Técnicas y Amenazas Informáticas

Crimeware-as-a-Service en la industria delictiva

Actualmente existen tecnologías que permiten el empleo de Internet como infraestructura de servicios informáticos. Los beneficios que presentan estas tecnologías también son aprovechados por los delincuentes informáticos, dando lugar a un nuevo servicio, aunque de índole fraudulento: CaaS (Crimeware-as-a-Service, en español, Crimeware como un Servicio).

Internet proporciona infinidad de recursos, donde uno de los más trascendentes lo constituyen todos aquellos servicios que se aglomeran bajo el marco de Cloud Computing (en español, computación en nube). Básicamente, esta tecnología permite utilizar servicios informáticos empleando Internet como infraestructura. Algunos ejemplos de este tipo de servicios son Elastic Compute Cloud (Amazon EC2), Google Apps y Microsoft Azure

Algunas de las principales ventajas de utilizar esta tecnología radican en la facilidad de uso y el ahorro de tiempo/costo, ya que el usuario no necesita implementar componentes extras a su equipo sino que utiliza todos los recursos que necesita, en función de la prestación, a través de Internet.

Por otro lado, existen ciertos acrónimos para clasificar los diferentes servicios que se ofrecen a través de Internet en función de sus prestaciones. Así, se encuentran servicios del tipo:

•    SaaS (Software-as-a-Service, en español, Programa como un Servicio), que consiste en utilizar programas como si fuesen servicios pero utilizables a través de Internet. Esto permite a los usuarios tener la ventaja de no instalar en sus equipos los programas sino que los utilizan directamente a través de Internet.

•    IaaS (Infrastructure-as-a-Service, en español, Infraestructura como un Servicio). Generalmente, las mismas se encuentran dentro de un esquema de virtualización que proporciona la infraestructura necesaria para asegurar el almacenamiento de información de forma externa.

•    PaaS (Platform-as-a-Service, en español, Plataforma como un Servicio). En este caso, la prestación del servicio supone la utilización de plataformas que permitan desarrollar y ejecutar aplicaciones directamente en y desde Internet.

Sin embargo, los beneficios que se encuentran bajo esta tecnología, también son aprovechados por los delincuentes informáticos para agilizar la automatización de la creación de malware y amenazas asociadas, canalizando así todos aquellos aspectos involucrados en los procesos fraudulentos propios del crimeware.

De esta manera, un nuevo “servicio” pero de índole delictivo comenzó a aparecer cada vez con mayor fuerza: CaaS (Crimeware-as-a-Service, en español, Crimeware como un Servicio).

Al igual que los anteriormente mencionados, CaaS responde a un modelo de servicio, aunque éste es fraudulento, mediante el cual los delincuentes informáticos acceden a una serie de recursos que permiten la manipulación de programas dañinos y realizar acciones de fraude a través de Internet, con la finalidad de entorpecer su detección por parte de las compañías de seguridad.

En consecuencia, comenzaron a aparecer nuevos términos para describir las diferentes alternativas delictivas que aprovechan y basan sus estrategias en la migración hacia la nube, como por ejemplo: MaaS (Malware-as-a-Service, en español, Malware como un Servicio), que consiste en ofrecer la creación y/o manipulación de códigos maliciosos en línea utilizando Internet como infraestructura.

En este aspecto un ejemplo lo representa un cripter online. Este “servicio” del tipo MaaS ofrece la posibilidad de someter a un determinado malware a un proceso de cifrado. De esta manera, cada ejemplar del código malicioso que se propague será completamente diferente al anterior. A continuación vemos una captura de este servicio.


Imagen 1 - Online crypter como modelo de MaaS

 Del mismo modo, las redes de computadoras zombis (botnets) que proporcionan su control y administración  a través del protocolo HTTP empleando aplicaciones web, son otro claro ejemplo de cómo se aprovecha la infraestructura de terceros para cometer acciones delictivas, robar información sensible de los usuarios y propagar malware desde Internet.

En este caso, el delincuente informático (botmaster) proporciona la infraestructura necesaria, a través de una botnet, para que los otros actores del ámbito delictivo dispongan de ellas en función de sus necesidades fraudulentas, sorteando el costo de los recursos necesarios para, por ejemplo, realizar un ataque de DDoS (Denegación de Servicio Distribuido) o propagar spam o correos de phishing, entre otros, ya que se emplean como plataforma de ataque los recursos de las zombis a través de Internet.
 

Imagen 2 – Ejemplo del circuito delictivo del CaaS

Por otro lado, este ciclo delictivo que se menciona como ejemplo constituye un factor común dentro del esquema criminal que ofrece el crimeware, alimentando así el negocio que en la actualidad representa el malware.

Conclusión
Es un hecho que la industria del malware se ha sumado al concepto de brindar servicios a través de Internet, en este caso fraudulentos, cambiando parte del esquema convencional en torno a la manipulación de programas maliciosos, ya que este tipo de aplicaciones dañinas se encuentran orientadas a facilitar servicios muy similares al modelo de negocio legal del software como servicio (SaaS).

Sin embargo, en materia de seguridad y prevención, los códigos maliciosos que se generan a  partir de servicios de esta índole son detectados proactivamente por ESET NOD32, por lo que para obtener un adecuado nivel de seguridad es recomendable no sólo su implementación sino también no hacer caso omiso a las recomendaciones de seguridad que los profesionales del área realizan.