?Tiene cinco euros? Puede entrar al internet oscuro a comprar un virus (y le sobrar¨¢ dinero)

¡°Muy buen vendedor... Recomendado 100%¡±, ¡°Me pareci¨® muy sencillo el tutorial¡±, ¡°Este tipo es de fiar¡±, ¡°5/5 Gran servicio¡±. Podr¨ªan ser las t¨ªpicas rese?as de Amazon, tal vez para un vendedor de c¨¢psulas de caf¨¦ o pastillas de lavavajillas. Pero no. Los servicios elogiados no se pueden conseguir en el internet corriente, solo est¨¢n accesibles desde navegadores como Thor, que conducen a la dark web o internet oscuro. Es m¨¢s, lo que han comprado estos usuarios an¨®nimos ni siquiera es legal: es el troyano conocido como Zeus Botnet, que permite robar credenciales bancarias y usar la red de equipos infectados (conocida como botnet) para cometer acciones maliciosas. Y cuesta menos de tres euros.

¡°Hay diferentes tipos de vendedores de malware [programas inform¨¢ticos maliciosos]. Normalmente, los m¨¢s especializados son m¨¢s caros¡±, explica el investigador Carlos H. Ga?¨¢n, del grupo de Ciberseguridad de la Universidad de Delft (Holanda), que ha compartido con EL PA?S los ejemplos mencionados. En su selecci¨®n hay ofertas para todos los bolsillos: las muestras de Zeus Botnet oscilan entre unos pocos c¨¦ntimos y algo m¨¢s de 30 euros, pero tambi¨¦n hay servicios que superan los 1.000 euros.

Los cat¨¢logos son tan variados como los precios. De acuerdo con un repaso de la firma de seguridad Armour, la opci¨®n m¨¢s econ¨®mica para quienes tienen los conocimientos necesarios es adquirir por separado herramientas b¨¢sicas como exploits que aprovechan vulnerabilidades para acceder a sistemas ajenos, muestras de ransomware (virus de secuestro inform¨¢tico) o el c¨®digo para ampliar el alcance de botnets como Zeus. ¡°Tienes toda la cadena de suministro. Puedes comprar un paquete en el que el criminal te hace todo, o una parte particular del crimen¡±, precisa Ga?¨¢n. ¡°Puedes contratar desde la parte entrada del malware hasta las mulas que pondr¨¢n el dinero en tu cuenta o el mixer que reduce la trazabilidad de las criptomonedas¡±.

Entre los servicios m¨¢s elaborados figuran plataformas dise?adas para permitir lanzar un ataque de denegaci¨®n de servicio (DDoS) con unos pocos clics y establecen el coste en funci¨®n del volumen de m¨¢quinas que participan en la sobrecarga de los servidores o la duraci¨®n de la ofensiva. ¡°Es bastante sencillo: pagas con bitcoin, con monero o incluso con tarjeta y te dan acceso a un panel donde puedes hacer lo que quieras. Pones la URL, el tiempo y el tipo de ataque¡±, resume Marc Rivero, investigador senior de seguridad del equipo GReAT de Kaspersky. Seg¨²n el experto, ser¨ªa posible lanzar un ataque ¡°bastante grande¡± por unos 90 euros.

Estos ¡°bienes digitales¡± para hacer el mal son cada vez m¨¢s demandados y ofrecidos en el internet oscuro, largamente se?alado como el mercado de lo s¨®rdido: desde armas hasta drogas, pasando por pornograf¨ªa infantil. ¡°Los productos f¨ªsicos son m¨¢s complicados porque necesitas una direcci¨®n a la que enviarlos. Es muy f¨¢cil vender software porque lo puedes recibir en cualquier parte del mundo y con total anonimato¡±, explica Ga?¨¢n. Adem¨¢s, la competencia entre los proveedores acerca sus usos y costumbres a los de cualquier vendedor que intenta hacerse hueco en una plataforma de comercio electr¨®nico: establecen canales de atenci¨®n al cliente, mejoran las experiencias de sus usuarios, se preocupan por su buen nombre y ajustan sus precios. ¡°Si eres un principiante, no tienes reputaci¨®n. Esos son los que normalmente ofrecen tarifas m¨¢s bajas¡±, a?ade el experto.

Adem¨¢s, al abaratamiento de los servicios inform¨¢ticos malignos contribuye adem¨¢s la expansi¨®n del ecosistema digital. Hace tan solo siete a?os y seg¨²n datos de IoT Analytics, hab¨ªa unos 3.600 millones de dispositivos conectados al internet de las cosas, que incluye pulseras de actividad, c¨¢maras de vigilancia o asistentes virtuales, entre otros; en 2020 superaban los 11.300 millones. Cuando esas m¨¢quinas no est¨¢n adecuadamente protegidas son presa f¨¢cil para los atacantes que est¨¢n buscando acceder a una red o construir una botnet. ¡°Adem¨¢s, ten en cuenta que si estos aparatos est¨¢n en una gran empresa o en una universidad, disponen de mucho ancho de banda¡±, explica Rivero.

Existen propuestas menos inform¨¢ticas, como ¡°hundir el negocio de alguien¡±. Por poco m¨¢s de 150 euros, la v¨ªctima se ver¨¢ arrollada por un tsunami de spam telef¨®nico, recibir¨¢ env¨ªos no solicitados en su local (por ejemplo, pizzas) y aparecer¨¢ en anuncios que da?en su reputaci¨®n. Tambi¨¦n se pueden comprar tarjetas de cr¨¦dito clonadas y credenciales de PayPal cuyo valor lo determinan los fondos disponibles en las cuentas asociadas. Datos personales como el nombre completo, la fecha de nacimiento, la direcci¨®n, el pa¨ªs, el n¨²mero de tel¨¦fono, el n¨²mero de la seguridad social o el del permiso de conducir estar¨ªan a la venta por unos 20 euros para un ciudadano espa?ol y por casi 50 para uno brit¨¢nico. Si lo que buscamos es un curso de formaci¨®n que nos procure habilidades como acceder al panel de administraci¨®n de un r¨²ter y encontrar los objetivos adecuados en su red, bastan poco m¨¢s de 100 euros. ¡°Y tambi¨¦n hay tutoriales gratuitos¡±, subraya Ga?¨¢n.

Si un profano puede lanzar un ciberataque, ?tambi¨¦n puede sortear las consecuencias? Seg¨²n Ga?¨¢n, dado que el inter¨¦s principal de las fuerzas de seguridad es identificar a los operadores de estos mercados para arrancar el problema de ra¨ªz, vendedores y compradores quedan en un moderadamente discreto segundo plano. La clave es tomar todas las medidas que preserven la identidad del comprador. Rivero, que ha visto casos de empleados que acaban mal en una empresa y buscan vengarse con un ataque inform¨¢tico, argumenta que el anonimato absoluto no es tan f¨¢cil de conseguir. ¡°Este tipo de cosas suelen acabar mal porque la persona sin experiencia acaba dejando un rastro¡±, precisa.

?xito no asegurado

En 2019, un equipo de investigadores de la Universidad de California en San Diego se adentr¨® en la dark web para probar diferentes proveedores de robo de credenciales de correo electr¨®nico y redes sociales. Contrataron a 27 criminales y solo cinco de ellos cumplieron con su cometido. ¡°El mercado ten¨ªa poco volumen, mal servicio de atenci¨®n al cliente y m¨²ltiples estafadores¡±, resume el estudio.

La necesidad de construir un sistema de m¨ªnima confianza en un mercado criminal justifica la aparici¨®n de modelos de comentarios como los que encontramos en Amazon. Los operadores de los grandes mercados controlaban antes qui¨¦n acced¨ªa a sus plataformas admitiendo ¨²nicamente a quienes portaban una recomendaci¨®n de otro vendedor o comprador. ¡°Ahora como hay tanta competencia b¨¢sicamente te piden que pagues una cantidad. Si la abonas, eres bienvenido¡±, se?ala Ga?¨¢n. Tambi¨¦n se ofrecen versiones de prueba como las que nos permiten disfrutar de una semana de acceso a una plataforma de streaming.

Pero ni las mejores pr¨¢cticas aseguran negocios duraderos. La historia de los mercados negros del internet oscuro est¨¢ llena de l¨ªderes ca¨ªdos. Cada tanto llega a los titulares un nuevo cierre de ¡°la mayor tienda ilegal¡± de esta parte de la red a la que no se puede acceder desde buscadores convencionales. El ¨²ltimo fue DarkMarket: ¡°Este mercado del internet oscuro ha sido clausurado¡±, rezaba el cartel que dejaron las autoridades en la p¨¢gina del sitio. Al lado del mensaje, el hada que el portal empleaba como logo aparec¨ªa debajo de un matamoscas.

De acuerdo con Europol, en este ¨²ltimo gran bazar unos 2.400 vendedores ofrec¨ªan sus bienes y servicios a casi medio mill¨®n de usuarios. Desde su creaci¨®n, en mayo de 2019, DarkMarket amas¨® al menos 140 millones de euros comerciando con drogas, dinero falso, tarjetas de cr¨¦dito robadas y, c¨®mo no, programas maliciosos. Antes cayeron Silk Road, Alphabay o Empire Market. Sin embargo, este rec¨®ndito zoco digital sigue bullendo de compradores y vendedores. ¡°Tan pronto como cierran uno, aparece otro¡±, sentencia Ga?¨¢n

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.