Descubre qué es el Malware-as-a-Service (MaaS) y para qué sirve

Descubre qué es el Malware-as-a-Service (MaaS) y para qué sirve

Lorena Fernández

Si hablamos de ciberataques, hablamos de un conjunto de herramientas, tecnologías y habilidades técnicas que van mejorando e innovando en cuestión de horas. Así como en cualquier negocio, la demanda es enorme y la competencia es cada vez más pronunciada. Prácticamente, nadie tiene miedo de ofrecer Malware-as-a-Service abiertamente. No solamente sirve para distribuir malware al blanco deseado. Sino también ransomware, ataques DDoS y todo lo que puedas imaginar.

A pesar de que para muchas personas es difícil de creer, el cibercrimen está pasando por uno de sus mejores momentos como negocio. Debido a la alta demanda, claro está, provee el software y soporte post-venta necesario para satisfacerla. Así como cualquier otro producto digital que conozcamos. Así como el software «benigno» cuenta con un ciclo que vida que incluye las fases beta, actualizaciones y aplicación de parches después de su lanzamiento al mercado, y, además, puede ser adquirido a un precio estipulado o bien, se accede a una suscripción cuyo régimen lo dicta el proveedor.

Cualquier persona que sea cibercriminal o aspire a serlo, tiene la vida resuelta mediante el Malware-as-a-Service. Sin embargo, no es cuestión de adquirir el producto solamente. Existen ocasiones en que, por ejemplo, la persona interesada no posee las habilidades necesarias para ejecutar un malware en los dispositivos que forman parte de su blanco. Por esto, tiene que recurrir al proveedor que le dará soporte técnico para llevarlo a cabo. Por tanto, estaría actuando como una compañía normal de productos y servicios.

Por otro lado, no debe dejar de preocuparnos el hecho de que este negocio no para de expandirse, y, además, invita a las personas a animarse a convertirse en cibercriminales. Lo que implica formarse constantemente para tener las habilidades técnicas y desarrollar productos maliciosos devastadores. En Internet, existe una multitud de opciones de tutoriales en formato vídeo, documento escritos, herramientas para instalar y experimentar con las mismas. Por tanto, no te faltará nada para meterte de lleno en el mundo del cibercrimen.

Uno de los propósitos más importante del MaaS es la generación de una creciente y cruel competencia. No hay otra opción, es necesario desarrollar productos cada vez más letales en materia de malware, ransomware, virus, etc. He ahí uno de los motivos por el cual es tan accesible aprender habilidades con fines maliciosos. En MaaS, se hacen esfuerzos por lanzar productos que estén al día con las necesidades del mercado y que sean cada vez más fáciles de usar. Sin embargo, su facilidad de uso no implica que vaya a generar daños pequeños. Puede generar tanto daño como cualquier malware complejo del que tengamos conocimiento.

¿Lo más gracioso de todo esto? Normalmente el MaaS también tiene horario de oficina, en la mayoría de los casos. Los ataques se programan a las 09:00 y terminan a las 5 de la tarde, ideal para que durante todo el tiempo la empresa atacada no pueda trabajar correctamente.

16Shop: un verdadero caso de éxito MaaS

Es un kit de ataques de phishing que se ha dado a conocer hace poco tiempo. En el año 2019, se lanzaron diversos ataques a cuentas de Apple y Amazon. Ésto último, un día antes de la popular jornada de ofertas Prime Day. Un dato interesante es que este kit se actualiza constantemente. Hoy en día, cuenta con soporte para atacar a cuentas, no sólo de Apple o Amazon, sino también cuentas asociadas a tarjetas de American Express. La última versión de 16Shop cuenta con la capacidad de bloquear:

  • Los automated crawlers (escáneres automáticos) de las compañías de seguridad informática.
  • Indexación web.
  • Funciones antibots que revisan si el visitante es un bot o no.

Prestemos atención a la siguiente captura de pantalla:

A pesar de que es un kit de phishing, cuenta con un sitio inicial como el de cualquier otro software o servicio. En donde tendrás visibilidad de cuantas personas hicieron clic a tus enlaces de phishing y cuántas personas iniciaron sesión. Por tanto, puedes saber cuántas personas te proporcionaron sus datos de e-mail, bancarios, números de tarjetas de crédito y más.

Otro punto que se destaca también es que, por cada captura de datos de tarjetas de crédito, puedes saber el país y dispositivo de origen, además del número de tarjeta en cuestión. Bastante completo, ¿no te parece? Todos los datos son enviados por correo electrónico, a través del protocolo SMTP, para poder llegar a los propietarios del kit y sacar provecho de los mismos. No es necesario tener un conocimiento demasiado alto para poder comenzar a utilizarlo.

La acción ganadora para que todos nosotros no seamos víctimas de este negocio es la prevención. No debemos exponer nuestros datos de cuentas bancarias, tarjetas de crédito e incluso cuentas varias. Debemos prestar atención especialmente a cada mensaje de correo electrónico que nos llegue, solicitando datos personales.

Una de las recomendaciones infalibles para prevenir la caída en un ataque de phishing es prestar atención al asunto. En la mayoría de los casos, si dicho asunto incluye a la palabra «urgente» o la típica frase «tienes que hacer esto cuanto antes o cerramos tu cuenta» , debe hacerte dudar. No es posible ni tiene lógica que nuestra cuenta podría quedar inhabilitada si no accedemos en el momento en que se nos pide.

También puedes fijarte en los adjuntos y en el propio cuerpo del mensaje. De nuevo, si se incita a una acción urgente porque puede traer ciertas consecuencias, entonces es un ataque de phishing. Si cuenta con archivos adjuntos que no precisamente esperabas recibir, es mejor que no los abras. Puedes ser víctima de ransomware, o de una infección para convertirte en miembro de una botnet para ejecutar otros ataques, entre muchas posibilidades que pueden resultar mucho peor.

Ahora bien, ¿para qué existe el Malware-como-Servicio? ¿Acaso no existe alguna otra forma limpia para una empresa o persona de ganar a la competencia? ¿O realizar otras actividades que generen dinero de manera honesta? Sí, eso es seguro, pero algunas personas o compañías optan por lo más rápido y rentable de llevar a cabo. Ya que con ataques bien planificados y ejecutados, una sola persona puede apropiarse de mucho dinero ajeno en cuestión de segundos. Entonces, simplemente tenga cuidado cuando navega por la red.