La plaga del cibercrimen

"Del ansia de saber al ansia de poseer". As¨ª resume Chelo Malag¨®n, del equipo de seguridad inform¨¢tica (CERT) de RedIRIS, la evoluci¨®n de los atacantes en una Internet donde la seguridad ha pasado de ser la gran olvidada a la peor pesadilla. En 10 a?os han aumentado exponencialmente el n¨²mero y complejidad de los ataques, con el internauta de a pie como cebo f¨¢cil.

A finales de los a?os noventa, el atacante est¨¢ndar pertenec¨ªa al llamado underground, amateurs dedicados a la investigaci¨®n y el entretenimiento que atacaban servidores para que las empresas tomaran conciencia de su falta de seguridad. Hoy, son delincuentes: "Una verdadera industria con niveles muy altos de profesionalidad y conocimientos, mejor organizados y con el lucro como motivo", explica Malag¨®n.

La irrupci¨®n de la ciberdelincuencia, a partir de 2002, cambi¨® todas las reglas. Los ataques ser¨ªan cada vez m¨¢s sofisticados, dirigidos a objetivos concretos y dif¨ªciles de detectar. Asimismo, sus v¨ªctimas ya no ser¨ªan s¨®lo los servidores corporativos, sino tambi¨¦n los ordenadores dom¨¦sticos, con sistema operativo Windows, conectados permanentemente a la Red por banda ancha y siempre poco protegidos.

Atacantes en potencia

S¨®lo era preciso saber enga?ar a sus propietarios para infectarlos con virus que diesen a los ciberdelincuentes el control de millones de ordenadores. Esto provoc¨®, como explica el equipo esCERT de la Universidad Polit¨¦cnica de Catalu?a, una gran paradoja: "Los internautas pasaron a ser atacantes en potencia". Fuera de su control, sus ordenadores se convirtieron en armas para correo basura, virus o bombardear otras m¨¢quinas.

As¨ª se formaron vastas redes, las botnets, controladas por los criminales. Algo ni siquiera imaginado hace 10 a?os y hoy convertido en la principal plaga del ciberespacio, parte esencial de la mayor¨ªa de cibercr¨ªmenes y estafas como el phishing o robo de cuentas bancarias, cuya curva de crecimiento desde mediados de la primera d¨¦cada del siglo XXI es alarmante.

El negocio formado alrededor de las botnets, "que pueden alquilarse o venderse para controlar y extraer informaci¨®n de miles de ordenadores en todo el mundo", explican en esCERT, da una idea del actual volumen del mercado negro de la inseguridad inform¨¢tica, donde se compran y venden programas maliciosos por decenas de miles de euros.

Los anta?o virus ya no se llaman as¨ª, sino un gen¨¦rico c¨®digo malicioso cada vez m¨¢s inteligente, cambiante y dif¨ªcil de detectar que incluye un sinf¨ªn de variantes. De ¨¦stas, se llevan la palma los troyanos bancarios, creados para robar a los clientes de entidades financieras. El inter¨¦s de sus creadores es puramente econ¨®mico, muy lejos del af¨¢n investigador de los escritores de virus de los rom¨¢nticos a?os noventa.

Al ser una pieza esencial del entramado del cibercrimen, el c¨®digo malicioso ha vivido una evoluci¨®n explosiva, en la que ya no se distingue entre las ramas tradicionales, como el hacking o los virus, y se mezclan todas en esquemas cada vez m¨¢s complejos. "En definitiva, hoy los virus son programas que llegan de una forma u otra a los ordenadores y se dejan controlar desde el ordenador que los ha distribuido", aseguran en esCERT.

Leyes contra el 'spam'

Paralelo aumento ha sufrido el correo basura (spam), que ya no manda s¨®lo publicidad -y la de tipo farmac¨¦utico y sexual es la que m¨¢s ha crecido-, sino tambi¨¦n estafas, c¨®digo malicioso y, ¨²ltimamente, enlaces fraudulentos hacia la web, convertida en los ¨²ltimos tiempos en nuevo escenario del cibercrimen.

"Hace 10 a?os, el spam entraba a trav¨¦s de servidores de correo mal configurados, proced¨ªa de fuentes f¨¢ciles de identificar y denunciar. Entonces salieron las primeras legislaciones contra esto, pero los spammers descubrieron la forma de disponer de millones de ordenadores y no s¨®lo el spam aument¨® de forma desmedida, sino que la legislaci¨®n dej¨® de ser ¨²til", explica Jes¨²s Sanz de las Heras, de IRIS-CERT.