Los foros de ciberdelincuencia en ruso han dado lugar a una curiosa dinámica: concursos donde los hackers y ciberdelincuentes compiten presentando documentos y tutoriales sobre sus habilidades y técnicas para realizar diversos ataques. 

Desde ensayos sobre invertir en criptomonedas hasta guías para crear versiones falsas de sitios web legítimos con fines de robo de información, estos ciberdelincuentes rusos están demostrando unas grandes dotes y habilidades técnicas y de escritura.

Algunos de estos concursos en foros de cibercrimen comenzaron alrededor de 2006, con premios modestos como diseñar logotipos o comentar en hilos. A medida que los foros se volvieron más avanzados, los concursos se hicieron más complejos y centrados en presentaciones técnicas y artículos sobre ciberdelincuencia.

Estos han ido incluso evolucionando a lo largo de los años, ofreciendo premios en metálico y reconocimiento a quienes presentan las mejores ideas y estrategias para el cibercrimen. Un análisis de la empresa de ciberseguridad Sophos —extraído de The Wired— ahora ha investigado cómo funcionan estos concursos, su crecimiento y cómo están influyendo en la comunidad de los ciberdelincuentes.

Premios de hasta 80.000 dólares por la mejor idea de ciberataque

"Se nota que algunas personas han trabajado mucho en esto", dice Christopher Budd, director de investigación de amenazas en Sophos X-Ops. "A veces lo que la gente presenta no es necesariamente lo más nuevo o lo más original. Pero son cosas que son interesantes o que de alguna manera atraen a la audiencia".

Teniendo en cuenta sus datos, los participantes pueden ganar premios realmente jugosos, como un reciente concurso que ofreció un premio total de 80.000 dólares. Aunque algunos de los temas presentados no son necesariamente nuevos u originales, lógicamente destacan aquellos que son diferentes y nunca vistos y consiguen capturar la atención de la audiencia ciberdelincuente.

Como parte del análisis de Sophos, encontró que los foros como Exploit y XSS organizan competiciones en las que los participantes envían artículos y tutoriales sobre diversos temas relacionados con el cibercrimen. 

La competición más reciente en XSS se celebró entre marzo y julio de 2022. Hubo un premio general de 40.000 dólares, frente a los 15.000 dólares del año anterior. 

El análisis de Sophos explica que el concurso fue general y se pidió a los miembros del foro que enviaran entradas sobre temas que incluyen el desarrollo de malware, eludir productos de seguridad, ocultar códigos maliciosos y técnicas de ingeniería social. 

Mientras tanto, el último concurso de Exploit ofreció premios en metálico más jugosos, pero fue más específico y solicitó entradas sobre ataques, robos y vulnerabilidades de criptomonedas en abril de 2021. Un subgénero del tema fue "seguridad al trabajar con criptomonedas, excepto para cosas triviales".

Sophos también cuenta cómo funcionan estos concursos: en Exploit, las reglas dicen que las entradas "no deben haber sido publicadas en otro lugar", deben ser "significativas y voluminosas", deben incluir detalles técnicos como código o algoritmos y tener "al menos 5.000 caracteres (sin incluir espacios)".

Las reglas en XSS son similares: "copiar y pegar = expulsión del concurso, en desgracia", pero requieren que los artículos sean más largos, de al menos 7.000 caracteres, y dicen que debe haber "formato, ortografía y puntuación adecuados".

"Se presta mucha atención a cosas que harán ganar dinero a la gente", explica Roman Faithfull, ciberanalista de inteligencia contra amenazas de ReliaQuest. "Nadie va a poner lo mejor de sí mismo en esto, a menos que están en una situación realmente difícil y necesitan dinero rápido. Es poco probable que veas un grupo de 'ransomware' o, en realidad, alguien muy alto", añade.

Los ganadores son seleccionados por los miembros del foro que votan sobre las entradas, aunque los administradores del sitio también pueden influir en la elección. Pese a todo, esta empresa de ciberseguridad extrae un gran punto a su favor: "Estos concursos son buenos para ayudarnos a comprender lo que la gente en el mundo criminal está mirando, en términos generales", finaliza Budd.