Cómo volverse un cibercriminal y ganar dinero en un par de horas

PARA LA NACIONTomás Balmaceda

Muy lejos de las imágenes que suelen mostrar las películas, libros y series, los ciberdelitos pueden ser cometidos por personas con pocos conocimientos informáticos y con mínimos recursos. Un programador inglés decidió demostrarlo montando una estafa a gran escala en menos de una hora desde el momento en que compró una computadora y se conectó a Internet. En este desafío conoció un costado que no esperaba: hackers que ofrecen sus servicios por hora con referencias comprobables y vacaciones, bases de datos robadas por menos de diez dólares y software malicioso con soporte técnico.

Quien tuvo esta idea fue Tony Anscombe, quien trabaja hace más de dos décadas en ciberseguridad y que hoy es "Global Security Evangelist" de la compañía de soluciones antivirus y seguridad de Internet ESET, quien visitó Buenos Aires para dar una conferencia en el marco del Congreso Iberoamericano de Seguridad de la Información.

Anscombe descubrió que los cibercriminales ya tienen montada una estructura de trabajo totalmente equiparable a una empresa. "La revelación llegó buscando malware con ESET: descubrimos que generalmente hay dos semanas muy tranquilas en el año… ¡que es cuando los delincuentes se toman vacaciones! De algún modo el ciberdelito evolucionó tanto que los criminales hoy tienen derechos laborales, tienen oficinas, tienen empleados… Ahí se me ocurrió esta idea. Así que decidí ponerme a prueba", le explicó a LA NACION.

Primer paso: la computadora

Su reto era el siguiente: montar un negocio criminal en Internet una hora y hacerlo desaparecer sin dejar rastros y habiendo ganado dinero. Su primer paso fue conseguir herramientas de trabajo, así que fue hasta un local de informática y compró una computadora nueva con licencia oficial de Windows. Para evitar dejar huellas, la compró en efectivo. Luego alquiló una oficina temporaria, que también pagó sin tarjeta, y se conectó a Internet. "Todo lo que necesitaba era comprar ransomware y una base de datos, ponerla a funcionar y retirarme con dinero antes de que pasen 60 minutos", recordó. Se conoce como ransomware al "secuestro de datos", una modalidad delictiva en la que un programa restringe el acceso a los archivos del sistema operativo infectado, ya sea una computadora o un teléfono, y pide un rescate a cambio de quitar esta restricción.

Segundo paso: ransomware

"Ni bien estuve online me puse a googlear acerca de ‘servicios de ransomware’ y descubrí que muchos de los informes de las compañías de seguridad están abiertos y disponibles para que cualquiera pueda leer e informarse. Allí encontré mucha información que, si uno sabe leer entre líneas, le sirve para encontrar dónde se comercializa eso. No diré más porque no es mi objetivo alentar esta clase de conductas, sino todo lo contrario, pero pude encontrar cómo empezar", reveló.

Tercer paso: buscar las víctimas

Ahora que tenía esos datos, ingresó a la Dark Web (algo así como la parte más profunda de Internet) un inmenso espacio virtual cuyas páginas no son indexadas por los buscadores y a los que hay que ingresar teniendo la dirección exacta: "A los pocos minutos ya estaba en contacto con varios negocios que vendían programas malignos. Ahí es fácil distraerse, porque se venden muchas cosas: drogas, armas… ¡incluso se puede contratar un hacker freelance! Tienen una tarifa por hora y tienen un currículum con trabajos anteriores y referencias. Finalmente me concentré y pude comprar malware. El programa tenía una línea de soporte para poder hacer preguntas y también una consola desde donde veía quiénes caían en mi trampa". Decidido a cumplir con su reto en menos de una hora, Anscombe pagó su programa malicioso por 99 dólares, que abonó en criptomonedas y de forma anónima. Ya habían pasado 14 minutos.

"Necesitaba ahora una base de datos. Hay muchísimas bases disponibles pero yo no podía encontrar la que me necesitaba para mi negocio, que eran cuentas de email con sus correspondientes passwords, seguramente surgidos de alguna filtración de un sitio. Así que, para cumplir con mi objetivo de hacer todo en poco tiempo, contraté a alguien para que lo busque por mí. En poco tiempo regresó con varias bases disponibles, incluyendo una con fotografías de rostros, como las que te toman al entrar a algunas oficinas o en la frontera. La base que elegí venía con una garantía: si no llegaba a cierto porcentaje de efectividad, me devolvían el dinero… ¡me sorprendió descubrir que hay códigos de honor en la Dark Web! Compré 100 mil direcciones por 9 dólares", recordó.

Cuarto paso: salir al ruedo (dos horas más tarde)

Así, por 108 dólares este programador inglés consiguió todo lo que necesitaba para cumplir su reto aunque no pudo lograrlo del modo en que lo deseaba: tardó casi dos horas. "Lo cierto es que fallé porque no tenía experiencia, pero creo que demostré que cometer estos ilícitos es muy fácil. De todos modos, una vez que tuve el programa y la base de datos no hice nada más porque hubiese sido irresponsable de mi parte". Según sus estimaciones, hubiera podido ganar en pocos minutos varios miles de dólares, para luego simplemente tirar la computadora a la basura y dejar la oficina alquilada para jamás regresar.

La alternativa: el phishing

¿El ransomware era la única estrategia posible? Claro que no. Anscombe también evaluó hacer una campaña de phising, es decir, engañar con un correo electrónico para que los usuarios entreguen voluntariamente información confidencial como nombres de usuario, contraseñas o detalles de tarjetas de crédito al hacerse pasar, por ejemplo, por un banco. "Con muy poco puedo enviar miles y miles de mails que se parezcan a los verdaderos. Puedo hacer que diga ‘Hola, ¿cómo estás?’ y tu nombre, porque esas bases tienen esos datos. Incluso puedo poner ‘Te escribo porque me habló de vos tal persona’ porque tengo manera de conocer tu red de contactos y saber a quiénes conocés. Al personalizarlo, mi phishing evoluciona y hace mucho más probable que clickees en ese link. Y esto está al alcance de todos", reveló.

"Otro delito muy sencillo es hackear la base de datos de las compañías telefónicas, obtener los números de miles de personas y enviar un SMS con un link que te suscribe a un servicio premium del que no sabés nada y que puede incluso mandar desde tu teléfono más SMS sin que jamás te enteres ya que por un código de programación se eliminan de tu bandeja de salida. Así que sólo tengo que sentarme a ver cómo recaudó dinero con mi servicio de mensaje de textos premium en consumidores que pueden tardar meses y hasta años en descubrirlo, ya que son gastos muy bajos pero repetidos en miles de personas", detalló el programador.

Para Anscombe, cada vez es más fácil caer en la trampa de los criminales porque sus recursos son muy accesibles: "El precio de los servicios en la nube, por ejemplo, bajó mucho, lo que explica por qué hoy todos quieren hacer machine learning… ¡es muy barato! Pero también es más barato engañar usando inteligencia artificial".

"Mi objetivo, por supuesto, no es alarmar sino poder contar con la información para pensar que los recursos para este tipo de delitos están más cerca de lo que creemos. La mayor ventaja que tienen los cibercriminales es que hombres y mujeres somos curiosos. En la gran mayoría de los casos, los delitos suceden porque le dimos click a algo, porque aceptamos un programa o una app. Y es difícil dominar la curiosidad", concluyó.

Conforme a los criterios de

Conocé más

Eugene Kaspersky. “El error humano es una de las vulnerabilidades más significativas en la ciberseguridad”

Privacidad. Los riesgos de DeepSeek: qué datos recopila, cómo los usa y cómo podría afectarte

Dos personas se adjudican su autoría. Cómo fue el ciberataque al sitio Argentina.gob.ar, el último de una larga serie