Cuando cualquier persona puede convertirse en un cibercriminal de éxito
Check Point advierte de que “existen en la web numerosos foros de hacking que enseñan cómo crear malware lucrativo con unos conocimientos informáticos básicos”, además de la posibilidad de “aprovecharse de las herramientas creadas por otros”.
Lanzar un ataque de ciberdelincuencia es más sencillo de lo que algunos podrían pensar.
El experto de Check Point, Gadi Naveh, así lo ha explicado en su charla “Build Your Own Cybercrime Empire in 20 minutes” con motivo del Mundo Hacker Day 2017. Este especialista en prevención de amenazas avanzadas recuerda que “existen en la web numerosos foros de hacking que enseñan cómo crear malware lucrativo con unos conocimientos informáticos básicos. Por ejemplo, mediante el robo de información o de credenciales bancarias, el chantaje o el ransomware“.
“Sin embargo”, añade, “existe un método más rápido y fácil para crear un imperio del cibercrimen: aprovecharse de las herramientas creadas por otros hackers“. De hecho, hoy en día existen dos amenazas importantes, que serían los exploits kit-as-a-service y el ransomware-as-a-service. También se ha vuelto común la descarga de malware conocido que se vuelve indetectable para herramientas de protección tradicionales gracias a programas localizables en internet
“Los ciberdelincuentes necesitan un único momento de debilidad en la seguridad de una empresa para que su ataque tenga éxito”, advierte Gadi Naveh.
Hoy en día cualquiera podría tonarse en ciberdelincuente y lanzar un ataque de éxito siguiendo tres pasos. El primero sería aplicar ingeniería social, creando páginas web falsas que se hacen pasar por sitios en propiedad de entidades con las que la gente se relaciona de forma online y ve como seguras, como los bancos. El objetivo final sería ganarse la confianza de la gente e incitar a los empleados de una empresa, por ejemplo, a que se relacionen con esa web e introduzcan sus credenciales. Desde Check Point indican que hay herramientas online para la creación de este tipo de páginas “en cuestión de minutos”.
En segundo lugar, con sólo buscar en internet sería posible obtener listas de correo electrónico previo pago para lanzar el ataque. Entre las personas incluidas en estas listas de contactos estarían no sólo los trabajadores de escalas más bajas, sino los propios CEOs de compañías.
Ya para finalizar, bastaría con contratar a hackers un servicio que envíe desde dominios de apariencia legítima los correos maliciosos con los que se quiere bombardear la lista de contactos que se ha adquirido. Esto dificultaría la actuación de los filtros antispam.