Sophos, destacada empresa de ciberseguridad, ha revelado cómo los concursos de investigación organizados en foros de cibercriminales están desempeñando un papel fundamental en la inspiración de nuevos métodos de ataque. Estos concursos imitan las legítimas convocatorias de conferencias de seguridad conocidas como ‘Call For Papers’ y ofrecen a los ganadores recompensas financieras significativas, reconocimiento entre sus pares y posibles oportunidades laborales.
El último informe de Sophos X-Ops, titulado «¿For the Win? Offensive Research Contests on Criminal Forums», se detalla cómo estos concursos tienen como objetivo principal fomentar la innovación. Cuando se analizan, las contribuciones proporcionan información valiosa sobre cómo los cibercriminales buscan superar los obstáculos de seguridad.
A lo largo del tiempo, estos concursos en foros criminales han experimentado una evolución significativa. Inicialmente, incluyeron preguntas triviales, competencias de diseño gráfico y juegos de adivinanzas. Sin embargo, en la actualidad, los foros criminales invitan a los atacantes a «presentar» artículos técnicos, acompañados de código fuente, videos y capturas de pantalla. Posteriormente, todos los usuarios del foro tienen la oportunidad de votar por el ganador del concurso. Es importante destacar que la evaluación no es completamente transparente, ya que los propietarios del foro y los patrocinadores del concurso también ejercen su voto en el proceso de selección.
Te puede interesar: Ciberataque en Colombia ¿Cuáles entidades fueron afectadas y han suspendido servicios?
«La organización y participación de estos concursos por parte de cibercriminales sugiere un objetivo comunitario de avanzar en sus tácticas y técnicas. También existe evidencia que sugiere que estas competiciones actúan como una herramienta de reclutamiento entre grupos destacados de actores de amenazas», comentó Christopher Budd, director de investigación de amenazas de Sophos.
El informe de Sophos X-Ops examinó dos concursos anuales destacados: uno organizado por el foro de cibercriminales ruso Exploit, que ofreció un fondo total de premios de USD 80.000 al ganador en 2021, y otro llevado a cabo en el foro XSS, con un fondo de premios de USD 40,000 en 2022. A lo largo de los años, miembros destacados de la comunidad de cibercriminales han patrocinado estos eventos, incluyendo a All World Cards y Lockbit.
En ediciones más recientes, Exploit tematizó su competencia en torno a las criptomonedas, mientras que XSS amplió su concurso para abordar una variedad de temas, que incluyen la ingeniería social, vectores de ataque, evasión y propuestas de estafa. Muchas de las entradas ganadoras se centraron en el abuso de herramientas legítimas, como Cobalt Strike. Un finalista compartió un tutorial sobre cómo apuntar a las ofertas iniciales de monedas (ICO) para recaudar fondos para una nueva criptomoneda y otro explicó cómo manipular tokens de privilegio para desactivar Windows Defender.
Imagen: FotoArt-Treu vía Pixabay
