Sabemos que los ciberdelincuentes detrás de grandes ataques y operaciones maliciosas casi siempre buscan obtener ganancias económicas, pero, al parecer, este no es el objetivo de los cibercriminales más jóvenes al momento de dar sus primeros pasos en el "lado oscuro".
los principiantes no buscan dinero sino el reconocimiento de sus pares
Un interesante reporte de la National Crime Agency (NCA) del Reino Unido halló que los principiantes no buscan dinero sino el reconocimiento de sus pares, la popularidad en los foros de los que forman parte y la sensación de éxito.
"Completar el desafío, la sensación de logro, probarse ante sus compañeros son una motivación clave para los involucrados en el cibercrimen", describe.
A modo de ejemplo, se incluye el testimonio de un chico de 18 años que fue arrestado por acceder sin autorización a un sitio gubernamental de los Estados Unidos, quien al momento de su arresto dijo: "Lo hice para impresionar a las personas de la comunidad de hacking, para mostrarles que tenía las habilidades para lograrlo... Quería probarme a mí mismo".
¿Sensación de impunidad?
Asimismo, hay otro un gran factor que induce a los más jóvenes a meterse en el mundo del cibercrimen: la sensación de que no es crimen en el sentido tradicional, como matar o robar, y de que no serán atrapados por cometer un ciberataque.
De hecho, la NCA está segura de que muchos de los adolescentes del Reino Unido que se involucran en el cibercrimen no se involucrarían en el crimen "tradicional", debido a la falta de condenas previas a atacantes cibernéticos del país. "Perciben que la probabilidad de enfrentarse a las autoridades es baja", afirma la entidad.
"Perciben que la probabilidad de enfrentarse a las autoridades es baja"Un tercer factor que los atrae es la facilidad con la que pueden comenzar a ejecutar ataques o acciones maliciosas. Hay todo tipo de herramientas que se pueden adquirir en línea y no son demasiado costosas ni difíciles de usar.
Hace poco hablábamos del modelo de negocio del cibercrimen que consiste en la venta de paquetes de herramientas fáciles de usar para cualquiera, aunque no tenga demasiados conocimientos técnicos. Así es como aparecieron el Ransomware-as-a-Service, es decir, la venta de servicios de ransomware, y otras modalidades de fraude, ataques y malware "como servicio".
Esto significa que los adolescentes pueden pagar una determinada suma, por ejemplo 175 dólares en el caso del ransomware Karmen, y comprar las herramientas que, de manera relativamente fácil, les permitirán infectar a otros usuarios.
Aún más fácil para los principiantes es, según la NCA, comenzar participando en sitios de cheats de videojuegos y foros de mods (modificaciones a los juegos), para luego "progresar" a foros de ciberataques, donde se discuten abiertamente. "Se necesita muy poca habilidad para comenzar la actividad criminal en línea. Con herramientas tales como booters y Remote Access Trojans (RAT), los usuarios pueden hacer un pequeño pago (o a menudo ningún pago) y empezar a quebrantar la ley", señala el informe.
Lamentablemente, la disponibilidad de tutoriales paso a paso y guías en video facilitan la transición a la criminalidad. "Una vez que se quebrantó la ley, las transgresiones subsiguientes se vuelven más fáciles", sentencia la NCA.
la disponibilidad de tutoriales y guías en video facilitan la transición a la criminalidad
Sin embargo, la entidad cree firmemente que la orientación de un mentor y la intervención temprana puede disuadir a estos jóvenes de adentrarse en el mundo del cibercrimen. De esa manera, se cerraría la brecha entre ellos y la autoridad.
Pero en los foros cibercriminales, la ley y sus consecuencias raramente se discuten; si el tema aparece, es rápidamente desestimado. Estos jóvenes solo toman consciencia de las consecuencias de sus actos cuando alguien que conocen es arrestado.
En busca del mentor
Los sujetos que formaron parte del estudio dijeron que no habían tenido una figura que los guiara hacia un camino más positivo, "al lado del bien", ya que el modelo a seguir suele ser el cibercriminal "consagrado" que ejecutó el ataque más complejo de la comunidad. "Los ex-infractores que lograron poner fin a sus actividad y obtuvieron una educación o una carrera en tecnología atribuyeron este cambio a un mentor positivo, o a alguien que les dio la oportunidad de usar sus habilidades en forma positiva".
En ese punto, y en relación a esto último, el análisis se vuelve un poco más delicado. A decir verdad, las oportunidades de trabajar "del lado positivo" en tecnología siempre existen; de hecho, hablamos muy seguido de la falta de profesionales en ciberseguridad y de que no se cubren los puestos necesarios. Entonces, ¿por qué estos chicos sienten la necesidad de probar el "lado oscuro" para que luego alguien los rescate?
Claro que hoy hay muchos profesionales de seguridad que en su juventud han experimentado con el hacking y quizá incluso traspasaron las barreras de la diversión, hasta que decidieron qué querían hacer con sus conocimientos. Pero en el ámbito corporativo, cabe preguntarse... ¿sería una buena idea contratar a un joven que desarrolló un malware, administró una botnet o ganó dinero infectando a personas con un ransomware?
El debate sobre contratar o no autodenominados "hackers" tiene ya varios años y probablemente nunca se cierre; las respuestas respecto a si es o no una buena idea generalmente se encuentran en el contexto particular de cada caso.
En conclusión, lo preocupante de este reporte es que sea tan fácil para los jóvenes adentrarse en el mundo del cibercrimen y que lo vean como algo libre de riesgo; y que, en contrapartida, sientan que les faltan oportunidades y modelos positivos.
Aquí estamos los que encontramos muchos motivos para trabajar en seguridad y nos esforzamos cada día para fomentar el interés en esta carrera.