El malware ya no es solo una herramienta para causar estragos; en la actualidad, es un negocio multimillonario que opera en un ecosistema altamente estructurado. Desde el ransomware hasta el malware como servicio (MaaS), los cibercriminales han desarrollado sofisticados modelos de negocio para maximizar sus ganancias. En este artículo, exploraremos las estrategias utilizadas en la economía del cibercrimen, los grupos más destacados y casos recientes de gran impacto.

Si bien escuchamos mucho la palabra cibercrimen o ciberestafa con bastante énfasis en las pérdidas económicas y daños a la reputación de las empresas e incluso los estados, también los ciudadanos de a pie sufren los embates de los actores maliciosos. Seguramente conozcamos a alguien cercano que haya sido víctima de robos a través de homebanking o billeteras virtuales, o incluso nos pudo haber pasado a nosotros mismos; la seguridad cibernética es una preocupación de todo tipo de usuarios.

Podemos decir que esta problemática no es nueva y se viene gestando hace varias décadas, quizá desde los comienzos de la hiperconectividad en los años 90. Con el tiempo, nuestra información se digitalizó cada vez más y los ciberdelincuentes, que siempre han estado al acecho, transformaron los datos en el oro de estos tiempos.

La cantidad de sistemas y dispositivos que guardan información sensible se multiplicó: desde las clásicas computadoras y los dispositivos móviles, hasta el extenso ecosistema IoT, que incluye cámaras IP, automóviles modernos, smartwatch, entre otros. Con esta expansión, los cibercriminales han desarrollado perfiles diversos y sofisticados para el robo y la explotación de ese bien tan preciado.

Tal como sucede con la delincuencia tradicional existen diversos perfiles de delincuentes, y las bandas cibercriminales más sofisticadas funcionan tan organizadamente y disponen de tanto presupuesto como las grandes empresas de diversas industrias. Esto se pudo observar en varios casos, como la exfiltración de información del grupo cibercriminal Conti, entre otros tantos.

Por todo esto, a continuación, vamos a dar un vistazo a este ecosistema del malware y la organización de los grupos ciberdelictivos

El ecosistema del malware

El negocio del malware se sustenta en una cadena de valor bien definida que incluye el desarrollo, distribución, monetización y servicios de soporte. Podemos destacas entre los actores clave a:

  • Desarrolladores de malware: Crean software malicioso, desde troyanos bancarios hasta ransomware.
  • Distribuidores y afiliados: Utilizan tácticas como phishing, exploits y botnets para propagar el malware.
  • Operadores de infraestructura: Proveen servidores de comando y control (C2), hosting clandestino y proxies anónimos.
  • Lavadores de dinero: Facilitan el movimiento de fondos a través de criptomonedas y sistemas financieros alternativos.

Impacto financiero del malware

Según un informe de Cybersecurity Ventures, el costo del cibercrimen a nivel mundial alcanzará los 10,5 billones de dólares anuales para 2025. En cuanto a los pagos por ransomware en Estados Unidos en 2023, el Internet Complaint Center (IC3) reportó los registrados aumentaron a 59,6 millones de dólares, lo que representa un incremento del 74% respecto al año anterior

Principales modelos de negocio del malware

1. Ransomware como Servicio (RaaS)

Uno de los esquemas más lucrativos del cibercrimen. Grupos como LockBit o Conti ofrecen su malware en un modelo de afiliación, donde operadores sin conocimientos avanzados pueden lanzar ataques a cambio de un porcentaje de los rescates cobrados.

Ejemplo real: La variante de ransomware REvil operaba bajo este modelo, generando millones en pagos de rescate. Un caso reciente fue el ataque a la empresa Kaseya en 2021, donde REvil exigió 70 millones de dólares en rescate.

2. Malware como Servicio (MaaS)

Plataformas en la darkweb permiten alquilar malware sofisticado con características avanzadas, como keyloggers, troyanos bancarios y stealers de credenciales. Este modelo reduce la barrera de entrada al cibercrimen.

Ejemplo real: Emotet, inicialmente un troyano bancario, evolucionó para actuar como servicio de entrega de otros tipos de malware. Su infraestructura fue desmantelada en 2021, pero ha resurgido en distintas formas desde entonces.

3. Exploits y Zero-Days como Servicio

Los mercados clandestinos venden vulnerabilidades de día cero y kits de exploits que permiten comprometer sistemas sin que existan parches disponibles.

Ejemplo real: El exploit EternalBlue, desarrollado originalmente por la NSA y filtrado en 2017, fue utilizado en ataques masivos como WannaCry y NotPetya, causando daños por miles de millones de dólares.

4. Botnets y Ataques DDoS como Servicio

Las botnets permiten realizar ataques de denegación de servicio (DDoS) bajo un modelo de alquiler. Este tipo de servicio es utilizado tanto por cibercriminales como por actores estatales para desestabilizar infraestructuras críticas.

Ejemplo real: La botnet Mirai, que comprometió millones de dispositivos IoT, fue usada para ataques DDoS de gran escala. Más recientemente, la botnet Mantis ha demostrado ser una de las más potentes, afectando servicios de gran tamaño.

5. Phishing como Servicio (PhaaS)

Se comercializan kits de phishing que incluyen plantillas de sitios web falsos y paneles de administración para robar credenciales de acceso.

Ejemplo real: Grupos como BulletProofLink han ofrecido servicios de phishing en la dark web con miles de campañas activas. En 2023, se detectó una ola masiva de phishing dirigida a entidades bancarias en América Latina.

Grupos de malware más destacados

Algunas de las bandas cibercriminales más activas y sofisticadas incluyen:

  • LockBit: Especializados en ransomware, han atacado organizaciones en todo el mundo.
  • Lazarus Group: Vinculados a Corea del Norte, han robado cientos de millones de dólares en criptomonedas.
  • FIN7: Enfocados en el robo de tarjetas de crédito y ataques a empresas de retail.
  • Evil Corp: Responsable de múltiples ataques de ransomware dirigidos a grandes corporaciones.

Estrategias de defensa para organizaciones y usuarios

Para mitigar estos riesgos, las empresas y los usuarios deben adoptar una estrategia de defensa en capas:

  • Concienciación y capacitación: La educación en ciberseguridad es clave para evitar caer en ataques de phishing y ransomware.
  • Autenticación multifactor (MFA): Agregar una capa extra de seguridad protege contra el robo de credenciales.
  • Monitoreo y detección temprana: Soluciones de inteligencia de amenazas y análisis de comportamiento pueden identificar patrones sospechosos.
  • Gestión de parches: Mantener los sistemas actualizados es crucial para reducir la superficie de ataque.
  • Respaldos seguros: Copias de seguridad offline pueden prevenir la pérdida de datos en caso de un ataque de ransomware.

Conclusión

El malware ha evolucionado hasta convertirse en un ecosistema comercial complejo y bien organizado. Con modelos de negocio similares a los de las empresas legítimas, los cibercriminales han logrado diversificar sus fuentes de ingresos y reducir el riesgo de ser detectados. Para las organizaciones, la única manera de enfrentar esta amenaza es mediante un enfoque proactivo y una cultura de ciberseguridad robusta.

El futuro del cibercrimen siempre estará sesgado por el juego del gato y el ratón, aunque es importante destacar que en gran medida la conciencia social, la evolución de las defensas cibernéticas y la capacidad de las autoridades para desmantelar estas redes puede cambiar el resultado de esta pulseada constante. Mientras tanto, la concienciación y la implementación de buenas prácticas seguirán siendo las mejores armas en esta lucha contra el crimen digital.