Hace poco tras una conferencia me hicieron una pregunta que a mí también me asaltó en el pasado, cuando aún era menos consciente de cómo funcionan las cosas en las empresas:
"¿Por qué muchas empresas no arreglan los fallos de seguridad?"
Al principio me asaltó un poco del sentido común pasado en el que compartía esa confusión inexplicable con el inquisitor, y que me llevaba a no comprender cómo un SQLi podía perdurar 2 años en una web de la ONU sin solucionar, pero lo cierto es que tras años de ver muchas empresas, de hablar con muchos CEO, CIO, CSOs, - y de verlos rotar en las empresas - la respuesta a esa pregunta me salió fluida, desde el interior, con una tranquilidad que incluso a mí me sorprendió:
"Porque es lo más rentable."
Aunque pueda sonar extraño a priori, los especialistas en SGSI y los directivos saben que, las empresas como ente, premian a los individuos más rentables de la organización, y si alguien es un problema para obtener esa rentabilidad, la organización lo fagocitará para escupirlo a posteriori fuera de su estructura. Y si no sólo hay que ver la salida de Steve Jobs de Apple en 1985.


Rentabilidad económica es la base del sistema capitalista, éste que hemos montado, y es la que hace que sólo los modelos sostenibles sobre esa premisa perduren - con raras excepciones empujadas con el esfuerzo de individuos o pequeños colectivos; no crean que caí en la desesperanza -. Y por supuesto, en todas las facetas de la seguridad informática, a una escala macroeconómica, acaba por ser la Piedra Rosetta de todo hecho.


En el mundo del malware, lejos han quedado los esquemas en los que se creaba por notoriedad o ego como Elk Cloner, por mero arte conceptual como LoseLose o por simple diversión maligna, aglutinando hoy en día porcentajes de mercado dentro de este negocio inferiores a nada. No son modelos sostenibles, no son rentables económicamente, no son perdurables en esta sociedad.


Por otro lado, esquemas como el del robo de dinero de cuentas bancarias tiene tal éxito, que con el número de ofertas de muleros que se emiten diariamente por medio de campañas de Spam se podría acabar con el paro de mundial... y hasta con el de España. Las mafias hacen su dinero y campan en tiendas online, como iTunes o Amazon, donde los robos van desde lo más profesional a lo más amateur, comprando sus propios discos con tarjetas robadas.


En el mundo del malware, botnets como la de los elegantes Mac OS X infectados con FlashBlack Trojan arrojan cálculos en los que se estima que han podido haber generado hasta 10.000 USD diarios sólo con el robo de clics en la publicidad en Internet. Tras una campaña de más de seis meses, la cantidad de dinero que se puede generar justifica la rentabilidad económica de otras especialidades. Es un negocio en auge.


Con la cantidad de dinero que genera el malware, aparecen los trabajos especializados como la de los creadores de kits de exploits profesionales, al estilo de Black Hole o Eleonore II, el hackeo de miles y miles de servidores con WordPress - siento poner a este de ejemplo por haber sido el último masacrado - o páginas webs con vulnerabilidades SQLi que llevan a grandes empresas como la propia Apple y webs legítimas a ser parte cómplice en la distribución del malware.


También justifican la creación de un modelo de partners, en el cual los miembros cobran dinero por cada instalación que se realiza el malware, ya sea un rogue AV, un bot al uso o un simple crapware o adware que se encargue de generar dinero con publicidad, robo de clics o venta de placebos ilusorios en forma de falsas vacunas para virus inexistentes.


Es un negocio rentable, y crea un modelo sostenible en esta sociedad capitalista, que lleva años instaurado en el mundo de Windows, y desde hace poco en otros jardines de flores, como en Mac OS X o Android, pero que mientras genere dinero, los entes llamados empresas - ya sean legítimas o criminales - seguirán premiando a los individuos que más las hagan conseguir su objetivo de lucro.


Saludos Malignos! @ http://www.elladodelmal.com/2012/05/el-fraude-online-tiene-un-modelo-de.html


PD: De todo esto y mucho más, con mucho más detalles técnicos, organizativos y ejemplos reales, Mikel Gastesi y Daniel Creus, expertos en e-crime, hablan en su libro Fraude Online: Abierto 24 horas.