransomware como Servicio (RaaS): Uno de los esquemas más lucrativos del cibercrimen. Grupos como LockBit o Conti ofrecen su malware en un modelo de afiliación, donde operadores sin conocimientos avanzados pueden lanzar ataques a cambio de un porcentaje de los rescates cobrados.
Ejemplo real: La variante de ransomware REvil operaba bajo este modelo, generando millones en pagos de rescate. Un caso reciente fue el ataque a la empresa Kaseya en 2021, donde REvil exigió 70 millones de dólares en rescate.
2. Malware como Servicio (MaaS): Plataformas en la darkweb permiten alquilar malware sofisticado con características avanzadas, como keyloggers, troyanos bancarios y stealers de credenciales. Este modelo reduce la barrera de entrada al cibercrimen.
Ejemplo real: Emotet, inicialmente un troyano bancario, evolucionó para actuar como servicio de entrega de otros tipos de malware. Su infraestructura fue desmantelada en 2021, pero ha resurgido en distintas formas desde entonces.
3. Exploits y Zero-Days como Servicio: Los mercados clandestinos venden vulnerabilidades de día cero y kits de exploits que permiten comprometer sistemas sin que existan parches disponibles.
Ejemplo real: El exploit EternalBlue, desarrollado originalmente por la NSA y filtrado en 2017, fue utilizado en ataques masivos como WannaCry y NotPetya, causando daños por miles de millones de dólares.
4. Botnets y Ataques DDoS como Servicio: Las botnets permiten realizar ataques de denegación de servicio (DDoS) bajo un modelo de alquiler. Este tipo de servicio es utilizado tanto por cibercriminales como por actores estatales para desestabilizar infraestructuras críticas.
Ejemplo real: La botnet Mirai, que comprometió millones de dispositivos IoT, fue usada para ataques DDoS de gran escala. Más recientemente, la botnet Mantis ha demostrado ser una de las más potentes, afectando servicios de gran tamaño.
5. Phishing como Servicio (PhaaS): Se comercializan kits de phishing que incluyen plantillas de sitios web falsos y paneles de administración para robar credenciales de acceso.
Ejemplo real: Grupos como BulletProofLink han ofrecido servicios de phishing en la dark web con miles de campañas activas. En 2023, se detectó una ola masiva de phishing dirigida a entidades bancarias en América Latina.
Grupos de malware más destacados
Algunas de las bandas cibercriminales más activas y sofisticadas incluyen a:
LockBit: Especializados en ransomware, han atacado organizaciones en todo el mundo.
Lazarus Group: Vinculados a Corea del Norte, han robado cientos de millones de dólares en criptomonedas.
FIN7: Enfocados en el robo de tarjetas de crédito y ataques a empresas de retail.
Evil Corp: Responsable de múltiples ataques de ransomware dirigidos a grandes corporaciones.
Estrategias de defensa para organizaciones y usuarios
Para mitigar estos riesgos, las empresas y los usuarios deben adoptar una estrategia de defensa en capas:
Concientización y capacitación: La educación en ciberseguridad es clave para evitar caer en ataques de phishing y ransomware.
Proteger todos los dispositivos: Contar con un software de seguridad multicapa de un proveedor de confianza para minimizar los riesgos de ataque.
Autenticación multifactor (MFA): Agregar una capa extra de seguridad protege contra el robo de credenciales.
Monitoreo y detección temprana: Soluciones de inteligencia de amenazas y análisis de comportamiento pueden identificar patrones sospechosos.
Gestión de parches: Mantener los sistemas actualizados es crucial para reducir la superficie de ataque.
Respaldos seguros: Copias de seguridad offline pueden prevenir la pérdida de datos en caso de un ataque de ransomware.
«El cibercrimen ha evolucionado hacia un ecosistema comercial complejo, con modelos de negocio sofisticados que requieren un enfoque proactivo y una cultura de ciberseguridad robusta por parte de las organizaciones. Aunque el futuro de esta lucha es incierto, la concientización, la evolución de las defensas cibernéticas y la capacidad de las autoridades para desmantelar estas redes son cruciales para inclinar la balanza a favor de la seguridad digital. Mientras tanto, la implementación de buenas prácticas y la educación continua siguen siendo nuestras mejores armas contra los ciberatacantes.», concluye Micucci de ESET.
Para saber más sobre seguridad informática visite el portal corporativo de ESET: https://www.welivesecurity.com/es/cibercrimen/negocio-malware-modeloso-como-operan-cibercriminales/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
