Predicciones sobre amenazas de la web oscura y el mercado oscuro para 2024

1. Aumento de las filtraciones de datos personales, correo electrónico corporativo en peligro

   Fuga de datos es un término amplio que engloba diversos tipos de información que se hacen públicos o cuya venta se ofrece en la web oscura u otros sitios de la web clandestina. Entre la información que se filtra pueden encontrarse documentos internos de la empresa, bases de datos, credenciales de inicio de sesión personales y laborales, y otros tipos de datos.

   El año pasado predijimos que los datos personales y el correo electrónico corporativo correrían cada vez más peligro, y la predicción resultó ser acertada en gran medida. Por ejemplo, en 2023 se produjo un aumento notable de los mensajes que ofrecían credenciales de acceso y contraseñas para diversas cuentas personales y de trabajo. Para ser más específicos, en 2023, el volumen de archivos de registro de malware que contenían datos de usuarios comprometidos y publicados gratuitamente en la web oscura aumentó un 30% en comparación con 2022.

   A lo largo del año pasado, en la web oscura se mencionaron varias empresas en discusiones que versaban sobre bases de datos internas filtradas. Algunas contenían información acerca de clientes y documentos en la darknet. Entre enero y noviembre de 2023 se detectaron casi 19 000 publicaciones de este tipo.

   Además, dado que las confrontaciones políticas ahora incluyen elementos cibernéticos, durante los conflictos en curso, como el que enfrenta a Israel y Hamás, también se produjeron algunos ataques de filtración de datos.  Por ejemplo, se informó que el grupo Cyber Toufan reivindicó docenas de filtraciones de datos que afectaron a empresas israelíes. Por otra parte, más de un millón de registros del sistema sanitario palestino fueron publicados en la web oscura. En general, en el ámbito digital de los conflictos, los hackers informáticos de ambos bandos tienden a participar en actividades como incurrir en diversos servicios o sitios web para después publicar los datos obtenidos, a veces no con fines lucrativos, sino más bien con la intención de causar daño al adversario.

   Veredicto: la predicción se cumplió✅.

2. Malware como servicio: mayor número de ataques tipo “cookie-cutter”, herramientas más complejas

   El año 2023 fue testigo de la aparición de nuevas familias de malware que se ofrecían como servicio (MaaS), lo que contribuyó al aumento general de la actividad de este tipo de amenazas en la web oscura. Entre ellas destaca BunnyLoader, un malware barato y con muchas funciones, capaz de robar datos confidenciales y criptomonedas. Otro recién llegado en 2023 fue Mystic Stealer, un malware por suscripción que fue muy comentado en la darknet y que se caracteriza por su capacidad para robar credenciales de usuario e información valiosa. Se distribuía en foros de ciberdelincuentes bajo el modelo MaaS por una tarifa mensual de 150 dólares, según datos de Kaspersky Digital Footprint Intelligence. Los programas maliciosos existentes, que suelen ofrecerse mediante modelos de suscripción, siguieron prosperando.

   El número de publicaciones en la web oscura que ofrecen registros de RedLine, una familia de malware muy popular, también experimentó un notable aumento: pasó de una media de 370 publicaciones mensuales en 2022 a 1200 en 2023.

   Número de publicaciones que ofrecen registros de RedLine, 2022-2023 (descargar)

   El año pasado publicamos un estudio exhaustivo sobre el MaaS, que ofrecía información detallada sobre el panorama del mercado y la complejidad de los conjuntos de herramientas utilizados por los atacantes.

   Veredicto: la predicción se cumplió✅.

3. Chantaje mediático: las empresas se enterarán de que han sido hackeadas porque los hackers harán pública una cuenta regresiva

   Los operadores de ransomware crean blogs para mostrar que han hackeado nuevas empresas y revelar los datos robados. En 2022 estos blogs, que se encuentran tanto en plataformas públicas como en la web oscura, publicaron una media de 386 entradas al mes. En 2023, esta cifra aumentó a 476, alcanzando un máximo de 634 publicaciones en noviembre. Esto indica un aumento continuo del número de empresas que caen víctimas del ransomware.

   Número de publicaciones sobre ransomware en blogs, 2022-2023 (descargar)

   No sólo aumentó el número de publicaciones, sino que también vimos que aparecieron varios blogs nuevos sobre ransomware. Estos suelen surgir cuando aparece un nuevo grupo de ransomware. Es importante señalar que estos blogs no se arraigan en un solo sitio web, ya que los grupos pueden cambiar la dirección del o crear varias direcciones que funcionan simultáneamente.

   Veredicto: la predicción se cumplió✅.

4. El gusto de hacer bromas: los ciberdelincuentes publicarán más a menudo informes falsos sobre hackeos

   El año pasado predijimos que aumentaría el número de actores de amenazas que producen informes falsos de filtración de datos e intentan presentarlos como auténticos. En la práctica, resultó que las filtraciones de datos reales tenían también otros motivos no declarados, como hacktivismo o incluso “marketing”. Esto último significa que los ciberdelincuentes volvieron a publicar filtraciones de datos reales para publicitar foros y otros sitios de la web oscura, tratando de mejorar la reputación de estas plataformas.

   En el segmento de habla rusa del mercado clandestino, observamos numerosas falsificaciones publicadas por actores de amenazas anónimos y no por grupos conocidos. Los actores de amenazas que gozan de cierta reputación se abstuvieron de reivindicar hackeos o publicar falsificaciones.

   Veredicto: se cumplió en parte🆗

5. Las tecnologías de nube y los datos comprometidos procedentes de la web oscura se convertirán en vectores de ataque populares

   El año pasado no tuvimos que hacer ninguna investigación sobre ataques a las nubes de nuestros clientes. Sin embargo, es importante señalar que los datos comprometidos procedentes de la web oscura podrían utilizarse para organizar ataques. Se ha producido un notable aumento del número de credenciales de usuario filtradas, lo que sugiere una creciente demanda de este tipo de información por parte de la comunidad. Esta demanda se debe a que es uno de los métodos más sencillos de obtener acceso no autorizado a infraestructuras.

   Veredicto: se cumplió en parte🆗

Nuestras predicciones para 2024

Aumentará el número de servicios que permiten a los programas maliciosos (cifradores) evadir los antivirus.

Se espera que la tendencia observada en 2023, de servicios que ofrecen evasión de antivirus (AV) para malware (cifradores), persista en 2024. Un cifrador es una herramienta diseñada para ofuscar el código presente en una muestra de malware. Su propósito es hacer que los escáneres antivirus basados en firmas no puedan detectarlos, aumentando así su capacidad de pasar desapercibidos.

El mercado negro ya está repleto de este tipo de servicios. Algunas de estas ofertas son muy populares en los foros clandestinos. La gama de cifradores abarca desde opciones asequibles, con un precio de entre 10 y 50 dólares por cifrado o 100 dólares por una suscripción mensual (destinadas a la distribución masiva de malware con una protección básica y efímera) hasta cifradores de primera calidad cuya suscripción mensual cuesta entre 1 000 y 20 000. Diseñados para la infección selectiva, estos cifradores de gama alta brindan capacidades invasivas avanzadas para eludir la protección en tiempo de ejecución proporcionada por las soluciones de seguridad.

Los servicios de “carga” de malware seguirán evolucionando

Se prevé que el panorama de los servicios de programas maliciosos “cargadores” (loaders) continúe su evolución, ofreciendo cargadores cada vez más sigilosos a los ciberdelincuentes. Estos cargadores, que actúan como vector inicial de las infecciones de malware, allanan el camino para el despliegue de stealers, diversos troyanos de acceso remoto (RAT) y otras herramientas maliciosas. Se espera que las principales capacidades de estos stealers incluyan sólidos mecanismos de persistencia, ejecución en memoria sin archivos y mayor resistencia a los productos de seguridad. Es probable que en 2024 la evolución de los stealers en los mercados oscuros se caracterice por la introducción de nuevas versiones escritas en lenguajes de programación modernos como Golang y Rust. Esta tendencia evidencia el esfuerzo concertado de los ciberdelincuentes para perfeccionar las técnicas de evasión y mejorar la eficacia de los vectores de infección iniciales.

Los servicios de drenaje de criptoactivos seguirán creciendo en los mercados de la web oscura

Prevemos un aumento y un mayor avance de los stealers de criptoactivos, lo que conllevará un aumento correspondiente de los anuncios para su desarrollo y venta en el mercado clandestino. Se espera que el éxito de programas maliciosos como Angel Drainer, supuestamente utilizado en el ataque a Ledger, a la par con el continuo interés por las criptomonedas, los NFT y los activos digitales relacionados, fomente la proliferación de este tipo de programas. Esta tendencia muestra lo lucrativo que son los ataques a los activos financieros digitales, lo que convierte a los criptoactivos en un blanco interesante para los ciberdelincuentes. A medida que aumenten el interés y el uso de estos activos, también lo harán la sofisticación y la prevalencia de los programas maliciosos diseñados para aprovecharse de ellos.

Los planes de tráfico negro serán muy populares en los mercados clandestinos

Se prevé que la tendencia de utilizar anuncios de Google y Bing para campañas de captación de tráfico falso mantenga su popularidad. Los proveedores de tráfico negro, que organizan estas campañas promocionando páginas de destino que contienen instaladores de malware, han estado infectando a los usuarios a través de estos anuncios engañosos. Es probable que estos distribuidores intensifiquen sus actividades de venta en el mercado clandestino. Al mismo tiempo, se prevé un aumento en la demanda de estos servicios, lo que destaca la eficacia de las plataformas de difusión de anuncios para distribuir programas maliciosos y las convierte en el método preferido de los ciberdelincuentes para alcanzar a un público más amplio. Como resultado, podemos esperar un aumento sostenido de estas prácticas engañosas, que representan una amenaza persistente para los usuarios en línea.

Evolución y dinámica del mercado de mezcladores y servicios de limpieza de Bitcoin

Los mezcladores y los servicios de “limpieza” de bitcoins muestran signos de que su prevalencia y sofisticación están en continuo crecimiento. Con el aumento de la supervisión de cumplimiento de normas y la mejora de las capacidades de rastreo de transacciones por parte de las fuerzas de seguridad, se espera que en los mercados clandestinos crezca la demanda de servicios para ocultar el origen de los fondos de Bitcoin. Estos servicios, a menudo denominados “tumblers” o “mixers”, ofrecen a los autores de amenazas u otros usuarios malintencionados la posibilidad de anonimizar sus transacciones de criptomoneda, para que sea más difícil determinar su origen.

En 2024, prevemos que aumentará la variedad y complejidad de estos servicios. Es probable que esta expansión se vea impulsada por la evolución de las necesidades de los actores de amenazas, que buscan mantener su privacidad o participar en actividades ilícitas, así como por el continuo avance de las herramientas de análisis de blockchain. Es probable que los mezcladores de bitcoins y los servicios de limpieza incorporen algoritmos y técnicas más sofisticados para adelantarse a los esfuerzos de rastreo.

Además, el aumento de la popularidad de otras criptomonedas con mejores características de privacidad también podría influir en el mercado de mezcladores de Bitcoin. Los proveedores de servicios podrían diversificar su oferta para incluir la mezcla de estas criptomonedas alternativas, para ampliar aún más el alcance de sus operaciones.