Los tres consejos de Google para sabotear la economía del cibercrimen.
Con los hackers y la comunidad de investigadores de la seguridad, en constante búsqueda de nuevas formas de destruir cualquier pieza de software que afecte a Internet, es fácil perderse en un ciclo sin fin de hacks y parches.
Pero un equipo de programadores de Google (NASDAQ: Alphabet Class C [GOOG]) e investigadores académicos se ha apartado de ese ciclo para adquirir una visión más amplia de la vorágine de estafas, fraudes y robos en Internet. El resultado es un retrato del submundo digital que va más allá de la idea tradicional de seguridad corporativa, para esquematizar toda la cadena de suministro del crimen online, desde el hackeo de cuentas hasta la extracción de dinero - haciendo hincapié en qué punto de esa cadena puede debilitarse o romperse.
En un artículo de investigación publicado el jueves en el blog de seguridad de Google, un grupo de investigadores del fraude y de los grupos de abuso de Google junto a seis universidades, lanzaron una especie de meta-estudio sobre la anatomía del submundo cibercriminal, centrándose en subindustrias ilícitas como el spam, el fraude de los clics, el scareware, el ransomware y el robo de tarjetas de crédito.
El artículo no aporta ningún dato nuevo. Sin embargo, revisa años de investigación de los cibercrímenes existentes para encontrar modelos y métodos para alterar esos esquemas ilegales. La conclusión de los investigadores - quizás sorprendente para una compañía tan dirigida a la seguridad y a la ingeniería técnica como es Google - es que la seguridad tecnológica con elementos básicos no es suficiente para una empresa que busca proteger a sus usuarios. Hacer realmente mella en la economía del cibercrimen exige emplear estrategias legales y económicas para atacar directamente a los puntos más débiles de su infraestructura: todo, desde el desmantelamiento de redes de bots hasta los procesamientos de pagos.
La seguridad tecnológica con elementos básicos no es suficiente para una empresa que busca proteger a sus usuarios.
«Nuestro mayor logro es que aunque muchos de estos problemas parecen inabordables desde una perspectiva técnica, si lo vemos desde la cadena de suministro y bajo la luz económica, pueden ser solucionables», comentó Kurt Thomas, uno de los autores del estudio, de Google. «Queríamos colaborar con investigadores externos para descifrar exactamente cómo ganaban dinero los delincuentes en el mercado negro e identificar su transitoria infraestructura dependiente del coste. Si se sube el coste, se frena el fraude de las tarjetas de crédito, el spam o las otras formas de abuso».
En una conversación telefónica con Thomas, su compañera de investigación de Google, Elie Bursztein, y los coautores procedentes de la Universidad de Nueva York y de las Universidades de California en San Diego y Santa Bárbara, se les pidió que sacaran conclusiones de su estudio generalizado de las debilidades de Internet. Estas son sus recomendaciones:
1. Use el mercado negro como un espejo para su seguridad
En vez de reforzar constantemente la seguridad frente a amenazas imaginarias, los investigadores recomiendan que las compañías se infiltren en los mercados negros online habitados por los verdaderos criminales que explotan sus sistemas. Allí pueden ver cómo se venden sus datos robados y las cuentas interceptadas u operadas por bots, e incluso hacer un seguimiento de los precios manejados para ello. Thomas y Burzstein afirman que siguen de cerca el precio de las cuentas de Google controladas por bots, empleadas para todo, desde spam de YouTube y Chrome Web Store, hasta las versiones falsas de apps maliciosas de Android o el hosting de sitios fraudulentos en Google Drive. (Sin embargo, no quisieron mencionar los mercados reales del cibercrimen que controlan).
«Empleamos los mercados negros como oráculo para saber funcionan bien nuestras defensas», afirma Thomas. «Nuestros sistemas se reflejan directamente en el precio de esas cuentas. Si los precios suben, sabemos que estamos haciendo los correcto. Si el precio disminuye, hay un problema».
Por ejemplo, a finales de 2013, Google descubrió que el precio de las cuentas de Google controladas por bots descendió de 170 dólares a 60 dólares por cada mil cuentas. Analizando sus registros, pudieron ver que cerca de un cuarto de las cuentas bot se habían registrado con números de teléfono VoIP - una forma barata de eludir el método de Google de restringir las cuentas a cada individuo uniéndolas a números de teléfono. De esta manera Google bloqueaba ciertos servicios VoIP de los que se abusaba comúnmente, y así aumentaba el precio de las cuentas zombie entre un 30% y un 40%. «Cuando se aplicaba mano dura a VoIP y los delincuentes tenían que volver a usar tarjetas SIM, reducíamos de forma importante sus márgenes de beneficio», afirmó Thomas. «Tomando como objetivo ese cuello de botella concreto, podemos mejorar las cosas en la compañía».
2. Ataque la frágil y cara infraestructura criminal
Como en el ejemplo de VoIP, los investigadores de Google recomendaron descubrir el punto del proceso del cibercrimen en el que una sola intervención puede causar el trastorno del más grande negocio o el aumento del precio. Pero ese punto no está siempre en el software de la propia compañía. En muchos casos, los investigadores sugieren ir más allá de la defensa de productos y atacar a la infraestructura criminal e incluso a los propios criminales. «Queremos que la gente cambie de una estrategia de “golpear a los topos”, basada en buscar un agujero y taparlo, a atacar a los principales participantes en el mercado en sí para hacer que el abuso sea fundamentalmente menos rentable», afirmó Thomas.
Ese es un enfoque inesperado de Google, más conocido por la seguridad dirigida a la vulnerabilidad. La empresa ha pagado durante mucho tiempo algunas de las más altas recompensas bug bounty (por detección de virus) a los hackers que revelaran vulnerabilidades en su código, y emplean a un grupo de hackers altamente cualificados en lo que se conoce como Project Zero, para descubrir esas vulnerabilidades en su propio código y en el de otras compañías.
En algunos casos, este nuevo enfoque significa trabajar con la aplicación de la ley para dirigirse a delincuentes concretos y asociarse en investigaciones que conduzcan a su detención. Pero los investigadores reconocen que los delincuentes pueden ser sorprendentemente esquivos - mencionan una recompensa de 250.00 dólares de Microsoft todavía sin conceder, por los autores del infame gusano Conficker, y otra de 3 millones de dólares del FBI, todavía pendiente, por el creador del troyano Zeus, Evgeniy Mikhailovich Bogachev. Por otra parte, los ciberdelincuentes detenidos son a menudo suplantados inmediatamente por sus competidores. También sugieren el desmantelamiento de redes de bots a través de secuestros de dominios, pero observemos que esa táctica puede llevar a un daño colateral, como la controvertida eliminación de Microsoft de No-IP el año pasado.
El punto de la infraestructura más eficaz para el ataque, sugieren, puede ser los sistemas de pago: La presión a los bancos y a los procesadores de pagos con el fin de atacar a clientes sospechosos, puede acabar totalmente con la habilidad para el spam o con las campañas de fraude de los clics para generar realmente un beneficio, y obligar a buscar otro procesador entre el número limitado de ellos que tolera el crimen - o conectar con un mecanismo de pago más restrictivo como bitcoin. «Se tarda meses en implantar este tipo de relaciones», comenta Giovanni Vigna, profesor de ciencia computacional en la UCSB, quien colaboró en el estudio. «El ataque a esa relación con medios legales da lugar a la pena máxima».
3. Colabore con los académicos
Si observamos toda la economía criminal con el objeto de descubrir el punto ideal de ataque, normalmente hay que hablar con gente de fuera de la propia compañía. Esto significa la colaboración con competidores, la aplicación de la ley y - según el punto de vista de Google, que es lo más importante - con los investigadores de las universidades. Eso también significa llevarse bien con el mundo académico mediante becas y programas de prácticas.
«Nos gustan las universidades porque son un campo neutral, son muy útiles para trabajar y ayudan a todas las empresas que pueden» afirma Bursztein. «Uno solo no puede combatir el mercado negro».
No es una coincidencia que ese consejo venga de un estudio en el que Google participa junto a media docena de universidades. Pero Thomas hace hincapié en que los investigadores universitarios normalmente no tienen un producto por el que esforzarse ni una agenda, como la mayoría de los vendedores de seguridad u otras empresas tecnológicas. Y el ingeniero informático de la Universidad de California en San Diego, Stefan Savage, señala que los académicos tienen relaciones más amplias en el mundo jurídico y público que les permiten sumergirse en recovecos más oscuros del mercado negro, y aventurarse en prácticas cuestionables como la compra ilícita de productos, para perseguir a los delincuentes.
«Tenemos más libertad de dominio», señala Savage, otro de los coautores del estudio. Al contrario que en el caso de Google, afirma, «en nuestro caso no hay riesgo de que una marca se vea afectada cuando compramos medicamentos falsos y trazamos la entrada de dinero en los bancos en Azerbaiyán y Europa del Este».
Pero lo más importante, comenta Savage, es que los académicos pueden dar a las empresas la perspectiva que se pierde cuando un equipo de seguridad o fraude se ve envuelto en una lucha diaria. «Prácticamente todas las personas que contrata una empresa para un grupo de abuso, trabaja en modo de crisis constante», comenta Savage. «Muy pocos tienen el lujo de retroceder un paso para emplear un año en el estudio de un problema. Nosotros podemos».