Últimamente los negocios de casi todos los sectores están ofreciendo sus productos y servicios con el modelo “As a Service”: ofrecer algo de valor como un servicio de suscripción el cual el cliente puede controlar y adaptar el servicio desde una interfaz.Muchos sectores ya cuentan con su modelo “as a service”: desde el software y las TIC de donde nació este modelo hasta coches, seguros, banca, comida, multimedia, etc. Y no solo los negocios están adaptándose a este modelo, también los cibercriminales ofrecen sus servicios a precios bastante asequibles. Estos servicios de ataques dirigidos a quien quieras se conoce como Crime as a Service (CaaS).

 

¿Qué es el Crime as a Service?

El Crime as a Service (CaaS) ofrece unos ataques prefabricados (Ransomware, DDoS, phising, etc.) que el usuario puede controlar desde una interfaz o con unas instrucciones muy sencillas, sin que este necesite algún tipo de conocimiento o formación sobre ciberseguridad y hacking.

Los grupos de criminales han pasado de realizar ellos los ataques a empresas específicas para ganar dinero a desarrollar herramientas y servicios de hacking que se venden o alquilan a terceros, ya sea por tarifa plana o con una parte de los beneficios que consiga el cliente con su ataque.

La parte más preocupante es lo accesible y barato que es este tipo de servicios: se han encontrado kits que pueden ser comprados por tan solo 175 dólares.

Algunos tipos de CasS son los siguientes:

• Ransomware as a Service (RaaS): Los grupos criminales desarrollan un ransomware (software malicioso que encripta los archivos al usuario y puede pedir un rescate a cambio de desencriptarlos) que puede ser dirigido a una persona u organización. Este tipo de servicios es uno de los más comunes y los que han tenido más éxito.

Ransomware vendido como servicio por el grupo REvil

 

• DDoS as a Service (DaaS): Un DDoS (Distributed Denial of Service) es un ataque que intenta denegar el acceso a un servicio o recurso mediante la saturación de solicitudes al servicio. Este tipo de ataques requiere una red bastante extensa de ordenadores (normalmente conocido como botnet) a las órdenes del criminal.

 

El delincuente puede poner en alquiler parte de la potencia de la botnet para que el cliente pueda realizar un DDoS a la víctima que desee.

Existen muchos más servicios: kits para phising, kits de malware, kits de exploits, Research as a Service, call centers, …

 

¿Cómo protegernos?

Algunas recomendaciones para evitar este tipo de amenazas son los siguientes:

• Formar al personal contra los ataques de phishing y el “Social Engineering”.
• Realizar auditorías de seguridad y parchear las vulnerabilidades encontradas en la auditoría.
• Crear planes de contingencia y definir una respuesta a los incidentes que puedan ocurrir derivado de este tipo de ataques.

 

Publicado el 29 de Abril de 2022
Por Alberto López
Departamento de Ciberseguridad