Los piratas informáticos de alquiler son una panda de estafadores, según un estudio publicado la semana pasada por Google y académicos de la Universidad de California en San Diego.
Los investigadores estaban específicamente interesados en un segmento de servicios del mercado negro conocido como hackers de alquiler: los delincuentes que contratas cuando te faltan las habilidades de piratería para hacer el trabajo por ti mismo y la moral que te susurra al oído que eso no es ni bueno ni legal.
Estos servicios ofrecen ataques dirigidos que siguen siendo una amenaza potente, dijeron los investigadores, debido al hecho de que están tan diseñados a medida. Pensemos en los ataques de spear phishing o whaling que son tan convincentes porque han planificado todos los detalles, como falsificar facturas de la empresa o copiado sitios de inicio de sesión que roban las credenciales de la cuenta.
Ese tipo de cosas requiere esfuerzo. Afortunadamente, la mayoría de los hackers de alquiler no están a la altura de la tarea. Muchas eran estafas directas, no muy sorprendentes, y algunos ni siquiera aceptarían el trabajo si se trataba de atacar a Gmail. Para aquellos servicios que aceptaron asumir el reto de piratear las cuentas de Gmail, el costo se disparó en el transcurso de dos años, de 123 $ a 384 $, con un máximo de 461 $ en febrero de 2018.
Los precios por hackear Yahoo, han seguido el mismo camino que Google, mientras que los precios por hackear Facebook e Instagram han caído al promedio actual de 307 $.
Los investigadores, plantean la hipótesis de que las diferencias de precios para piratear a los distintos proveedores de correo electrónico y el cambio en los precios probablemente se debe a lo que denominan factores tanto operacionales como económicos: Google y Yahoo han mejorado la protección de las cuentas de correo electrónico, mientras que los precios han aumentado a medida que el mercado para un servicio específico se contrae: »Naturalmente, los precios aumentarán a medida que el mercado para un servicio específico se contraiga (reduciendo la capacidad de amortizar los costos irrecuperables en la infraestructura de back-end para evadir las defensas de la plataforma) y también a medida que los servicios específicos introduzcan más mecanismos de protección, o estos sean más efectivos, que deban ser hackeados (incrementando el costo transaccional para cada intento de hacking)».
En general, los hackers contratados son afortunadamente, incompetentes o fraudes
Lo que está claro es que para mantener seguras las cuentas de la gente, es importunar a las comadrejas que quieren pagar a alguien para que hackear a alguien. Es decir, el ecosistema del secuestro de cuentas está “lejos de ser maduro”, concluyeron los investigadores.
Lo probaron creando de falsas personas que contactaron con 27 servicios de pirateo. Los investigadores encargaron a esos servicios comprometer las cuentas particulares de determinadas víctimas. Esas supuestas “víctimas” en realidad eran cuentas honeypot de Gmail operadas en coordinación con Google. Solo cinco de los servicios con los que contactaron cumplieron su promesa de atacar a las supuestas víctimas. El resto eran estafadores, reacios a atacar las cuentas de Gmail, o tenían un servicio de atención al cliente pésimo, dijeron: »Solo cinco de los servicios que contactamos cumplieron su promesa de atacar a las víctimas. Los otros se negaron, diciendo que no podían atacar Gmail, o eran directamente estafas. Con frecuencia nos encontramos con un servicio al cliente deficiente, respuestas lentas y anuncios inexactos sobre los precios».
Las otras buenas noticias: las claves de seguridad U2F (Universal 2nd Factor) están funcionando, dijeron los investigadores: »Además, las técnicas actuales para eludir 2FA se pueden mitigar con la adopción de claves de seguridad U2F».
Seríamos negligentes si no mencionáramos que la semana pasada, Google tuvo un problema con U2F cuando tuvo que arreglar sus llaves Titan Bluetooth U2F después de encontrar una falla de seguridad.
Google ha argumentado que las claves de Titan son aún más seguras que confiar solo en una contraseña de acceso, y es cierto, un atacante tiene que estar a unos 10 metros y debe lanzar el ataque al presionar el botón de su tecla la Titan y necesita saber el nombre de usuario y contraseña.
Resumiendo todo, los investigadores no creen que el mercado de piratas informáticos sea una amenaza a gran escala por ahora: »Suponemos a partir de nuestros hallazgos, incluida la prueba sobre el volumen de objetivos reales, que el mercado de secuestro de cuentas comerciales sigue siendo bastante pequeño y de nicho. Con precios que generalmente superan los 300 $, todavía no supone que los ataques dirigidos sean una amenaza para el mercado masivo».