Escuela para ciberdelincuentes: Cómo ser un Black Hat

La vida se pinta muy buena para los hackers brasileños: la falta de leyes específicas sobre la ciberdelincuencia les hace sentirse invulnerables hasta el extremo de publicar descaradamente sus robos y alardear de sus ganancias obtenidas ilegalmente. Mostramos algo al respecto en una presentación que dimos en la última Virus Bulletin Conference, y es muy común encontrar videos en YouTube sobre estafadores financieros y de tarjetas de crédito que se jactan de sus ganancias ilegítimas y refriegan su dinero mal habido en la cara de sus víctimas (aquí hay un ejemplo, y se pueden encontrar varios más en Internet). Tampoco es raro encontrar los perfiles de los ciberdelincuentes en redes sociales como Twitter, Tumblr, etc. Todo lo hacen de forma abierta, sin temor a que los capturen.

Para ayudar a los nuevos “emprendedores” o principiantes interesados en llevar una vida delictiva, algunos ciberdelincuentes brasileños han empezado a ofrecer cursos de pago. Otros han ido más lejos y han creado una escuela para ciberdelincuentes para vender las habilidades necesarias a quienes están interesados en convertirse en delincuentes informáticos pero que carecen de conocimientos técnicos. En un sitio web dedicado a vender estos cursos y a promover esta “escuela”, podemos encontrar cursos como “Cómo ser un banker”, “Kit Spammer” o “Cómo ser un defacer”.

Los cursos son paquetes bien diseñados con detalles completos del “curriculum” que se estudia. En el curso “Cómo ser un banker 101” encontramos:

“Este curso está dirigido a todos los que realicen transacciones online”. Aprenderás cómo un cracker toma el control de un ordenador corporativo o doméstico, en qué consiste la ingeniería social, cómo funciona “auto-infect”, como usar fuentes (de troyanos), cómo manipular los plugins de seguridad instalados en los navegadores como IE, Firefox, Chrome, Avant, Opera, y antivirus y cortafuegos. Cómo ayuda el spamming a atrapar nuevas víctimas, qué hacen los “loaders” y cómo los usa un cracker. Aprenderás la jerga que usan los crackers y los bankers, como “loaders”, “info”, “cc”, “admin”, “laras” (mulas de dinero), “Desco”, “Ita”, “Uni”, “CEF”, “BB”, “City” (nombres de conocidos bancos brasileños), y mucho más. Descubrirás cómo un cracker clona tarjetas de crédito, chequeras, identidades, licencias de conducir, certificados de nacimiento, y otros documentos. Aprenderás cómo un cracker puede poseer sitios web de comercio electrónico que almacenen números de tarjetas de crédito, y qué hacer con estos datos. Aprenderás sobre la legislación brasileña y conocerás la sentencia si es que te atrapan, así como los riesgos que corres y cómo evitar que te atrapen. Todo esto y mucho más es parte de este curso”.

También ofrecen un curso para que los spammers aprendan sobre las técnicas que necesitan para ser más efectivos. A esto se añade un regalo: una lista con 60 millones de direcciones de correo para comenzar a lanzar spams de forma inmediata:

“KIT SPAM ACTUALIZADO: Hoy en día, el mundo virtual es cada vez más competitivo, lo que dificulta que los nuevos usuarios puedan competir con rivales expertos en un mercado en creciente crecimiento. Esto nos ha llevado a crear KIT SPAM, que incluye más de 60 millones de direcciones de correo agrupadas en diferentes categorías: profesionales, individuos y compañías, ejecutivos, empresarios, además de políticos. El kit incluye remitentes, técnicas de ingeniería social para garantizar una óptima propagación, extractor de direcciones de correo, y códigos fuente en Delphi. Todo lo que tienes que hacer es compilar y enviar los mensajes masivos. Todo por 130,00 R$” (unos 75 USD).
Todos los cursos se pagan online, o si deseas, puedes asistir a cursos presenciales. La dirección de la “escuela” también aparece en el sitio web:

Las instituciones financieras brasileñas han informado sobre pérdidas de 685 millones de reales brasileños (unos 380 millones de USD) en el primer semestre del 2011, debido a pagos por compensaciones de clientes que realizaron transacciones bancarias online y perdieron su dinero. Creo que es hora de que los políticos brasileños aprueben una legislación nacional contra la ciberdelincuencia local para permitir que las autoridades competentes empiecen a luchar contra este flagelo. Necesitamos una campaña más enérgica y radical para frenar a los ciberdelincuentes que sin tapujos ostentan sus turbias ganancias.