Descubra cómo se comportan los ciberdelincuentes en los foros de la Dark Web: qué servicios compran y venden, qué los motiva e incluso cómo se estafan entre sí.
Web clara, Web profunda y Web oscura
Los profesionales de inteligencia de amenazas dividen Internet en tres componentes principales:
- Web clara – Activos web que pueden verse a través de motores de búsqueda públicos, incluidos medios, blogs y otras páginas y sitios.
- Red profunda – Sitios web y foros que no están indexados por los motores de búsqueda. Por ejemplo, correo web, banca en línea, intranets corporativas, jardines amurallados, etc. Algunos de los foros de hackers existen en la Deep Web, y requieren credenciales para ingresar.
- Red oscura – Fuentes web que requieren un software específico para acceder a ellas. Estas fuentes son anónimas y cerradas, e incluyen grupos de Telegram y foros a los que solo se puede acceder con invitación. La Dark Web contiene Tor, P2P, foros de hackers, mercados delictivos, etc.
Según Etay Maor, estratega jefe de seguridad de Redes Cato«Hemos estado observando un cambio en la forma en que los criminales se comunican y llevan a cabo sus negocios, pasando de la parte superior del glaciar a las partes más bajas. Las partes más bajas permiten una mayor seguridad».
Enfoque: ¿Qué es Tor?
Tor es una red gratuita, construida sobre código abierto, que permite la comunicación anónima. Si bien Tor fue desarrollado originalmente por el Laboratorio de Investigación Naval de los Estados Unidos, se ha convertido en una solución cada vez más popular para actividades ilegales.
La realización de estas actividades en la Clear Web puede dar lugar a la vigilancia de las fuerzas de seguridad y permitir el seguimiento hasta el delincuente. Pero a través de Tor, la comunicación se cifra en tres capas que se van eliminando en cada salto de nodo hasta salir de la red. Las fuerzas de seguridad que controlan Tor no verán la IP del delincuente, sino el nodo de salida de Tor, lo que dificulta el seguimiento hasta el delincuente original.
Arquitectura de comunicación Tor:
Etay Maor añade: «En la década de 2000, una alineación celestial de capacidades digitales impulsó los esfuerzos delictivos. Primero, surgió la Dark Web. Luego, los servicios ocultos y seguros a través de Tor. Finalmente, las criptomonedas permitieron transacciones seguras».
Servicios criminales disponibles en la Dark Web
A continuación se muestran algunos ejemplos de servicios que estaban disponibles en la dark web en el pasado. Hoy en día, muchos de ellos han sido eliminados. En su lugar, los delincuentes se están moviendo hacia la plataforma de mensajería Telegram, debido a sus características de privacidad y seguridad.
Los ejemplos incluyen:
Venta de drogas:
Servicios de identidad falsa:
Mercado para la búsqueda de proveedores, incluida una advertencia sobre intentos de phishing:
¿Cómo se gestionan los foros delictivos? Cómo generar confianza en un entorno que no es de confianza
Los atacantes intentan explotar vulnerabilidades e irrumpir en los sistemas como una forma de obtener ganancias. Al igual que cualquier otro ecosistema comercial, utilizan foros en línea para comprar y vender servicios de piratería. Sin embargo, estos foros necesitan generar confianza entre los miembros, aunque ellos mismos se basan en el delito.
En términos generales, dichos foros se diseñaron inicialmente de la siguiente manera:
- Administración – Modera el foro
- Depósito – Facilitar los pagos entre miembros
- Lista negra – Un árbitro para resolver cuestiones como pagos y calidad del servicio.
- Soporte del foro – Diversas formas de asistencia para fomentar la participación comunitaria.
- Moderadores – Líderes de grupo para diferentes temas.
- Proveedores verificados – Vendedores que fueron avalados, a diferencia de algunos vendedores que son estafadores.
- Miembros regulares del foro – Los miembros del grupo. Se los verificó antes de permitirles ingresar al foro para filtrar a los estafadores, las fuerzas de seguridad y otros miembros irrelevantes o riesgosos.
El camino desde la infección por malware hasta la fuga de datos corporativos en la Dark Web
Veamos cómo se representan las diferentes etapas de un ataque en la Dark Web, a través de un ejemplo de Programa malicioso utilizado para robar información con fines de ransomware:
Fases previas al incidente:
1. Recopilación de datos – Los actores de amenazas ejecutan campañas de malware de robo de información en todo el mundo y roban registros de credenciales comprometidas y huellas digitales de dispositivos.
2. Proveedores de datos – Los actores de amenazas suministran datos a los mercados de la Dark Web que se especializan en credenciales y huellas digitales de dispositivos de computadoras infectadas con malware.
3. Suministro de productos frescos – Los registros se pueden comprar en el mercado de la Dark Web. El precio de un registro suele oscilar entre unos pocos dólares y 20 dólares.
Fases del incidente activo:
4. Compra – Un actor de amenazas especializado en el acceso inicial a la red compra los registros y se infiltra en la red para aumentar el acceso. Muchas veces, la información comprada incluye más que credenciales. Incluye sesiones de cookies, huellas digitales del dispositivo y más. Esto permite imitar el comportamiento de la víctima para eludir mecanismos de seguridad como MFA, lo que hace que los ataques sean más difíciles de detectar.
5. Subasta – El acceso se subasta en un foro de la Dark Web y lo compra un grupo de amenazas experto.
Etay Maor señala: «Las subastas pueden realizarse como una competencia o como una subasta relámpago, lo que significa que un actor de amenazas puede comprar inmediatamente sin competencia. Los grupos de amenazas graves, especialmente si están respaldados por estados nacionales o son grandes bandas criminales, pueden usar esta opción para invertir en su negocio».
6. Extorsión – El grupo ejecuta el ataque, colocando Secuestro de datos en la organización y extorsionarla.
Esta ruta pone de relieve las distintas áreas de especialización dentro del ecosistema criminal. Como resultado, un enfoque de múltiples capas impulsado por la operacionalización de los datos sobre amenazas puede alertar y posiblemente prevenir incidentes futuros.
El papel de HUMINT
Las soluciones automatizadas son indispensables para combatir el cibercrimen, pero para comprender plenamente este ámbito, también se requiere inteligencia humana (HUMINT). Se trata de agentes de cibercrimen, los actores de las fuerzas del orden que se conectan a los foros y actúan como actores comerciales. La interacción es un arte y también tiene que ser un ARTE: procesable, confiable y oportuno.
Veamos algunos ejemplos de foros rastreados por oficiales de delitos cibernéticos y cómo responden.
En este ejemplo, un atacante está vendiendo inicios de sesión de VPN:
El oficial anti-cibercrimen intentará conectarse y comprender a qué VPN o cliente pertenece.
En otro ejemplo, un atacante está vendiendo acceso a Citrix a un proveedor de servicios y soluciones de infraestructura de TI en el Reino Unido.
Un agente de delitos cibernéticos podría ponerse en contacto con un posible comprador y pedirle muestras. Dado que el vendedor actúa desde un punto de vista económico y es posible que no se encuentre en una buena situación financiera (por proceder de países de la ex Unión Soviética), estará dispuesto a enviar muestras para promocionar una venta.
Protección contra ataques a la red
La Dark Web funciona como un ecosistema económico, con compradores, vendedores, oferta y demanda. Por lo tanto, una protección eficaz contra los ataques a la red requiere un enfoque de múltiples capas para cada etapa del ataque, tanto antes del incidente como durante el incidente mismo. Este enfoque incluye el uso de herramientas automatizadas, así como de HUMINT, el arte de interactuar con los cibercriminales en línea para recopilar información imitando su forma de operar.
Para ver más ejemplos fascinantes y escuchar más detalles sobre HUMINT y los foros de la Dark Web, Mira la masterclass completa aquí.