Ley contra la mafia en el ciberespacio: abogados de Microsoft equipararon a los creadores de troyanos con extorsionadores
La IA ayudó a identificar un vínculo que antes habría que recopilar manualmente.
La ciberdelincuencia moderna cada vez más se parece a una cadena de montaje, donde distintos grupos ensamblan ataques con piezas comunes, y precisamente en esa intersección decidió golpear Microsoft. La empresa, junto con socios y autoridades internacionales, interrumpió el funcionamiento de dos programas maliciosos ampliamente difundidos — StealC y Amadey — desconectando más de 200 dominios y servidores de control en los que se sustentaba su infraestructura.
StealC y Amadey eran desarrollados por equipos criminales distintos, pero operaban en conjunto y se apoyaban en la misma infraestructura. StealC roba contraseñas y cookies de los navegadores, monederos de criptomonedas, conversaciones en servicios de mensajería y otros datos sensibles, enviando el botín al servidor de control. Amadey actúa con un modelo de "malware como servicio": a cambio de pago instala en los dispositivos infectados StealC, otros ladrones de datos, programas de acceso remoto, minadores y cifradores.
Sólo en las dos primeras semanas de mayo, ambos programas se vincularon con más de 140.000 ordenadores infectados en todo el mundo. La novedad del enfoque, según Steven Masada, asistente del asesor jurídico principal de la unidad de Microsoft para la lucha contra los delitos digitales, reside en la combinación del análisis mediante inteligencia artificial y la ley RICO, la normativa estadounidense contra el crimen organizado.
Normalmente la ley RICO se aplica contra un solo servicio o una sola infraestructura. En este caso los investigadores utilizaron Copilot y otras herramientas de IA para analizar el código de los programas, haciendo preguntas en lenguaje natural en lugar de estudiar manualmente durante mucho tiempo. Esto ayudó a revelar rápidamente vínculos ocultos y a establecer que ambos programas maliciosos utilizan una infraestructura común.
Fue esta conclusión la que permitió a los abogados de la empresa considerar ambos programas como una única conspiración criminal y presentar demandas civiles contra cinco presuntos participantes que operaban en las dos operaciones.
Junto con la operación SocGholish, desarticulada una semana antes, la coalición de fuerzas del orden liderada por Europol bloqueó criptoactivos por más de 47 millones de dólares y devolvió alrededor de 27 millones de credenciales robadas.