Juan Navarro     EMEA Security Sales Specialist.

Actualmente los criminales operan a través de un modelo formalizado y una “cadena de valor” similares a la estructura de los negocios legales, generando mayor retorno de la inversión para la organización cibercriminal durante todo el ciclo de vida del ataque. Mejorar la protección de las empresas resulta fundamental en este nuevo escenario. Los cibercriminales son, para muchas empresas, un obstáculo en su día a día. Y en un mundo tan conectado, también lo es ahora del usuario individual. Para poder protegerse mejor de los ataques, tanto ciudadanos como empresas deben conocer la dinámica de trabajo del cibercrimen para estar un paso por delante de los ciberdelincuentes.

De acuerdo al informe “The Business of Hacking” difundido y realizado por Hewlett Packard Enterprise (HPE) a finales de mayo de este mismo año, el perfil del típico atacante cibernético y su naturaleza interconectada a la economía sumergida ha evolucionado de forma espectacular en los últimos años. Los criminales están aprovechando la creciente sofisticación de sus principios de gestión a la hora de crear y expandir sus operaciones para aumentar su impacto y sus beneficios financieros, que son los dos objetivos fundamentales que mueven a la mayoría de estos grupos delictivos. Las empresas pueden utilizar este conocimiento interno contra los atacantes para romper su estructura organizativa y mitigar sus riesgos.

El informe “The Business of Hacking” muestra cómo los piratas informáticos son expertos en maximizar sus beneficios y minimizar los riesgos, resultando en una propuesta de negocio muy lucrativa. En 2015, las pérdidas debidas a la ciberdelincuencia se estimaron en más de 300 mil millones de dólares, aumentando un 19%. Empresas de todo el mundo pierden anualmente más de 7’7 millones de dólares debido al cibercrimen.

Los criminarles de hoy en día operan a través de un modelo formalizado y una “cadena de valor” similares a la estructura de los negocios legales, generando mayor retorno de la inversión para la organización cibercriminal durante todo el ciclo de vida del ataque. Si los líderes de seguridad a nivel empresarial, los responsables de legislar y aplicar la ley, quieren detener a las organizaciones delictivas, lo primero que tienen que hacer es conocer cada paso de la cadena de esta economía sumergida.

Los criminales cibernéticos están muy profesionalizados, cuentan con una financiación sólida y trabajan juntos para lanzar ataques coordinados. Esta cadena de valor se compone de elementos que imitan la función empresarial estándar, como la gestión de recursos humanos (que busca nuevos miembros y controla a sus trabajadores), operaciones (equipo de gestión para garantizar el flujo de información), desarrollo técnico (los trabajadores con los conocimientos técnicos), marketing y ventas (hacer conocidos los productos ilegales y de confianza) y logística de salida (la gestión de entrega de la información).

Esta estructura los profesionaliza y los acerca a su objetivo, lograr los máximos beneficios posibles vendiendo su economía sumergida. Su estrategia es ganar beneficios con el mínimo riesgo posible y el mayor retorno de la inversión. Los atacantes se están aprovechando cada vez más de sofisticados principios de gestión en la creación y expansión de sus operaciones para aumentar en última instancia su impacto y beneficios financieros, dos de las motivaciones principales para casi todos los grupos de ataque en la actualidad. 

Hemos visto que los cibercriminales que tienen una estructura muy formalizada en su modus operandi, sin embargo, no tienen una búsqueda delimitada de datos. Cualquier información es útil para el ciberdelincuente: bancaria, personal, propiedad intelectual, registros médicos, direcciones IP… Y en una empresa, las bases de datos y la información intercambiada entre trabajadores y clientes es su principal objetivo. Lo peor es que para los criminales es relativamente fácil conseguir esta información. Hay varias maneras de comprar y vender servicios de hacking y probablemente el sitio más famoso donde conseguirlo, y conocer otros miembros de comunidades de hacking, es la Deep Web. 

Para evitar los ciberataques, el primer paso es empezar a ver a los atacantes no como adversarios, sino como competidores dentro del mercado. HPE recomienda una serie de acciones para los profesionales de seguridad de las empresas de cara a mejorar la defensa contra estos atacantes organizados: reducir las ganancias, reducir el grupo objetivo y aprender de los atacantes.

Se pueden limitar las ganancias financieras que los atacantes pueden realizar a partir de un ataque a la empresa con la implementación de soluciones de cifrado de extremo a extremo. Mediante la encriptación de datos en reposo, en movimiento y en uso, la información se vuelve inútil para los atacantes, lo que restringe su capacidad para vender y la reducción de los beneficios. El segundo consejo, reducir el grupo objetivo (target pool), se puede conseguir si la organización construye la seguridad en sus procesos de desarrollo y se centra en la protección de las interacciones entre los datos, las aplicaciones y los usuarios, independientemente del dispositivo, para mitigar y desbaratar mejor los ataques. Por último, la observación es clave. Las nuevas tecnologías como las “deception grids” proporcionan métodos de captura, monitorización y  aprendizaje de los atacantes, como rastrear su navegación a través de una duplicación realista de la red. Las empresas pueden utilizar esta información para proteger mejor su red real, interrumpir ataques similares antes de que empiecen y frenar el avance de los atacantes.

Si la empresa logra el objetivo de detectar los delincuentes, es entonces el turno de la justicia. Aunque no siempre es fácil. La Ley necesita actuar con la máxima agilidad para luchar contra el cibercrimen de manera efectiva. Los 'hackers' evolucionan rápidamente y se aprovechan de los vacíos de la legislación. Para combatir el cibercrimen debe haber una fuerte cooperación entre los diferentes países y los distintos sistemas legales, lo que conlleva unificar el criterio y actuar de una manera coordinada. La nueva legislativa europea, como el Reglamento General de Protección de Datos ayuda a reducir la probabilidad de ser víctima de la delincuencia informática, ya que implementa un estándar común a través de las Comunidades Europeas y se centra en última instancia en la protección de la privacidad de los ciudadanos. Además, sugiere que prácticas de seguridad sean implementadas en organizaciones, tales como la encriptación, gestión de registros y el reclutamiento de agentes de protección de datos

En la economía del cibercrimen, los límites entre países ya no existen. Internet es global y no entiende de fronteras. Es la gran baza de los cibercriminales: pueden operar en cualquier lugar, mover grandes cantidades de dinero de un país a otro, y eludir la justicia de cada uno de ellos. Por fortuna, las empresas también han evolucionado y su puesta a punto en materia para luchar contra el cibercrimen cada día es mayor, luchando por proteger los datos de todos sus usuarios.

Referencias e información adicional:

Video: HPE Business Insights. Un debate sobre “The Business of Hacking” y lo que supone para las empresas.   

Metodología: El estudio “Business of Hacking” aprovecha los datos y observaciones de los equipos de seguridad de HPE, la inteligencia de código abierto y otros informes de la industria para proporcionar información clave sobre las motivaciones de los atacantes, las organizaciones y las oportunidades para que las empresas puedan detener estas actividades y mitigar los riesgos.