Estos días hemos sabido que Ehud Tenenbaum, alias “The Analyzer” se ha declarado culpable en Nueva York de fraude con tarjetas bancarias por su papel en una sofisticada trama de hacking. Los funcionarios federales estiman que robó $10 millones de los bancos de USA. Tenembaun, de 29 años, también fue detenido el año pasado en Canadá, donde aún no ha sido juzgado, por el presunto robo de 1,5 millones de dólares de los bancos canadienses. Este hacker de origen israelí ya fue noticia hace 10 cuando fue detenido por primera vez a los 19 años. Ahora se enfrenta a una pena de un máximo de 15 años de prisión que esperemos que sea disuasoria. Wikipedia tiene una lista de los ciberdelincuentes condenados en los últimos años, pero la lucha contra los ciberdelincuentes no siempre llega a un final así…
El malware se ha convertido en un negocio multimillonario en el que no sólo es difícil atrapar a los culpables (Internet no tiene fronteras, pero la ley y la policía sí) sino que para los pocos a los que se consigue atrapar las diferentes legislaciones prevén penas y multas casi nunca proporcionales a la gravedad de sus delitos y al enriquecimiento ilícito que consiguen. Recuerdo una viñeta que lo mostraba de forma muy cómica: un atracador apuntaba al cajero con una pistola mientras éste, sorprendido, le contestaba: “pero por qué se toma tantas molestias si lo puede hacer on line de manera más cómoda?”. Y menos arriesgada, deberíamos añadir.
Los ciberdelincuentes llevan ventaja porque resulta muy difícil “tirar del hilo”. La estructura de su negocio es cada vez más compleja: Los que crean el troyano bancario, por ejemplo, no son los mismos que lo distribuyen para robar las claves de las tarjetas de crédito ni los mismos que después blanquean el dinero robado. A esto se añade que la actividad delictiva se reparte entre varios países y existen pocos acuerdos de cooperación entre estados. Las fuerzas de seguridad se ven limitadas a la hora de investigar.
Además, en los pocos casos en los que se consigue identificar a los culpables, sucede que cuando son llevados a juicio no existe una legislación adecuada a la ciberdelincuencia -los delitos no están tipificados- y, en general, el aparato judicial no está preparado para juzgar este tipo de casos. Algunos son castigados con penas de cárcel, pero en muchos casos la sanción es una multa… que a los ciberdelincuentes les compensa pagar.
Sólo a modo de ejemplo, me gustaría compartir un “ejercicio matemático” realizado desde PandaLabs. Debido al rápido crecimiento del rogueware (falso software antivirus para eliminar infecciones inexistentes) y a su único objetivo de obtener beneficios financieros, PandaLabs quiso cuantificar el efecto económico de este tipo de malware. Basándose en estimaciones existentes dentro de la industria informática, extrapoló la información estimó que los delincuentes están ganando más de 34 millones de dólares al mes gracias al rogueware.
El gran beneficio potencial requiere legislaciones adaptadas, acuerdos entre estados y penas disuasorias. Cada vez más, detrás del malware nos estamos encontrando con delincuentes profesionales a los que hay que hacer frente.
