domingo, 11 de abril de 2010

Contratando en el Underground.


“Programador en Java, experiencia mínima de 3 años”, “Desarrollador Web para laborar dentro del departamento de RH”, son sólo unos ejemplos de las posiciones solicitadas para algunas corporaciones. Igualmente el crimen organizado en línea requiere de llenar “posiciones” dentro de sus “empresas”, cuáles podrían ser?

Steven Chabinsky, que trabaja para el FBI, se dio a la tarea de describir –en base a su experiencia- los puestos que se están requiriendo para “laborar” como “profesional” del mundo del crimen en línea. A continuación algunos ejemplos de dichos puestos:

Administradores: al igual que una PyME, se requieren administrar servidores, mantener bases de datos y una red para la organización del crimen en línea.

Vendedores: una vez que se roban los datos de las víctimas, es probable que éstos se quieran vender en el mercado negro (claro, el propio “negocio” también los puede usar). Los vendedores deben de ser hábiles al encontrar compradores “confiables” en el mercado negro, saber negociar precios (los costos dependen de qué tipo de información se está vendiendo: no es lo mismo hablar de números de tarjetas de crédito que de débito o nombres de usuario -y contraseñas- de cuentas de correo), saber vender sin llamar demasiado la atención de las autoridades y llevar registros detallados para entregar cuentas al “negocio”.

Crackers: definitivamente el puesto más requerido son los que encuentran, prueban y automatizan la explotación de vulnerabilidades de software. También parte de sus “responsabilidades” puede ser el de Investigador, si es que se desea encontrar y usar debilidades no conocidas aún para cierta aplicación o sistema operativo (de día cero).

Programadores: es el codificador, dado que los exploits, troyanos y demás códigos maliciosos deben de ser programados (no salen de repente). Un programador tiene también buenas bases para entender cómo saber encontrar debilidades (a fin de cuentas, las debilidades fueron a su vez “creadas” por otros programadores). En mi opinión, este rol lo cubre perfectamente el cracker, tal vez aplique en el caso de que éste requiera ayuda.

Defraudadores: aunque tal vez este rol lo absorba otro puesto, se requiere alguien que piense en la manera de defraudar, de engañar a la víctima para que caiga en una trampa y de llevar a cabo el engaño que programó el cracker. Algunas veces se requerirá escribir un correo convincente para que la víctima le dé click sobre una liga que lo lleve finalmente al sitio malicioso, otras veces se requerirá por ejemplo idear un “gancho” en 140 caracteres para que un usuario de Twitter dé click en una liga maliciosa.

Contadores: controlan las “cosas” de dinero de la “firma”: gastos, egresos, sueldos, pago por uso de instalaciones y/o infraestructura, ganancias y todo lo relativo a la cuestión económica de la “corporación”.

Money Mule: no supe cómo traducir este término de manera que se entendiera plenamente a qué me estaba refiriendo, así que lo dejé en inglés. Un “money mule” se refiere a una víctima que sin saberlo es engañada para transferir dinero robado hacia una cuenta de un criminal. Muchas mulas son engañadas con avisos de “Empléate desde tu casa”. Para gran parte del crimen online, las mulas son un elemento básico de su “negocio” ya que proveen flujo de efectivo y capitalizan el robo. Más información sobre estas “mulas” aquí.

Alta dirección: los dueños del negocio, que muchas veces son los mismos crackers que “emprendieron el negocio”.

Ya por último, una aclaración. Todos los roles anteriormente descritos pueden ser ejecutados sin problema por una persona (el cracker) y así ha sido históricamente. Independientemente de si estamos o no de acuerdo con el tipo de roles que pudieran existir en crimen en línea, lo importante es saber que actualmente varios “negocios” obscuros online han crecido de tal manera que ya no es conveniente que uno solo haga el trabajo, de ahí que al igual que una PyME, se irá consiguiendo personal adicional que ayude en las tareas diversas del “negocio”. Restaría que hubiera un sitio como Monster, OCC o Bumeran donde se “posteen” las vacantes para trabajar con el crimen electrónico (tal vez ya exista; sé que actualmente se usan foros underground o la recomendación de “boca en boca” para buscar candidatos, entre otros métodos).