Cibercrimen, el gran mercado oscuro de datos robados

El panorama del cibercrimen cambió radicalmente en los últimos años. La imagen del hacker solitario, trabajando desde su computadora, dio paso a un ecosistema mucho más organizado y comercial, donde los actores del crimen digital operan como si fueran parte de una empresa. Este fenómeno, conocido como Cybercrime as a Service (CaaS), hizo del cibercrimen una industria estructurada, eficiente y en constante expansión, según informó El País.

El CaaS toma su nombre del modelo SaaS (Software as a Service), muy popular en el mundo empresarial para ofrecer servicios en línea. En este caso, lo que se ofrece no son programas legítimos, sino herramientas maliciosas y datos robados. “Es como tomar un software común, como Microsoft Office, y convertirlo en una herramienta para ejecutar malware”, explica Marc Almeida, investigador en ciberseguridad.

Este modelo de negocio transformó por completo el cibercrimen, que ahora funciona de manera similar a cualquier industria legal. Existen desarrolladores, intermediarios, plataformas de compra-venta y distintos niveles de acceso a productos según lo que necesite el “cliente” del crimen. Entre los productos más comunes están el acceso a redes vulnerables, malware personalizado y servicios para robar datos.

Mucho del tráfico relacionado con el CaaS se encuentra en áreas ocultas de internet, como la deep web y la dark web, lugares inaccesibles desde los buscadores convencionales. Sin embargo, la actividad criminal no se limita solo a estos espacios oscuros. Plataformas como Telegram y Discord también se convirtieron en lugares comunes para distribuir herramientas maliciosas y facilitar la compra-venta de datos robados.

Por su parte, Constantinos Patsakis, investigador del Athena Research Center en Grecia, comentó: “Puedes encontrar foros o servicios que venden credenciales, o que facilitan el blanqueo de dinero o la venta de malware”. En algunos casos, incluso se dan situaciones donde alguien publica en un foro: “Tengo información de la empresa X” y solicita pagos en criptomonedas para venderla.

Uno de los submodelos más comunes dentro del CaaS es el Malware as a Service (MaaS), que incluye variantes como el Ransomware as a Service (RaaS). Según el informe de la empresa de ciberseguridad Darktrace, el MaaS ahora es responsable del 57% de los ciberataques a empresas e instituciones, un aumento significativo desde el 40% que representaba en 2024, según recoge El País.

El atractivo de este modelo es que permite a los delincuentes comprar herramientas ya hechas, ahorrándose el esfuerzo de crear su propio malware desde cero. Almeida señaló que “les cuesta mucho menos de lo que les hubiera costado hacerlo desde cero”. De esta forma, los criminales pueden centrarse solo en ejecutar el engaño, como hacer que una persona haga clic en un enlace malicioso o descargue un archivo infectado.

El robo de datos es uno de los principales objetivos de los grupos de cibercriminales que operan bajo el modelo CaaS. Utilizando programas maliciosos llamados infostealers, estos atacantes logran robar credenciales de acceso, información bancaria y otros datos sensibles. Después, envían estos datos a servidores centralizados.

Según Patsakis, no todos los datos robados tienen el mismo valor. “Si tienen datos de 10.000 usuarios, no todos estos datos son igual de valiosos. Algunos pueden ser de personas con perfiles altos o cuentas bancarias importantes, que tienen más valor en el mercado”, explicó.

Los grupos de cibercriminales aprendieron a organizarse como empresas, adoptando estrategias comerciales convencionales. Muchos de estos grupos no solo venden herramientas maliciosas de forma directa, sino que también ofrecen suscripciones a catálogos de malware que se actualizan constantemente.

A su vez, Almeida compara este modelo con la forma en que las empresas legítimas venden software: “Si querés, podés comprar solamente el ejecutable o también el servidor Command & Control, que te permite controlar cómo se ejecutan los programas maliciosos, hacer actualizaciones, etc.”

Esta estructura facilitó la entrada de nuevos actores al cibercrimen. Antes, se necesitaban habilidades técnicas avanzadas para desarrollar un ataque. Ahora, cualquier persona puede adquirir un paquete y comenzar a atacar, como si estuviera instalando un software de oficina común.

Frente a este crecimiento del CaaS, existen esfuerzos en Europa para hacer frente a la amenaza. Proyectos como SafeHorizon, coordinados por Patsakis, buscan comprender mejor cómo operan los cibercriminales y desarrollar medidas para aumentar la resiliencia ante estos ataques. En este proyecto, participan investigadores y fuerzas de seguridad de varios países, como Finlandia, Polonia y Moldavia.

“Tratamos de entender el modus operandi de los cibercriminales, recoger datos y hacer correlaciones. Intentamos entender cómo funciona un malware con ingeniería inversa, qué hace y dónde envía los datos robados”, explicó Patsakis. La colaboración entre las fuerzas de seguridad, la academia y el sector privado es clave para enfrentarse a una industria delictiva que ya se comporta como un mercado global bien organizado.