Incluso los hackers falsos pueden hacer un montón de dinero en Internet

En Internet nadie sabe que eres un perro y nadie sabe si realmente eres un famoso hacker o no. Y si eres un famoso hacker, puedes hacer un montón de dinero.

Estos dos ingredientes, mezclados con el hecho que el público se ha vuelto consciente de las dañinas consecuencias de cosas como el ransomware y, en menor grado, los ataques de denegación de servicio (o DDoS por sus siglas en inglés) que tiran apps y sitios web y cuestan muchos cientos de dólares en costos de mantenimiento, han creado un nuevo tipo de amenaza en línea: el hacker falso.

Hace unos días la firma de seguridad CloudFlare reveló a un grupo de hackers que resultó ser un individuo que pretendía ser la infame banda de hackers conocida como Armada Collective. El impostor aparentemente estaba haciendo dinero a partir de amenazas de ejecutar ataques DDoS que no tenían fundamentos.

"Mientras los verdaderos miembros del Armada Collective están encerrados en una cárcel europea, con un poco más que algunas direcciones de bitcoin y una cuenta de email algunos individuos emprendedores están retomando el nombre original del grupo, sembrando el miedo, y recaudando cientos de miles de dólares a través de la extorsión", escribió el fundador de CloudFlare, Matthew Prince, en el blog de la compañía.

Con su publicación Prince esperaba que las compañías e individuos que recibieron las amenazas de los hackers se enteraran de esto y simplemente no les pagaran. Prince buscaba que, si su publicación tenía suficiente atención, se hundirían los posts sobre los temidos y reales Armada Collective.

\

SecuriTayApril 25, 2016

Esa estrategia parece haber funcionado, pero ahora alguien ha comenzado a pretender ser otro infame grupo de hacking, el Lizard Squad.

En los últimos días cientos de organizaciones han recibido amenazas por email de un grupo que se identifica como Lizard Squad y demanda un rescate con el fin de evitar un paralizante ataque DDoS, de acuerdo con Prince y Radware, otra firma de mitigación de DDoS.

"Somos el Lizard Squad y hemos escogido su sitio web/red como objetivo para nuestro siguiente ataque DDoS. Por favor ejecute una búsqueda en google de 'Lizard Squad DDoS' para echarle un vistazo a algo de nuestro 'trabajo' previo", señala el email compartido con Motherboard por Daniel Smith de Radware. "Estamos dispuestos a abstenernos de atacar sus servidores por una pequeña cuota. La cuota actual es de 5 Bitcoins".

Ahí está. ¿Alguien destruye tu identidad falsa? Simplemente crea una nueva. La buena noticia es que le tomó a CloudFlare y Radware solamente un par de días para darse cuenta de esto, gracias a que los hackers falsos utilizaron el mismo lenguaje en el nuevo email y algunas de las mismas direcciones de envío. Hasta ahora, ninguno de los objetivos parece haber pagado, dice Prince.

El problema con este tipo de ataques es que son ridículamente sencillos. Todo lo que uno necesita es una dirección de email, una de bitcoin, y, como explicó Prince, ninguna de estas dos dejan un rastro significativo que pueda conducir a un arresto. En otras palabras, es un crimen casi perfecto.

La mala noticia para los impostores es que no existen tantos infames grupos de hacking por DDoS, así que en algún punto se quedarán sin nombres disponibles. Pero es un tanto increíble que en estos tiempos puedes hacer dinero al simplemente pretender que eres un hacker. Así de populares se han vuelto los hackers y estos rescates.

"Los atacantes ahora saben que la población general es ignorante y teme a ambos [DDoS por rescates y ransomware]", cuenta Smith.

Para Prince, la mejor respuesta a esta tendencia es simplemente una mejor educación.

"Debemos tener información sobre cuando los atacantes sean reales y cuando ellos simplemente están mintiendo", señaló.

Esperemos que eso sea suficiente para diferenciar a los hackers reales de los falsos. Los perros, por otro lado…