Tech

Del código a tu computadora: 
la ruta del malware 

El malware es un negocio que tiene un mercado a nivel global ausente de aduanas que poco a poco roba contraseñas, información y dinero de usuarios, bancos y otras instituciones; aquí la ruta que sigue hasta tu computadora.
Daniel Blanco 
16 febrero 2016 12:57 Última actualización 23 febrero 2016 16:49
Letrero de alerta por malware en la conferencia sobre seguridad tecnológica Black Hat USA 2012. (Bloomberg)

En 2015 se registraron 1 millón 966 mil 324 notificaciones de intentos de infección de malware, según Kaspersky. (Bloomberg)

¿Te has preguntado cuántos pasos tiene que pasar un malware que roba tus contraseñas o dinero para llegar a tu computadora, a tu smartphone o a la red de un banco?

De acuerdo al analista de seguridad de Kaspersky Lab, Roberto Martínez, una de las ventajas que nos proporciona el internet es la conectividad, la eliminación de fronteras, pero esto es, paradójicamente, uno de los principales problemas también, ya que “existe un mercado global en el que se comercializa el malware sin ningún tipo de aduana”.

Tan sólo el año pasado el 34.2 por ciento de usuarios de computadora estuvieron expuestos a un ataque web.

Una de las problemáticas es que ya existe un ecosistema muy bien elaborado y planteado en donde, por un lado están las personas que desarrollan el malware, y por el otro lado quien lo compra.

También está quien vende los ‘exploits’ a los desarrolladores del malware para que sean incluidos y tener acceso a los equipos de manera sencilla; está el que lo distribuye en el mercado, el que lo utiliza; y al final de todo este proceso hay una ‘método financiero’ evasivo para sacar el dinero del radar, mencionó Martínez. 

>


“Debe de haber un proceso de ingeniería financiera, porque obviamente los bancos tiene mecanismos de rastreo, entonces ellos (hackers) tienen que ingeniárselas para que el dinero desaparezca del radar, no se trata nada más de hacer una compra con una tarjeta o a nombre de alguien, sino que tiene que haber todo un proceso ahí en donde el dinero se tiene que diluir por todas partes y aquí se involucran varios países, varios mecanismos, etcétera”, dijo Martínez en entrevista con El Financiero.

En 2015, de acuerdo a datos de Kaspersky Lab, se registraron 1 millón 966 mil 324 notificaciones de intentos de infección de malware enfocado en el robo de dinero vía online a través de cuentas de banco.

A diferencia del tráfico ilegal de armas, drogas y otros ilícitos, en la comercialización de malware los resultados y el retorno de inversión, sumados a la difícil detección, hacen de este negocio uno muy atractivo, y con entornos anónimos como la Deep Web se abonan elementos para la facilidad para este tipo de operaciones.

El precio del malware en el ‘mercado negro digital’ va a depender de qué tan atractivo pueda resultar, si éste resulta muy convincente y promete generarle ingresos importantes al comprador, el precio se eleva.

“Podría estarte hablando de un margen entre 50 dólares, 5 mil dólares, 10 mil dólares, incluso te comento que hay servicio de ‘malware as a service’, que significa que tú pagas por lo que usas, no tienes que comprar ninguna especie de licencia… es una renta de malware o incluso de infraestructura. Por ejemplo, alguien que se pone a hacer el negocio, compra un malware y bueno, necesita formas de distribuirlo, probablemente le ofrecerán la renta de servidores en donde van a colocar por ejemplo: música, videos gratuitos, para que se pueda distribuir por ese medio”.

Roberto recomienda mantener cerrados los candados predeterminados que tienen los smartphones o dispositivos, ya que si se cambia esta configuración el usuario tiene un 100 por ciento de probabilidades de resultar afectado por un malware.

“Al momento en que tu quitas los candados de seguridad y adquieres permisos más allá de lo que sería un administrador, o sea tienes el control total de lo que pasa en el teléfono, inadvertidamente alguien te podría instalar un programa y tendría el acceso a todo, entonces por eso yo te hablo de un 100 por ciento... desde mi punto de vista, una recomendación profesional sería no realizar este tipo de prácticas”, concluyó.