Las empresas cibercriminales crecen, pero también enfrentan los retos de las empresas legales.

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

A medida que los grupos delictivos aumentan de tamaño, adoptan un comportamiento corporativo, pero este cambio trae consigo su propio conjunto de desafíos.

El sector cibercriminal se está profesionalizando rápidamente, con grupos que comienzan a imitar negocios legítimos que crecen en complejidad a medida que aumenta el número de sus afiliados y sus ingresos. Este paso para comportarse como empresas legales, ha sido necesario debido a la cantidad de operaciones que manejan y que hacen necesario el tener jerarquías, equipos de liderazgo, equipos de gestión, así como grupos gerenciales y de empleados.

En este sentido, al buscar comportarse como compañías, las organizaciones cibercriminales más grandes comienzan a enfrentar dificultades para ser administradas y comienzan a padecer problemas relacionados con el mundo corporativo.

Por ejemplo, una empresa legalmente constituida, asigna en promedio un 62.3% de sus gastos operativos a los salarios, mientras que una organización cibercriminal, presenta una cifra similar y asigna en promedio 59.5% a los salarios que paga. El tema es que las empresas legalmente constituidas pagan impuestos y pueden llegar a tener ciertos beneficios fiscales. Además, al pertenecer a un ecosistema de negocios, estas empresas están relacionadas con otras empresas, cámaras comerciales, gobiernos, etcétera, lo cual hace que puedan establecer acuerdos comerciales y de cooperación de forma abierta.

En el caso de las organizaciones cibercriminales, tienen que hacer frente a los desafíos que tienen las empresas legales, pero además con el problema de que tienen que hacerlo de forma clandestina. Entonces el hecho de pagar sueldos, contratar gente, gestionar al factor humano, adquirir tecnología y configurarla y recibir soporte técnico, crear y mantener un posicionamiento de marca, así como tratar de innovar para generar más ingresos, representa un reto y, posiblemente, una pesadilla.

Algunos datos a considerar, son los elementos corporativos que están incorporando las empresas cibercriminales y que intentan manejar como una ventaja, cuando en realidad podría llegar a ser una carga, tales como:

Las micro empresas cibercriminales, de 1 a 10 empleados, a menudo reparten las actividades entre sus integrantes, quienes además, por lo general tienen otros trabajos de tiempo completo o colaboran de forma independiente en otras actividades legales. Estos grupos micro tienden a ser parte de los canales de afiliados de los grandes grupos criminales. Y como afiliados tienen que recibir todo el soporte o respaldo del grupo criminal al cual pertenecen, esto sin contratos ni acuerdos comerciales firmados, lo cual hace que puedan dejar de ser leales en el momento en que perciben que no son bien atendidos.

Las pequeñas y medianas empresas cibercriminales, por lo general, tienen dos niveles de administración y tienen entre 11 y 100 empleados. Suelen tener una estructura jerárquica de tipo piramidal con un solo responsable. Lo cual hace que el responsable requiera de una amplia experiencia en la gestión de empresas, así como una visión de hacia dónde se dirige la empresa. En el caso de las empresas legales, este responsable debe tener bastante preparación, por lo que las maestrías son altamente requeridas. En el caso de las empresas cibercriminales, es complejo poder tener acceso a estos perfiles ya que no todos están dispuestos a participar en actividades ilícitas que los pueda llevar a prisión.

Las grandes empresas cibercriminales, por lo general, tienen tres niveles de gestión y más de 100 empleados, con un número relativamente grande de gerentes y supervisores inferiores. Este tipo de organizaciones suelen contratar desarrolladores, administradores y pentesters. Algunos han establecido departamentos como sistemas, recursos humanos, administrativos e incluso ejecutan programas para empleados, como revisiones de desempeño. Tratar de gestionar una empresa legal con todos estos recursos es complicado en un entorno altamente competitivo como el que estamos viviendo, por lo que para las empresas cibercriminales grandes esto puede ser una carga bastante pesada lo cual puede repercutir en que abandonen a sus empleados (los cuales tampoco tienen un contrato legal y por lo tanto no pueden exigir a la empresa que los contrató que cumpla con sus ofertas laborales) y también dejen de lado a sus afiliados, generando posibles enfrentamientos entre delincuentes.

Al conocer el tamaño y la complejidad de una organización criminal es posible obtener pistas, ya que estas organizaciones pueden guardar listas de empleados, estados financieros, tutoriales de la empresa, documentos de fusiones y adquisiciones, detalles de sus billeteras de criptomonedas, entre otros datos.

De igual forma, al saber el tamaño de las organizaciones criminales objetivo también es posible que las autoridades puedan priorizar mejor qué grupos deben perseguirse de manera puntual y qué otros grupos sirven para recabar información.

Para más información, visite: https://www.silikn.com/