Cuando pensamos en cibercriminales, viene a nuestra cabeza la palabra “hacker”, es decir, pensamos en una persona experta en redes y programación informática. Pero también hay quien subcontrata servicios ilegales para conseguir beneficios realizando acciones ilegales en internet.
Lo que en tecnología se conoce como “as a service” o pago por servicio consiste en utilizar ciertos servicios sin la necesidad de comprarlos. Sería una especie de alquiler por ciertos servicios que deja de pagarse en el momento en que se dejan de utilizar.
Este modelo “as a service” también se ha extendido a la ciberdelincuencia, donde se está empezando a ver un fenómeno que se ha denominado “crime as a service” o crimen como servicio.
Cuando pensamos en cibercriminales, viene a nuestra cabeza la palabra “hacker”, es decir, pensamos en una persona experta en redes y programación informática. Sin embargo, muchos de los que hacen un uso delictivo de la tecnología no son especialmente competentes en esas disciplinas, sino que se limitan a usar las herramientas que ponen a su disposición aquellos usuarios que sí cuentan con un alto nivel de habilidad.
Esto fue bautizado en 2014 por la Europol como “Crime-as-a-Service” (CaaS), una denominación que surge debido al parecido entre estos servicios y lo que puede ofrecer una empresa a través de Internet de manera legítima, como Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) y Infraestructure-as-a-Service (IaaS).
Como Internet se ha ido “democratizando” a nivel general, cada vez se está haciendo más accesible para personas no expertas y surgen nuevas oportunidades de negocio. Estas oportunidades no son siempre legítimas, sino que, debido al anonimato y, en muchos casos, la falta de regulación, el crimen se está instaurando también en el ámbito tecnológico.
Esto permite desarrollar una auténtica industria delictiva, basada en servicios, al igual que en sectores legales, en la que algunos expertos desarrollan productos y servicios en la Dark Web para beneficio y uso de otros delincuentes sin habilidades tecnológicas.
Por ejemplo, si un cibercriminal (o un grupo de ellos) quiere afectar a una entidad o a un usuario de Internet, lo habitual es que tenga que lanzar ciberataques diferentes a través de diferentes técnicas para que alguno surta efecto.
Sin embargo, por norma general, es complicado que un único individuo o grupo controle todas las técnicas necesarias. Por ello, existen grupos de delincuentes especializados en determinados servicios y van subcontratando los servicios necesarios según el ataque que quieran llevar a cabo.
Esto conduce a pensar que la ciberdelincuencia actual está tan extendida, compartimentada e internacionalizada que resulta imprescindible contar con una gran capacidad colaboración y acción preventiva y reactiva.
¿Cuál es la estrategia de la Interpol?
Como vemos, la ciberdelincuencia ya no tiene fronteras y los ciberdelitos pueden ser realizados por diferentes personas desde diferentes lugares. Muchas veces, los ciberdelitos están tan compartimentados que, aunque se consiga identificar a los perpetradores y haya una regulación vigente adecuada, cada delincuente ha llevado a cabo acciones tan pequeñas dentro de la cadena de acciones ilegales que no pueden ser condenados por el delito final.
La Interpol, consciente de esta problemática y del hecho de que muchas veces las leyes facilitan el trabajo de los delincuentes, juega un papel muy importante en la lucha contra los delitos cibernéticos, aunando esfuerzos y creando una red internacional de lucha contra el cibercrimen.
Concretamente, para enfrentarse al crimen como servicio, la Interpol ha propuesto una estrategia basada en 5 puntos para luchar contra este tipo de ciberdelincuencia:
- Realizar una evaluación y un análisis de las ciberamenazas y llevar a cabo un seguimiento de las tendencias.
- Facilitar a nivel mundial el acceso a datos relacionados con ataques cibernéticos y a las herramientas y socios pertinentes, para facilitar la recopilación de datos y mejorar su explotación.
- Gestionar las pruebas digitales relacionadas con las investigaciones criminales y el enjuiciamiento de los delitos cometidos como crimen como servicio: Es necesario recopilar de manera legítima las pruebas pertinentes y conservarlas de manera adecuada para que puedan ser aceptadas en un proceso legal.
- Establecer puentes entre las huellas digitales y la identificación física, a fin de encontrar la ubicación de los posibles perpetradores.
- Favorecer la transnacionalidad en las operaciones y la coordinación mundial y alentar la armonización legislativa.
En definitiva, se puede apreciar que el crimen como servicio o crime as a service es una realidad cada vez más frecuente, por lo que debemos ser conscientes de su existencia para tomar las medidas personales, profesionales, empresariales, legislativas, etc. necesarias para intentar mantenernos seguros
