Los cibercriminales ocultan tráfico web malicioso a plena vista.

Durante años, los servicios en el mercado gris conocidos como "hosting a prueba de balas" han sido una herramienta crucial para los cibercriminales que buscan mantener su infraestructura web de manera anónima y sin preguntas. Sin embargo, a medida que las fuerzas de seguridad globales intensifican sus esfuerzos por combatir las amenazas digitales, han comenzado a implementar estrategias para obtener información de los clientes de estos servicios, además de centrar sus investigaciones en los individuos detrás de estas operaciones, llevando a cabo varias acusaciones.

En la conferencia enfocada en cibercrimen, Sleuthcon, celebrada en Arlington, Virginia, el investigador Thibault Seret expuso cómo este cambio ha llevado tanto a las empresas de hosting a prueba de balas como a sus clientes criminales a adoptar enfoques alternativos. En lugar de depender de los servicios de hosting para operar fuera del alcance de la ley, algunos proveedores han comenzado a ofrecer VPNs diseñadas con propósitos específicos y otros servicios de proxy para rotar y enmascarar las direcciones IP de los clientes, además de proporcionar infraestructura que, ya sea intencionalmente o no, no registra el tráfico o mezcla datos de múltiples fuentes.

Aunque esta tecnología no es reciente, Seret y otros investigadores señalaron que la transición hacia el uso de proxies por parte de los cibercriminales en los últimos años es un desarrollo significativo. "El problema es que, técnicamente, no puedes distinguir qué tráfico en un nodo es malo y cuál es bueno", explicó Seret, investigador de la firma de inteligencia de amenazas Team Cymru. "Esa es la magia de un servicio de proxy: no se puede saber quién es quién. Es positivo en términos de libertad en internet, pero extremadamente complicado analizar lo que está ocurriendo e identificar actividades ilícitas".

El principal desafío de abordar las actividades criminales ocultas tras proxies radica en que estos servicios pueden, incluso en su mayoría, estar facilitando tráfico legítimo y benigno. Tanto los criminales como las empresas que no quieren perder a estos clientes han estado utilizando lo que se conoce como "proxies residenciales". Este tipo de servicios consiste en una variedad de nodos descentralizados que pueden funcionar en dispositivos de consumo, incluyendo teléfonos Android antiguos o laptops de bajo rendimiento, ofreciendo IPs reales y rotativas asignadas a hogares y oficinas. De este modo, los ataques pueden disfrazarse como si provinieran de direcciones IP de consumo confiables, dificultando así que los escáneres y otras herramientas de detección de amenazas de las organizaciones identifiquen actividades sospechosas.

Al hacer que el tráfico malicioso parezca proceder de direcciones IP residenciales confiables, los atacantes dificultan la detección por parte de las organizaciones. Adicionalmente, los proxies residenciales y otras plataformas descentralizadas que utilizan hardware de consumo diverso reducen la visibilidad y el control del proveedor del servicio, complicando aún más que las fuerzas de la ley obtengan información útil de ellas. "Los atacantes han incrementado el uso de redes residenciales para realizar ataques en los últimos dos o tres años", señala Ronnie Tokazowski, un investigador de estafas digitales y cofundador de la ONG Intelligence for Good. "Si los ataques provienen de rangos residenciales similares a los de empleados de una organización objetivo, es más difícil de rastrear".

El uso de proxies por parte de cibercriminales no es un fenómeno nuevo. En 2016, el Departamento de Justicia de Estados Unidos afirmó que uno de los obstáculos en una investigación de años sobre la plataforma cibercriminal "Avalanche" era el uso de un método de hosting "fast-flux" que ocultaba la actividad maliciosa mediante direcciones IP de proxy en constante cambio. Sin embargo, el auge de los proxies como un servicio del mercado gris, en lugar de algo que los atacantes deban desarrollar internamente, representa un cambio importante.

"Todavía no sé cómo podemos mejorar la situación con los proxies", comentó Seret de Team Cymru. "Supongo que las fuerzas del orden podrían dirigirse a los proveedores de proxies maliciosos conocidos, como lo hicieron con los hosting a prueba de balas. Pero, en general, los proxies son servicios de internet enteros utilizados por todos. Incluso si desmantelas un servicio malicioso, eso no resuelve el desafío más amplio".