Durante años, los servicios de Gray Market conocidos como anfitriones “a prueba de balas” han sido una herramienta clave para los ciberdelincuentes que buscan mantener anónimamente la infraestructura web sin preguntas. Pero a medida que la aplicación de la ley global se apresura a tomar medidas enérgicas contra las amenazas digitales, han desarrollado estrategias para obtener información del cliente de estos anfitriones y se han dirigido cada vez más a las personas detrás de los servicios con acusaciones. En la conferencia centrada en el delito cibernético Sleuthcon en Arlington, Virginia, el viernes, el investigador Thibault Seret describió cómo este cambio ha empujado tanto a las compañías de alojamiento a prueba de balas y a los clientes criminales hacia un enfoque alternativo.
En lugar de confiar en los hosts web para encontrar formas de operar fuera del alcance de la aplicación de la ley, algunos proveedores de servicios han recurrido a ofrecer VPN especialmente diseñadas y otros servicios proxy como una forma de girar y enmascarar las direcciones IP de los clientes y ofrecer infraestructura que intencionalmente no registra el tráfico ni mezcla el tráfico de muchas fuentes juntas. Y aunque la tecnología no es nueva, Seret y otros investigadores enfatizaron que la transición al uso de proxies entre cibercrminales en los últimos años es significativa.
“El problema es que técnicamente no puede distinguir qué tráfico en un nodo es malo y qué tráfico es bueno”, dijo Seret, un investigador del equipo de la firma de inteligencia de amenazas Cymru, a Wired antes de su charla. “Esa es la magia de un servicio de poder: no se puede decir quién es quién. Es bueno en términos de libertad de Internet, pero es muy difícil analizar lo que está sucediendo e identificar la mala actividad”.
El desafío central de abordar la actividad cibercriminal oculta por los proxies es que los servicios también pueden, incluso principalmente, facilitar el tráfico legítimo y benigno. Los delincuentes y las empresas que no quieren perderlos, ya que los clientes se han apoyado particularmente en lo que se conocen como “representantes residenciales”, o una variedad de nodos descentralizados que pueden ejecutarse en dispositivos de consumo, incluso teléfonos Android antiguos o computadoras portátiles de bajo extremo, ofreciendo direcciones IP reales y rotativas asignadas a hogares y oficinas. Dichos servicios ofrecen anonimato y privacidad, pero también pueden proteger el tráfico malicioso.
