Redacción web / La Voz de Michoacán. La frecuencia, variedad y complejidad creciente de los ataques son producto de un mercado de proveedores de una “ciberdelincuencia como servicio”. Este mercado permite que diferentes partes malintencionadas ejecuten ataques por un costo ampliamente reducido, con niveles de conocimientos técnicos considerablemente inferiores. Como en el caso de los servicios en la nube, este ecosistema de la ciberdelincuencia entrega una eficiencia mayor y una flexibilidad superior a los delincuentes cibernéticos, igual que en cualquier otro emprendimiento de “negocio”. Este método se extiende mucho más allá de la contratación de personas para que realicen tareas específicas (como la programación de una vulnerabilidad de seguridad) e incluyen una amplia gama de productos y servicios disponibles a la venta o por alquiler. Este mercado contiene diferentes partes interesadas, desde organizaciones formales y legítimas que venden vulnerabilidades a clientes que se ajustan a los estrictos criterios de elegibilidad, hasta sitios Web clandestinos que permiten que cualquier persona ofrezca servicios ilegales. El enfoque de las fuerzas de seguridad pública en la ciberdelincuencia a nivel mundial provocó que los modelos “como servicio” de las actividades ilegales se volvieran aún más clandestinos. Estas plataformas clandestinas implementan mecanismos más robustos para garantizar que los participantes realmente son quienes dicen ser (o al menos no son funcionarios de las fuerzas de seguridad pública). Paradójicamente, a medida que las plataformas que facilitan el mercado de servicios para actividades ilegales se vuelven más clandestinas, el comercio de vulnerabilidades zero-day es más transparente que nunca antes. A todas luces, la mayoría de estos servicios es administrado por ciberdelincuentes. Existen varios servicios, sin embargo, que siguen siendo legales. En general, podemos clasificar a los servicios como parte de los mercados negros o grises. Empleamos la clasificación “gris” cuando resulta difícil determinar las actividades o los clientes reales. Investigación como servicio A diferencia de las otras categorías, la investigación como servicio no tiene por qué originarse en fuentes ilegales: hay espacio para un mercado gris. Existen empresas comerciales que ofrecen a la venta vulnerabilidades zero-day a determinadas organizaciones que cumplan con sus criterios de elegibilidad. Y también hay personas que actúan como intermediarios, que venden este tipo de propiedad intelectual a clientes interesados que pueden tener o no los mismos criterios de elegibilidad estrictos. Ejemplos: Vulnerabilidades a la venta: un mercado comercial. El mercado de hoy atiende a los interesados en la adquisición de vulnerabilidades zero-day: vulnerabilidades de software sin solución conocida a la hora de su descubrimiento. Esta categoría se reconoce por los requisitos de elegibilidad para los clientes: se exige, por ejemplo, que los clientes sean funcionarios de las fuerzas de seguridad pública u organizaciones gubernamentales. Independientemente de estos requisitos, estos servicios se pueden usar (y así sucede en la práctica) para adquirir información secreta sobre las vulnerabilidades para usarla en ataques. Intermediarios de vulnerabilidades de seguridad. Aunque la adquisición de vulnerabilidades se puede llevar a cabo a través de una entidad comercial, existe la posibilidad de adquirirlas a través de servicios intermediarios. Esto puede ser una persona independiente que actúa como intermediario motivado por las comisiones para facilitar las ventas a terceros. Servicios de spam. En vez de crear listas de correo electrónico manualmente, los spammers aspirantes cuentan con el lujo de poder adquirir una lista de direcciones de correo electrónico. Aparte de la personalización del mensaje en un idioma determinado, el mensaje electrónico no solicitado puede requerir de ajustes más específicos. Por ejemplo, si hay algo que concierne a los consumidores de un estado determinado de los EE. UU., existen servicios que entregan direcciones de correo electrónico pertenecientes a personas de estados puntuales.