Actualidad

El floreciente y dudoso negocio de monitoreo en la dark web

"Puedes usar la vigilancia del mercado negro como un sistema de alerta anticipada: si empiezas a ver que la gente te menciona, o que aparecen datos tuyos, entonces significa que te tienen en la mira".
28.3.16
Imagen: John Devolle/Getty

Este artículo se publicó originalmente en Motherboard, nuestra plataforma dedicada a la ciencia y a la tecnología.

Existen dos tipos de personas que ganan dinero a través de lo que se conoce como dark web o web oscura: los criminales que la usan para vender mercancía ilegal y las empresas que se ofrecen a rastrearlos en nombre de los organismos de aplicación de la ley o de clientes privados.

Ambos son oficios consolidados hoy en día, y el segundo ha ido creciendo a un ritmo acelerado. Existe un puñado de empresas de vigilancia web, algunas fueron creadas específicamente para hacer frente a la dark web mientras otras han expandido sus servicios para atacar a sitios en la red Tor. El mes pasado, Terbium Labs, una de esas empresas, recibió 6.3 millones de dólares (111 millones 291,690 pesos), y en enero, iSight Partners fue adquirida por 200 millones de dólares (3,511 millones 330,247 pesos).


Relacionado: La deep web es mucho más que armas, drogas y sexo


Pero la sola idea de estos servicios tiene problemas fundamentales. La dificultad para verificar información obtenida de foros y mercados significaría que la seguridad que brindan podría ser ilusoria y no verdadera.

En particular, las instituciones financieras, tiendas minoristas y sitios de negocios por internet llegan a contratar a estas empresas para adelantarse a cualquier posible fraude o venta de datos robados.

"Puedes usar la vigilancia del mercado negro como un sistema de alerta anticipada: si empiezas a ver que la gente te menciona, o que aparecen datos tuyos, entonces significa que te tienen en la mira", le contó a VICE, Adam Meyer, jefe de estrategias de seguridad de SurfWatch Labs. SurfWatch ofrece "un programa de inteligencia sobre amenazas cibernéticas que te brinda información personalizada sobre riesgos cibernéticos de la dark web y otras fuentes relacionadas a ella" y los clientes pagan hasta 150,000 dólares (2 millones 636,639 pesos) al año.

"Estamos supervisando todos los días, así que si en el mercado negro aparece cualquier cosa sobre nuestros clientes, les avisamos ese mismo día", Meyer prosiguió. Al enterarse de los datos robados de tarjetas de crédito, los bancos y las empresas que las emiten "se adelantan a cualquier transacción que se pueda llevar a cabo y así reducen sus pérdidas".

El video promocional de SurfWatch nos muestra qué tipo de servicios ofrecen estas empresas.

Por lo general, las empresas que monitorean la dark web se rigen por dos métodos. Algunas trabajan con algoritmos y analizan y rastrean mercados automáticamente para buscar datos robados como información de tarjetas o propiedad intelectual. El programa 'Matchlight' de Terbium Labs lanza una especie de araña que recaba datos y posteriormente compara las huellas digitales encontradas con las de los clientes.

El segundo método es más humano. Los desarrolladores se infiltran en foros de hackers u otras páginas frecuentadas por ellos y elaboran un archivo sobre el tipo de malware que se mencionan o los volcados de datos que se intercambian. Posteriormente, se le envía esta información al gobierno o a los clientes privados a quienes les concierne y cada empresa de vigilancia los procesa de forma particular.

Pero existe mucha información inventada o engañosa en la dark web. Por lo regular, hay registros o sitios enteros que son fraudes y los foros pueden estar plagados de personas que sólo intentan timarse mutuamente. Por esa razón, tan sólo informar de todo a un cliente no es suficiente.


Relacionado: Las drogas legales ahora se consiguen en la deep web


"Pasa con cualquier cosa obtenida por código abierto. Siempre está presente el elemento de la credibilidad ¿la información es verdadera? ¿es valiosa? o ¿fue fabricada para engañar?", dijo Jeffrey Car, presidente de la empresa de seguridad informática Taia Global, que ya ha criticado previamente el sistema de información de amenazas en el pasado.

"¿Cómo determinas la verdad de una colección de información hallada en internet?" añadió. "Esto siempre ha sido mi conflicto con todas las empresas que recopilan información web y proclaman que son inteligencia".

Para Meyer, mucho de eso se basa en la reputación de un hacker que proclama poseer detalles de tarjetas de crédito, datos personales, o cualquier otra cosa que venda. A partir de allí, SurfWatch le asigna a la amenaza un "nivel de fiabilidad" que puede ser bajo, medio o alto.

"En algunos casos, nos comunicamos con nuestros clientes para decirles que nos percatamos de que algo está ocurriendo, es sólo un 'ten cuidado'. Puede que tengamos un nivel de fiabilidad bajo porque no contamos con la información suficiente", dijo Meyer. A menudo, las amenazas aparentes sobre las que SurfWatch informa a sus clientes resultan ser ilegítimas.

"Honestamente, es un 50/50, y por esa razón el nivel de fiabilidad es tan importante", prosiguió.

La información que le damos al cliente sí llega a ser falsa "a veces", dijo John Miller, quien dirige el producto ThreatScape Cyber Crime de iSight Partners.

Miller dijo que su empresa se fija en la reputación de la persona que dice vender la información robada y brinda una especie de índice de credibilidad por la información que le da a los clientes. No obstante, él se negó a responder si la empresa obtenía muestras de datos de los hackers para corroborarlo.

"Simplemente va contra nuestras políticas hablar sobre acciones específicas que tienen que tomar para protegerlos, y de igual manera, asegurar que los clientes tengan acceso a datos útiles sin alterar sus fuentes mencionándolas públicamente", prosiguió y añadió que la empresa trata de cumplir con las leyes locales.

"Hay un apetito voraz por información"

Con la dificultad aparente de no poder verificar todas las declaraciones, quizá tendría más sentido reportar únicamente la información cuya relación con una amenaza creíble se puede comprobar, pero en ese caso, Meyer pregunta qué pasaría si su empresa no reportara un problema real.

Por esa razón "cuidamos tanto el nivel de fiabilidad: nosotros te decimos todo lo que sabemos, pero también te decimos nuestro nivel de fiabilidad. Puedes fabricar tu propia calculadora de riesgos dentro de la empresa", declaró Meyer y después añadió que existen clientes que prefieren recibir menos información para no saturarse.

A los críticos también les preocupa que las empresas le envíen datos innecesarios a sus clientes.


Relacionado: La "verdadera" dark web no existe


"Las empresas deben tener la madurez suficiente para explicarle a los clientes por qué no hay información útil [en vez de] establecer flujos de datos inútiles para cumplir su cuota", afirmó Robert M. Lee, un exoperador de software de guerra de la Fuerza Aérea Estadounidense y presidente de Dragos Security.

"La razón por la que aún continúan se debe a que hay un apetito voraz por información", declaró Carr de Taia Global.

En caso de que te preguntaras si todo esto tiene algún valor para las empresas, Meyer respondió que sí.

"Si un banco nos paga 150,000 dólares al año por monitorear todo esto para ellos, tenemos la posibilidad de ahorrarles millones de dólares en un fraude, dependiendo de qué tipo se trate. Pienso que eso mismo paga", dijo.

"La mayoría de las empresas no obtienen beneficios por estos servicios" dijo Lee, "La mayoría de las empresas necesitan enfocarse en ser capaces de detectar y responder mejor en su propio entorno".

"Sin embargo, para algunas empresas que han realizado prácticas de seguridad tanto básicas como avanzadas, otra fuente de información sobre posibles autores o fuentes de amenazas podría añadir valor", añadió. "El peligro está en su precio. Las empresas deberían ser muy cuidadosas, asegurarse de que en verdad necesitan estos servicios y están obteniendo un buen rendimiento de sus inversiones".