Una nueva clase de cibercrimen está utilizando la tecnología y los servicios en la nube para acelerar los ataques, lo que reduce el tiempo que las empresas tienen para identificar y responder a una infracción, pero también muestra un nuevo mercado en el que el acceso a los registros de datos robados se alquila por suscripción.
Los investigadores Trend Micro han descubierto terabytes de datos corporativos internos e inicios de sesión de proveedores populares como Amazon, Google, Twitter, Facebook y PayPal a la venta en la ‘dark web’. Estos datos se venden a través del acceso a los registros en la nube en los que se almacenan.
Esto tiene como resultado que se moneticen más cuentas robadas, y el tiempo que transcurre desde el robo inicial de datos hasta que la información robada se utiliza contra una empresa haya disminuido de semanas a días u horas, como se desprende del nuevo informe de Trend Micro Research.
Una vez que se adquiere el acceso a los registros de datos robados basados en la nube, el comprador utilizará la información para una infección secundaria. Por ejemplo, las credenciales del protocolo de escritorio remoto (RDP, por sus siglas en inglés) pueden encontrarse en estos registros y son un punto de entrada popular para los delincuentes que se dirigen a las empresas con ‘ransomware’.
«Las credenciales robadas llevan a negocios comprometidos, y la nube está haciendo ese proceso más efectivo que nunca«, asegura el director del equipo Forward-Looking Threat Research de Trend Micro, Robert McArdle. Y advierte de que las empresas que están cien por cien ‘on premise’ no se libran de esta amenaza.
Se trata de «una falsa seguridad» que «solo ayuda a estos criminales a tener éxito», como apunta el directivo. «No se trata de delincuentes que ataquen la infraestructura empresarial en la nube. Se trata de delincuentes que utilizan la tecnología en la nube para mejorar y escalar sus operaciones. Y la reutilización de credenciales es un problema común que puede sufrir cualquier empresa, lo que hace que los datos personales de los empleados sean importantes para considerarlos en una evaluación de riesgos empresariales», añade.
Accesos por suscripción
El almacenamiento en la nube ofrece una escalabilidad y velocidad que proporciona más potencia de computación y ancho de banda para optimizar las operaciones, un atractivo que seduce por igual a empresas delictivas como a las organizaciones legítimas.
La compañía de ciberseguridad explica que el almacenamiento en la nube de la información de usuario y las credenciales robadas se alquila por suscripción, mediante una tarifa mensual de entre 350 y 1.000 dólares, aunque también mediante el acceso a un solo registro, con un precio más alto por conjuntos de datos actualizados con frecuencia o la promesa de una relativa exclusividad.
Estas «nubes de registros» pueden incluir «miles o millones» de correos y contraseñas de plataformas como Google, Amazon, Twitter, Facebook y PayPal. «En un conjunto de datos de muestra de 1.000 registros, identificamos un total de 67.712 ‘url’ para cuentas comprometidas», expone McArdle.
Nueva clase de cibercriminal
Con un acceso fácil a los datos, los ciberdelincuentes pueden agilizar y acelerar la ejecución de los ataques y potencialmente ampliar su número de objetivos. El resultado es optimizar el cibercrimen asegurando que los agentes de la amenaza que se especializan en áreas específicas, por ejemplo, el robo de criptomoneda o el fraude en el comercio electrónico, puedan acceder a los datos que necesitan de forma rápida, fácil y relativamente barata.
Así, desde Trend Micro hablan de una nueva clase de cibercriminal que está emergiendo junto con un nuevo mercado para el ciberdelito, y donde «ahora más que nunca, los datos son el rey», apunta McArdle. Por ello, los negocios criminales necesitarán especialistas en minería de datos para obtener el mayor rendimiento posible de cada terabyte de datos robados.
«Un candidato ideal en este nuevo modelo de negocio basado en la nube aprovechará el aprendizaje automático para identificar y agrupar eficientemente cada tipo de datos que será atractivo para diferentes compradores», señala el director del equipo Forward-Looking Threat Research. Por ello, perfiles muy valorados entre los ciberdelincuentes son el de analista de datos y el de experto en aprendizaje automático.
«Las tecnologías en la nube suelen estar diseñadas para que los negocios se escalen y sean más ágiles y rentables, lo que generalmente ayuda a una organización a alcanzar su máximo potencial. Los registros criminales basados en la nube hacen lo mismo», explica McArdle.
En el caso de las organizaciones que deben defenderse de esta nueva amenaza, el directivo de Trend Micro señala que verán que «el lapso de tiempo desde que se roba la información hasta que se utiliza en un ataque es mucho más corto» y que tendrán «mucho menos tiempo para detectar y responder al incidente de robo de credenciales».
La educación de los empleados sobre los conceptos básicos de la ciberseguridad es «importante» para fortalecer la seguridad de una organización. En concreto, el directivo asegura que hay que centrar los esfuerzos en «por qué les importante y cómo su diligencia» contribuye a proteger la empresa, concluye.