Los ciberdelincuentes ocultan tráfico web malicioso a simple vista
Logo

Seleccione idioma

Spanish

Down Icon

Seleccione país

Mexico

Down Icon

Los ciberdelincuentes ocultan tráfico web malicioso a simple vista

Los ciberdelincuentes ocultan tráfico web malicioso a simple vista
En un esfuerzo por evadir la detección, los cibercriminales recurren cada vez más a servicios de “proxy residencial” que ocultan sus huellas haciéndolos parecer una actividad cotidiana en línea.

Durante años, los servicios del mercado gris, conocidos como hosts "a prueba de balas", han sido una herramienta clave para los ciberdelincuentes que buscan mantener la infraestructura web de forma anónima y sin hacer preguntas. Sin embargo, a medida que las fuerzas del orden internacionales se esfuerzan por combatir las amenazas digitales , han desarrollado estrategias para obtener información de los clientes de estos hosts y han acusado cada vez más a las personas responsables de estos servicios. En la conferencia Sleuthcon, centrada en la ciberdelincuencia, celebrada hoy en Arlington, Virginia, el investigador Thibault Seret explicó cómo este cambio ha impulsado tanto a las empresas de hosting a prueba de balas como a los clientes delincuentes a adoptar un enfoque alternativo.

En lugar de depender de proveedores de alojamiento web para operar fuera del alcance de las fuerzas del orden, algunos proveedores de servicios han optado por ofrecer VPN y otros servicios proxy diseñados específicamente para rotar y enmascarar las direcciones IP de los clientes, además de ofrecer una infraestructura que, o bien no registra el tráfico intencionalmente, o bien mezcla el tráfico de diversas fuentes. Y aunque la tecnología no es nueva, Seret y otros investigadores destacaron a WIRED que la transición al uso de proxies entre los ciberdelincuentes en los últimos dos años es significativa.

“El problema es que, técnicamente, no se puede distinguir qué tráfico en un nodo es malo y cuál es bueno”, declaró Seret, investigador de la firma de inteligencia de amenazas Team Cymru, a WIRED antes de su charla. “Esa es la magia de un servicio proxy: no se puede saber quién es quién. Es bueno para la libertad en internet, pero es extremadamente difícil analizar lo que sucede e identificar la actividad maliciosa”.

El principal desafío al abordar la actividad cibercriminal oculta por proxies es que estos servicios también pueden, incluso principalmente, facilitar tráfico legítimo e inocuo. Los delincuentes y las empresas que no desean perderlos como clientes se han apoyado especialmente en los llamados "proxies residenciales", una serie de nodos descentralizados que pueden ejecutarse en dispositivos domésticos —incluso teléfonos Android antiguos o portátiles de gama baja— y que ofrecen direcciones IP reales y rotativas asignadas a hogares y oficinas. Estos servicios ofrecen anonimato y privacidad, pero también pueden proteger del tráfico malicioso.

Al simular que el tráfico malicioso proviene de direcciones IP de consumidores confiables, los atacantes dificultan enormemente que los escáneres de las organizaciones y otras herramientas de detección de amenazas detecten actividad sospechosa. Además, los proxies residenciales y otras plataformas descentralizadas que se ejecutan en hardware de consumidores dispares reducen la visibilidad y el control de los proveedores de servicios, lo que dificulta que las fuerzas del orden obtengan información útil de ellos.

“Los atacantes han incrementado el uso de redes residenciales para sus ataques en los últimos dos o tres años”, afirma Ronnie Tokazowski, investigador de estafas digitales con amplia experiencia y cofundador de la organización sin fines de lucro Intelligence for Good. “Si los atacantes provienen de las mismas zonas residenciales que, por ejemplo, los empleados de la organización objetivo, es más difícil rastrearlos”.

El uso delictivo de proxies no es nuevo. En 2016, por ejemplo, el Departamento de Justicia de EE. UU. afirmó que uno de los obstáculos en una investigación de años sobre la notoria plataforma cibercriminal "Avalanche" fue el uso por parte del servicio de un método de alojamiento "fast-flux" que ocultaba la actividad maliciosa de la plataforma mediante direcciones IP de proxy en constante cambio. Sin embargo, el auge de los proxies como un servicio de mercado gris, en lugar de algo que los atacantes deben desarrollar internamente, supone un cambio importante.

“Todavía no sé cómo podemos solucionar el problema del proxy”, declaró Seret, del Equipo Cymru, a WIRED. “Supongo que las fuerzas del orden podrían atacar a los proveedores de proxy maliciosos conocidos, como hicieron con los hosts a prueba de balas. Pero, en general, los proxies son servicios de internet completos que todos usan. Incluso si se desmantela un servicio malicioso, eso no resuelve el problema principal”.

wired

wired

Noticias similares

Todas las noticias
Animated ArrowAnimated ArrowAnimated Arrow
¿La industria de defensa polaca se enfrenta a un gran avance? El nuevo presidente ha definido claramente sus prioridades.
wnp.pl

¿La industria de defensa polaca se enfrenta a un gran avance? El nuevo presidente ha definido claramente sus prioridades.

Madre de Sheinbaum es una de las mejores científicas del mundo
informador

Madre de Sheinbaum es una de las mejores científicas del mundo

Las empresas polacas están muy rezagadas en ciberseguridad. «Tenemos armas, pero no sabemos cómo usarlas».
wnp.pl

Las empresas polacas están muy rezagadas en ciberseguridad. «Tenemos armas, pero no sabemos cómo usarlas».

Censura y vigilancia extrema: un celular sacado de Corea del Norte expuso la red de control digital de Kim Jong-un
Clarin

Censura y vigilancia extrema: un celular sacado de Corea del Norte expuso la red de control digital de Kim Jong-un

Fracasa módulo lunar en misión
yucatan

Fracasa módulo lunar en misión