¿Por qué no funcionan las recompensas por informar sobre ciberdelincuentes?

Artículo original de Rik Ferguson (Director of Security Research & Communication, Trend Micro)

Imagen utilizada bajo la licencia de Creative Commons de vídeos L2F1 de Flickr.

Se han ofrecido recompensas por proporcionar información que permita arrestar a los creadores/operadores de malware de alto perfil durante algún tiempo. ¿Han tenido éxito estas iniciativas? ¿Qué factores las condicionan?

El programa de recompensas por capturar creadores de virus de Microsoft, Microsoft Anti-Virus Reward, existe desde finales de 2003. En el marco de esta iniciativa se han ofrecido gratificaciones por capturar a los creadores de Sasser, Sobig, Blaster, Conficker y ahora también de Rustock, por nombrar algunos de alto perfil. Microsoft es quien pone el dinero de la recompensa, pero son las leyes las que determinan si los candidatos cumplen los criterios necesarios para obtenerla en función de las detenciones y las condenas.

Pese a las recompensas ofrecidas, el número de casos que no obtienen respuesta supera al número de casos que sí la obtienen. En 2005, dos personas compartieron una recompensa de 250.000 $ por ofrecer información que permitió condenar a Sven Jaschan, el creador del gusano Sasser. Sin embargo, los éxitos han sido escasos, todavía no se han producido arrestos relacionados con Sobig y, lo que es más importante, la recompensa por informar sobre el creador o los creadores de Conficker sigue sin ser reclamada. Microsoft no es la única fuente que ofrece una tentadora recompensa en efectivo. En 2004, SCO ofreció otros 250.000 $ por el arresto y condena del autor o autores de MyDoom, que también continúan sin reclamarse.

Probablemente, existen algunas razones para este éxito limitado: los delincuentes operan en línea bajo seudónimos y suelen ser muy herméticos en lo referente a sus identidades reales. Si bien las recompensas normalmente permiten obtener información valiosa en los delitos que se producen en el “mundo real”, hay que reconocer que, en estos casos, las posibilidades de que existan testigos presenciales son mucho mayores. En el “mundo en línea”, el razonamiento debe ser que la mayoría de los testigos, de algún modo, también están involucrados. En los casos de perfiles altos, la recompensa de 250.000 $ (o incluso 500.000 $ si se ofrecen dos recompensas) puede resultar muy baja en comparación con los ingresos que las bandas de delincuentes organizadas pueden obtener llevando el negocio de la forma habitual. Quizás exista un extraño tipo de confianza que también desempeñe un papel importante. El mundo clandestino en línea, como cualquier otra empresa de Internet más legítima, se basa en un alto grado de confianza y credibilidad. Si alguien se desmarca y reclama una recompensa de 250.000 $ nunca más podrá volver a participar en el mundo de la delincuencia en línea. Tal y como ellos dicen, sería un movimiento que limitaría una carrera… Si le pide a una persona que abandone su carrera, aunque esta sea ilegal, seguramente las recompensas deberán ser bastante más altas.

No subestime al tipo duro pequeño ni el poder de los ecologistas y, tal y como me dijo mi amigo Julio Canto de Virustotal en Twitter, “probablemente el foco central del problema son los individuos que todavía encuentran interesantes los 250.000. :) Incluso un pez pequeño puede causar problemas“.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.