Adaptación del articulo “From Bounty to Exploit, Cybercriminals Use Crowdsourcing for New Attacks» https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/from-bounty-to-exploit-cybercriminals-use-crowdsourcing-for-new-attacks

Los ciberdelincuentes tienen hoy en día acceso a todos los recursos que necesitan para explotar y extorsionar a las víctimas, y sus recursos siguen creciendo. Aunque no tienen departamentos regulares de investigación y desarrollo tal y como los conocemos, han desarrollado una forma de idear nuevos ataques mediante el crowdsourcing de sus procesos de investigación y desarrollo ofensivos. En esta entrada, se intenta explicar la investigación y el desarrollo criminal en forma de concursos públicos.

En este artículo, se describen los diferentes concursos que TrendMicro ha presenciado y por qué creen que estos concursos son una peligrosa innovación en un mercado cibercriminal ya bien desarrollado.

¿Qué son estos concursos?

Estos concursos son convocatorias públicas de artículos en los que se pide un contenido técnico con métodos ofensivos. Pueden limitarse a un ámbito concreto o ser de naturaleza más genérica. Cualquier miembro del foro puede enviar un texto técnico que proponga un nuevo ataque, técnica, vulnerabilidad o método ofensivo. El organizador del concurso ofrece un premio (a veces premios) que se otorgará al mejor o más innovador de esos artículos.

De este modo, los actores criminales podrían obtener una ventaja fiable en la competición del gato y el ratón contra los defensores de la red. Si siguen realizando estas competiciones con frecuencia, eventualmente podrían encontrar un cambio de paradigma que alteraría significativamente el statu quo ofensivo. Por lo tanto, es importante saber qué están haciendo para evitar una nueva forma de ataque que nos pille desprevenidos en el futuro. De hecho, es posible que estos concursos engendren una innovación significativamente desafiante para la ciberseguridad.

Concursos en Busca de Talento

Es el equivalente en grupos de malware a un concurso de canto o de talentos como «American Idol» o «America’s Got Talent». Aunque estos concursos de búsqueda de talentos no son los más frecuentes, los han detectado en el pasado y creen que su relevancia radica en la posible contratación de los mejores candidatos para desarrollar sus nuevas cepas de malware.

Toman por ejemplo el siguiente post de un actor criminal en un foro de «exploits» publicado el 16 de noviembre de 2020. La traducción es la siguiente:

Concursos en Búsqueda de Conocimiento

El segundo tipo de concurso es el de conocimientos, en el que los ciberdelincuentes buscan artículos que hagan avanzar el nivel de conocimientos en el campo de la tecnología ofensiva. El siguiente es un ejemplo de un artículo traducido para uno de estos concursos:

En este contexto, los organizadores buscan aumentar el conocimiento en el campo de la criptodivisa. Paradójicamente, el premio se fija en dólares estadounidenses y no en criptomonedas, como cabría esperar. Estos contextos están orientados a los expertos en el campo y, aunque favorecen el conocimiento basado en la técnica también, incluyen artículos que explican los protocolos y desentierran el software inusual.

A menudo, se observan convocatorias más genéricas de artículos que no limitan el tema a un solo dominio. De hecho, hay un foro de ciberdelincuentes que lleva a cabo una serie de concursos que se encuentra actualmente en su séptima iteración, en la que los ciberdelincuentes realizan el concurso cada pocos meses. Tanto la participación como el interés en este concurso han ido aumentando de forma constante junto con el incremento de las ofertas de premios.

Es interesante observar la gama de temas de estos concursos, ya que los temas tienen un alcance más amplio que otros. Sus aplicaciones también son eminentemente prácticas: los organizadores sólo quieren técnicas ofensivas que puedan ponerse en práctica inmediatamente. Los temas que cubren son las principales etapas de una intrusión, es decir, ingeniería social, explotación de vulnerabilidades, escalada de privilegios, contrarrestar el software de defensa, ganar persistencia y tecnología de malware genérico. Esto podría significar que la delincuencia clandestina también está interesada en el Internet de las cosas (IoT) como tema en cualquiera de sus dimensiones, como entrar en una red IoT o utilizar un dispositivo IoT un objetivo de ataque, ya sea por las capacidades del dispositivo o quizás por los datos que puede contener.

Conclusión y Perspectiva de Futuro

Aunque la tendencia actual es modesta, se espera ver cada vez más concursos de este tipo y un aumento constante de los premios hasta que éstos se conviertan realmente en «premios X» y cambien el juego. Estos concursos también tienen el efecto de acelerar la innovación criminal, ya que pocos grupos criminales pueden permitirse tener un departamento de investigación y desarrollo adecuado. Sin embargo, al utilizar este modelo de crowdsourcing, toda la comunidad criminal se convierte efectivamente en un equipo de investigación y desarrollo, lo que es muy poderoso.

Por lo tanto, estos concursos tienen el potencial de cumplir la misma función y dar a los delincuentes el próximo gran ataque que la seguridad informática no puede ver venir. La posibilidad de que uno de estos concursos se lleve el premio gordo puede ser escasa, pero si los delincuentes siguen organizándolos, cabe esperar una especie de «cisne negro» o ataque imprevisto que podría producirse en algún momento.