El ciberdelito como servicio, modalidad en la que el crimen digital se compra o alquila en mercados clandestinos bajo un modelo similar al de los servicios tecnológicos legítimos, es muy peligroso porque combina facilidad de acceso, anonimato, profesionalización y rápida evolución.

DESTACADOS:.

— “El ciberdelito como servicio (CaaS, por sus siglas en inglés) es la profesionalización del crimen digital bajo un modelo muy similar al de los servicios tecnológicos legítimos”, explica a EFE Doris Seedorf, CEO para España de la firma tecnológica Softtek. 

— En mercados clandestinos de Internet, de la ‘deep web’ y la  ‘dark web’ o en canales privados de mensajería, se ofrecen ‘kits’, con soporte técnico y manuales de uso incluidos, para perpetrar ciberdelitos como el ransomware y el phishing, advierte Seedorf.

— “La tendencia CaaS tiende a diversificarse, incorporando la inteligencia artificial para generar contenidos audiovisuales ultrafalsos (‘deepfakes’), campañas de suplantación de identidad y ataques automatizados más difíciles de detectar”, vaticina.

El ciberdelito como servicio o CaaS (siglas en inglés de ‘Cybercrime as a Service’) es una de las principales tendencias emergentes en la ciberdelincuencia, según la última Evaluación de la Amenaza de la Delincuencia Organizada en Internet (IOCTA 2023) efectuada por Europol, la agencia de la Unión Europea para la cooperación policial (www.europol.europa.eu). 

• En el informe IOCTA de 2025 Europol señala que en la economía CaaS están ampliamente disponibles unos kits de ‘phishing’ que permiten a los delincuentes comprar imitaciones de sitios web legítimos.

Que luego utilizan para engañar a sus víctimas haciendo que introduzcan sus credenciales de inicio de sesión en esos sitios web fraudulentos, para robárselas y utilizarlas con fines delictivos.

En el mercado CaaS también están disponibles sistemas de robo de información que utilizan las redes de proximidad (‘proxies’) y dispositivos residenciales, infectándolos con programas maliciosos, controlándolos remotamente y aprovechando que están activos de manera permanente, no suelen estar protegidos por programas de seguridad y rara vez se parchean sus vulnerabilidades, según el informe de Europol.

“Lo que en tecnología se conoce como ‘as a Service’ o pago por servicio es muy similar a pagar una cuota mensual de un gimnasio o un coche en alquiler, en lugar de comprarnos la cinta de correr o el coche.

Se aplica a todo lo que usamos sin tener la propiedad, y que dejamos de pagar cuando dejamos de usarlo”, según explica Enrique Expósito, experto en ciberseguridad.   

El modelo ‘as a Service’ también lo utilizan los ciberdelincuentes, contratando los servicios de otros grupos delictivos especializados en distintas técnicas y consiguiendo de ese modo las “piezas” específicas que necesitan reunir para componer el ataque que quieran lanzar, según detalla Expósito, en una publicación de BBVA.

Explica que estos servicios son demandados porque para poder afectar el funcionamiento de una empresa o usuario, se suelen lanzar ciberataques que utilizan varias técnicas a la vez, y en general, es complicado que un único individuo u organización criminal controle todas estas técnicas. Por eso subcontrata su uso.

El modelo CaaS en el que delincuentes prestan diversos servicios de piratería informática y ciberdelincuencia a otras personas o grupos, generalmente con fines lucrativos, mercantiliza y comercializa las actividades ciberdelictivas, permitiendo que incluso personas con poca experiencia técnica participen en estas actividades, según Todd Moore, un reconocido profesional de la  ciberseguridad, de Thales (https://cpl.thalesgroup.com).

Señala que el CaaS incluye las modalidades ciberdelictivas denominadas ‘ransomware como servicio (RaaS)’; ‘denegación de servicio distribuido como servicio (DDoSaaS)’; ‘botnets de alquiler (redes de ordenadores o dispositivos infectados y controlados por una entidad central); servicios de robo de credenciales; y ‘malware como servicio (MaaS)’.

El cibercrimen se profesionaliza y mercantiliza.

“El ciberdelito como servicio (CaaS) es la profesionalización del crimen digital bajo un modelo muy similar al de los servicios tecnológicos legítimos”, según explica a EFE Doris Seedorf, directora ejecutiva (CEO) para España de la firma de tecnología de la información Softtek (www.softtek.com). 

Señala que lo que antes requería conocimientos avanzados de programación o de intrusión, hoy se compra o se alquila en mercados clandestinos, ya sea en la ‘deep web’ o ‘internet profunda’ (contenido no indexado por buscadores).

La ‘dark web’ (parte encriptada de Internet a la que solo se puede acceder con navegadores especiales), o en canales privados de mensajería. 

En estos espacios clandestinos se ofrecen desde kits de ‘ransomware’ (código malicioso que impide el uso de los equipos o sistemas que infecta) y ‘phishing’ (engaño a las personas para obtener su información confidencial)  hasta accesos a redes corporativas comprometidas, con soporte técnico y manuales de uso incluidos, según la especialista de Softtek.

Señala que “entre las víctimas más comunes del CaaS figuran las pymes (pequeñas y mediana empresa), cuyo ‘músculo económico’ es considerablemente menor si se compara con el de las multinacionales”. 

“El robo de datos confidenciales y la extorsión a directivos son solo dos ejemplos dentro del amplio espectro de crímenes digitales”, según Seedorf. 

Destaca que “cuando los ciberatacantes tienen éxito, las consecuencias para las víctimas de estos delitos pueden ir desde la pérdida total de sus recursos económicos hasta un daño irreversible en su reputación profesional”.

Un caso típico de CaaS.

Doris Seedorf relata a EFE un caso protagonizado por los grupos de Ransomware-as-a-Service (RaaS), como LockBit, que ayuda a entender esta dinámica ciberdelictiva.  

En este esquema, una organización criminal desarrolla el ‘malware’ (programa o código informático malicioso) y lo alquila a afiliados al grupo que ejecutan los ciberataques, según puntualiza. 

Después, el rescate pagado por la víctima del ‘ransomware’ se reparte entre ambas partes (grupo y afiliado), replicando un modelo de negocio parecido al de una franquicia, prosigue. 

El grupo LockBit, activo desde septiembre de 2019, se ha convertido en uno de los colectivos de ‘ransomware’ más prolíficos de la historia, con más de 2.000 víctimas atribuidas y ganancias estimadas en al menos 91 millones de dólares solo de organizaciones estadounidenses, según esta especialista.. 

“Más recientemente, en 2024, se ha observado un incremento notable en el uso de malware como servicio (MaaS). Según la empresa británica de ciberseguridad Darktrace, este tipo de ataques ya representaban más de la mitad de las amenazas detectadas en empresas”, añade.

Una modalidad particularmente peligrosa.

Seedorf advierte que “el CaaS es particularmente peligroso porque combina facilidad de acceso, anonimato, profesionalización y rápida evolución, lo que lo hace más accesible y eficaz que otros tipos de cibercrimen tradicionales”.

“Hoy en día una persona con escasos conocimientos técnicos puede lanzar un ciberataque sofisticado simplemente pagando por un ‘kit’ o suscribiéndose a un servicio, en el mercado clandestino del ámbito CaaS”, según explica.

Además, según Seedorf, “este modelo permite escalar los ataques como si fueran un producto de software convencional, ya que hay soporte técnicos, hay actualizaciones, hay manuales y también comunidades de usuarios que comparten técnicas”. 

“El ecosistema CaaS evoluciona tan rápido como la industria de la ciberseguridad, con técnicas diseñadas para evadir las defensas tradicionales, desde malware polimórfico (programas maliciosos que mutan para cambiar su código sin perder efectividad), hasta el uso de herramientas legítimas para moverse dentro de las redes de las víctimas sin ser detectados”, puntualiza.

Por otra parte, “este ecosistema tiende a una mayor diversificación y profesionalización, con la incorporación de inteligencia artificial para generar ‘deepfakes’ (contenidos audiovisuales ultrafalsos), campañas de suplantación de identidad o ataques automatizados aún más difíciles de detectar”, concluye la CEO de Softtek para España.