Entender el ataque como servicio: el oscuro ecosistema que alimenta el fraude de identidad

La democratización de los ciberataques es una tendencia preocupante. La tecnología y las metodologías que antes eran dominio exclusivo de actores altamente cualificados ahora son accesibles para casi cualquier persona con conocimientos técnicos mínimos y la capacidad de navegar por los mercados de la web oscura. Esta transformación es especialmente evidente en ataques de verificación de identidad, donde el auge de estos servicios ha alterado fundamentalmente el panorama de las amenazas.

Este artículo analiza cómo el ataque como servicio (AaaS) ha transformado el fraude de identidad, revela el funcionamiento interno de este ecosistema criminal y proporciona información esencial para ayudar a las organizaciones a protegerse contra esta amenaza en constante evolución.

¿Qué es el ataque como servicio?

El ataque como servicio representa la comercialización y democratización de las capacidades de ciberataque. Al igual que las ofertas legítimas de software como servicio (SaaS), estas plataformas proporcionan herramientas listas para usar, infraestructura e incluso asistencia al cliente para ejecutar técnicas de ataque sofisticadas que se pueden adquirir o mediante suscripción.

En el contexto de los ataques de verificación de identidad, nuestro Informe de inteligencia sobre amenazas revela un próspero ecosistema de comunidades que se centran específicamente en los sistemas de verificación de identidad remota. Estos grupos han pasado de ser foros aislados en los que se compartían técnicas básicas a convertirse en sofisticados mercados que ofrecen soluciones de ataque integrales.

En lugar de vender simples herramientas de software, muchos proveedores ofrecen ahora servicios integrales, encargándose de todos los aspectos técnicos de la creación de métodos para eludir la verificación. Los clientes pueden adquirir estos servicios principalmente de dos maneras:

• Basado en servicios: Pagar por servicios técnicos específicos (como procesar fotos para crear intercambios de caras).
• Basado en volumen: Compra de un número determinado de cuentas o identidades preverificadas listas para su uso.

Una persona puede pagar por la creación de un deepfake específico, mientras que otra comprará algunas cuentas incorporadas. Este modelo de negocio ofrece importantes ventajas a los autores de amenazas, entre ellas una menor exposición a la supervisión de la seguridad, el control de técnicas patentadas y relaciones transaccionales seguras con otros estafadores.

Comprender el panorama general de los delitos como servicio

El ataque como servicio para eludir la verificación de identidad es un subconjunto especializado dentro del ecosistema más amplio ecosistema del delito como servicio (CaaS). Si bien estos servicios se centran en eludir los sistemas de verificación de identidad, el panorama más amplio del CaaS abarca una amplia gama de actividades delictivas, desde el robo de credenciales y el lavado de dinero hasta la falsificación de documentos y otros delitos cibernéticos. 

Esta interconexión permite a los delincuentes combinar servicios para ejecutar operaciones fraudulentas en varias etapas. En particular, nuestro Informe de inteligencia sobre amenazas destaca una tendencia preocupante: grupos regionales que antes estaban aislados ahora colaboran a través de las fronteras, reflejando la estructura global de las redes empresariales legítimas.

El ecosistema en crecimiento: en cifras

El (iSOC) identificó 31 nuevos grupos de actores maliciosos en línea solo en 2024, lo que eleva el número total de comunidades rastreadas a un nivel alarmante. 

La escala de este ecosistema es notable:

• El 45 % de estos grupos desarrollan y venden sus propias herramientas de ataque.
• 55 % centrarse en la reventa o la prestación de servicios relacionados
• El ecosistema abarca 34 965 usuarios en total.
• Los vendedores de herramientas atraen a la mayoría (68 %) de los usuarios, prestando servicio a 23 698 personas
• Nueve grupos tienen más de 1.500 usuarios, y el más grande alcanza 6.400 miembros

Estas comunidades no solo están creciendo en tamaño, sino que también se están volviendo cada vez más sofisticadas y especializadas. Las discusiones comunes se centran en técnicas como métodos para eludir el KYC, el uso de tecnología deepfake para identidades sintéticas y herramientas específicas para cada plataforma. 

El menú del servicio de fraude: qué ofrece

Los servicios disponibles a través de estos mercados han evolucionado mucho más allá de las simples herramientas. Las ofertas actuales que sigue iProov incluyen:

1. Herramientas técnicas e infraestructura

• Aplicaciones de intercambio de rostros: Más de 130 supervisadas por iProov, y la cifra sigue creciendo.
• Software de cámara virtual: Más de 90 herramientas
• Emuladores móviles: Incluyen capacidades de suplantación de ubicación.
• Herramientas de manipulación de metadatos

2. Servicios operativos

• Cultivo de identificación: Generación y validación de identidades sintéticas (más información sobre la reciente operación de gran envergadura de cultivo de identidades en la web oscura descubierta por iProov aquí).
• Cuentas de intercambio de criptomonedas o herramientas para eludir el KYC (más información en nuestro nuevo libro electrónico sobre criptomonedas)
• Tutoriales paso a paso: Para eludir sistemas de verificación específicos. Los delincuentes venden las «recetas» para atacar a su organización y sus plataformas.
• Servicios de desarrollo personalizados: Adaptados a organizaciones específicas.

3. Metodologías avanzadas de ataque

• Técnicas para eludir la verificación KYC: Aprovechar las vulnerabilidades en las comprobaciones de identidad (más información sobre la verificación de identidad)
• Servicios de creación de deepfakes: Reducen peligrosamente la barrera de entrada para los deepfakes sofisticados, que a menudo se utilizan para burlar los controles de vitalidad estáticos (aunque son ineficaces contra soluciones avanzadas como la vitalidad dinámica).
• Conversión de imagen a vídeo: Para generar identidades sintéticas.
• Cadenas de ataques combinados: Diseñadas para instituciones financieras específicas.

4. Intercambio de información

• Información sobre vulnerabilidades: Información sobre los sistemas susceptibles
• Metodologías de ataque exitosas: Documentadas y compartidas dentro de la comunidad.
• Listas de objetivos: Sistemas destacados con mecanismos de verificación débiles
• Actualizaciones en tiempo real: Alertas sobre cambios en las medidas de seguridad.

¿Qué impulsa la economía sumergida digital?

Lo que hace que estas comunidades sean especialmente peligrosas es su modelo de negocio eficiente, similar al de una empresa. Mantienen su reputación, ofrecen atención al cliente y perfeccionan continuamente sus servicios basándose en los comentarios de los usuarios.

El fraude relacionado con la identidad genera pérdidas anuales por valor de miles de millones (se estima que 8800 millones de dólares en 2023 según datos de la FTC), incluso una pequeña parte de estos ingresos crea un mercado lucrativo para los desarrolladores de herramientas de ataque. Este incentivo financiero impulsa la innovación continua, la especialización y la colaboración dentro del ecosistema.

Patrones de segmentación actuales

La selección de objetivos es estratégica y se basa en la inteligencia. Los operadores de ataques analizan activamente los sistemas de verificación y comparten información sobre cuáles son los más vulnerables.

Los sistemas que repelen eficazmente los ataques se ganan rápidamente la reputación de ser objetivos difíciles, lo que hace que los autores de las amenazas cambien su enfoque hacia otros lugares. Esta «paradoja de la baja tasa de ataques» significa que los sistemas más seguros suelen ser los que reciben menos ataques.

El efecto democratizador

Quizás el aspecto más preocupante de este fenómeno es su papel en la reducción de la barrera técnica de entrada, algo sobre lo que hemos advertido en anteriores versiones de nuestros informes de inteligencia sobre amenazas. Ahora, personas con conocimientos técnicos mínimos pueden ejecutar ataques sofisticados que antes requerían una gran experiencia. Esto tiene varias implicaciones:

• Aumento del volumen de ataques: Un mayor número de posibles atacantes conduce a intentos más frecuentes.
• Rango de objetivos más amplio: Las organizaciones que antes se consideraban de bajo riesgo ahora se enfrentan a amenazas sofisticadas.
• Explotación más rápida: Las nuevas vulnerabilidades se comercializan y explotan rápidamente.
• Patrones impredecibles: Los operadores menos experimentados pueden utilizar inadvertidamente las herramientas de formas novedosas que eluden los métodos de detección tradicionales.

Defensa contra estas amenazas

Para contrarrestar esta amenaza emergente es necesario un cambio fundamental en la estrategia de seguridad. Las defensas estáticas tradicionales y las actualizaciones periódicas ya no son suficientes. Las organizaciones deben adoptar:

• Monitorización continua: Implementación de capacidades de detección y respuesta en tiempo real como parte de una estrategia de seguridad global. Para obtener más información sobre la seguridad biométrica continua y adaptativa, consulte aquí.
• Medidas de seguridad adaptativas: Desarrollo de defensas que evolucionan al ritmo de las amenazas emergentes.
• Integración de inteligencia sobre amenazas: Supervisión activa de las tendencias y las comunidades de actores maliciosos, tal y como se detalla en nuestro Informe de inteligencia sobre amenazas.
• Verificación multicapa: Implementación de sistemas que validan la vitalidad dinámica, no solo pruebas estáticas de vida (más información sobre nuestra tecnología de actividad dinámica).

Reflexiones finales sobre el ecosistema del ataque como servicio

El ecosistema que sustenta estos servicios de ataque no muestra signos de ralentización. A medida que avancen las tecnologías legítimas de IA, también lo hará la sofisticación de las capacidades de ataque.

La rápida comercialización de estas tecnologías significa que las nuevas innovaciones se empaquetan y se implementan rápidamente. Por lo tanto, las organizaciones deben prepararse no solo para la inevitabilidad de tales ataques, sino también para su creciente agilidad y velocidad de evolución.

El éxito dependerá de una supervisión continua, una respuesta en tiempo real y medidas de seguridad que evolucionen tan rápidamente como el propio panorama de amenazas.

• Descargue el informe completo de iProov Informe de inteligencia sobre amenazas 2025 para obtener un análisis exhaustivo de este ecosistema y recomendaciones detalladas para proteger su organización.
• Reserve una demostración con iProov hoy mismo para descubrir cómo nuestra tecnología dinámica de verificación de vida puede ayudar a proteger a su organización contra la creciente oleada de estas amenazas avanzadas.