Café, métricas, reuniones de equipo y campañas de phishing. El hacker actual ya no es el lobo solitario que muestran las películas. Hoy el cibercrimen funciona como una empresa global, con desarrolladores, tickets de soporte técnico, objetivos mensuales y hasta modelos de negocio similares a los de una startup.
¿Cómo funciona el cibercrimen?
Las 7:00 de la mañana. Suena el despertador. Café solo, sin azúcar, y ducha para espabilar. Antes de ir a la oficina, revisión rápida de métricas.
No, no estamos hablando de un ejecutivo que trabaja en una tecnológica ni de un creativo que desarrolla su carrera en un equipo de marketing digital. Es el comienzo de un día cualquiera para un hacker profesional.
Desde hace ya años, el cibercrimen es una industria perfectamente profesionalizada, con organizaciones estructuradas con objetivos, procesos y beneficios millonarios. Organismos como Europol describen ya este ecosistema criminal como una red diversa de actores capaces de ofrecer “una amplia gama de expertise y capacidades”. Según recoge su informe Internet Organised Crime Threat Assessment (IOCTA) 2024.
El cibercrimen ya funciona como una empresa
“Hoy, muchos grupos cibercriminales operan con desarrolladores, equipos de soporte, afiliados, objetivos económicos y modelos as a service similares a los de cualquier empresa”. Asegura Hervé Lambert, Global Consumer Operation Manager de Panda Security. Y las cifras explican por qué. Solo en 2024, el FBI recibió más de 859.000 denuncias relacionadas con ciberdelitos, con pérdidas que superaron los 16.000 millones de dólares, un 33% más que el año anterior.
Ese volumen de dinero ha cambiado las reglas del juego. Para un perfil técnico con conocimientos avanzados en programación, redes, automatización o ingeniería social, el lado oscuro puede parecer una vía más rápida, más lucrativa y menos burocrática que el mercado laboral legítimo. Mientras la industria de la ciberseguridad compite por talento en un contexto de escasez “en el que la brecha global se estimaba en 2024 en torno a los 4,8 millones de profesionales”. Apunta Lambert. Las organizaciones criminales ofrecen a algunos perfiles una promesa muy distinta: pagos elevados, incentivos por resultados, anonimato relativo y acceso inmediato a operaciones internacionales.
La cara oculta del negocio criminal
El problema es que esa supuesta rentabilidad tiene trampa. Muchas organizaciones cibercriminales funcionan con estructuras internas, especialización técnica y dinámicas similares a las de una empresa. Pero, siguen operando dentro de un entorno marcado por la clandestinidad, la desconfianza y el riesgo constante.
No existe un contrato, ni hay derechos laborales, ni estabilidad real.
Un hacker puede pasar años trabajando para una red criminal con relativa normalidad aparente, desarrollando malware, gestionando campañas de phishing o negociando rescates. Y, desaparecer de un día para otro tras una operación policial internacional, una traición interna o simplemente porque el grupo decide cerrar, fragmentarse o cambiar de identidad.
“La diferencia fundamental es que, aunque adopten modelos empresariales, siguen siendo organizaciones criminales”, explica Lambert. “La presión policial internacional es constante y la vida útil de muchas de estas estructuras puede cambiar radicalmente en cuestión de semanas”.
Y aun así, el modelo sigue creciendo porque resulta extremadamente rentable. Muchos grupos han entendido algo que parte de la industria tecnológica todavía intenta resolver. “El talento técnico especializado es escaso, valioso y altamente competitivo”. Recuerda el directivo de Panda Security.
¿Cómo es trabajar en el cibercrimen?
De ahí que, para seguir ganando “cuota de mercado” estas organizaciones criminales necesitan a los mejores para que los seduzcan a golpe de talonario y buenas condiciones “laborales”. Y esa profesionalización es, precisamente, la que ha transformado por completo el funcionamiento interno del cibercrimen.
Algunas de estas organizaciones reclutan desarrolladores en foros clandestinos especializados. Otras buscan perfiles concretos capaces de automatizar ataques, diseñar malware, vulnerar infraestructuras o gestionar operaciones de phishing a gran escala.
En determinados ecosistemas criminales incluso existen sistemas de reputación internos. Cuanto más sofisticadas son las herramientas desarrolladas o más rentables las campañas ejecutadas, mayor es el prestigio del atacante dentro de la comunidad.
“La profesionalización también ha cambiado la forma de captar talento”, explica Lambert. “Muchos grupos ya no buscan únicamente grandes hackers, sino perfiles especializados capaces de aportar una pieza concreta dentro de una operación mucho más amplia”.
Y ahí reside uno de los grandes cambios del cibercrimen actual, porque ya no todo depende de un único atacante extremadamente brillante. Igual que ocurre en cualquier gran empresa tecnológica, la especialización permite escalar operaciones, automatizar procesos y multiplicar beneficios.
Hoy existen desarrolladores especializados en malware, equipos centrados exclusivamente en campañas de phishing, expertos en evasión de antivirus, operadores dedicados a negociar rescates. Y, perfiles responsables de mover dinero a través de criptomonedas.
Profesionales, al fin y al cabo, que tienen también su rutina diaria.
La rutina de un hacker
Cómo empieza el día un hacker
Un hacker cualquiera suele comenzar la jornada revisando números. “Qué campañas de phishing consiguieron más víctimas durante la noche; qué credenciales robadas siguen funcionando; qué malware fue detectado por los antivirus y cuál logró pasar desapercibido”. Enumera Lambert.
Muchos grupos utilizan paneles de métricas sorprendentemente similares a los de cualquier empresa digital. Dashboards, automatización, tickets internos e incluso turnos de soporte para afiliados o víctimas.
“El objetivo”, dice el directivo de Panda Security, “es maximizar rendimiento y beneficios”. “La diferencia”, continúa Lambert, “es que aquí el producto es el delito”.
En las organizaciones más sofisticadas existen perfiles especializados en prácticamente cada fase del ataque. Desde desarrolladores de malware, hasta expertos en phishing, operadores de ransomware, especialistas en evasión de antivirus o negociadores de rescates.
Durante las reuniones de la mañana se analizan nuevas vulnerabilidades, sectores especialmente rentables o campañas activas en determinados países.
Hospitales, pymes, empresas logísticas, centros educativos o usuarios domésticos poco protegidos suelen estar entre los objetivos más frecuentes.
A media mañana, algunos equipos preparan campañas masivas de phishing simulando comunicaciones de bancos, plataformas de streaming, empresas de paquetería o administraciones públicas.
Antes de lanzar un ransomware o una nueva variante de malware, los grupos criminales realizan pruebas constantes contra sistemas de seguridad reales para comprobar qué porcentaje logra evitar la detección.
Muchos ataques ya incorporan automatización avanzada e incluso herramientas de inteligencia artificial generativa. Estas son capaces de redactar mensajes de phishing más creíbles, traducir campañas automáticamente o generar código malicioso básico.
Algunas plataformas de Ransomware-as-a-Service ofrecen incluso soporte técnico tanto a afiliados criminales como a víctimas que necesitan instrucciones para realizar pagos en criptomonedas o recuperar archivos cifrados.
En determinados casos, existen “descuentos” por pronto pago o pruebas gratuitas de descifrado para demostrar que los atacantes realmente pueden devolver la información robada.
Y todo esto antes de la hora de comer.
Cómo actúan los hackers por la tarde
A primera hora de la tarde es cuando suelen empezar muchas de las intrusiones reales. Ataques de fuerza bruta, robo de sesiones, explotación de vulnerabilidades o accesos remotos sobre sistemas comprometidos.
Una vez dentro, los atacantes intentan escalar privilegios, desactivar sistemas de seguridad, robar datos sensibles y cifrar infraestructuras completas antes de exigir un rescate económico.
El negocio no termina con el ataque. Muchos accesos comprometidos se venden posteriormente en mercados clandestinos especializados. Una misma empresa vulnerada puede convertirse en objetivo de grupos de ransomware, estafadores financieros o redes de espionaje.
Antes de terminar la jornada llega una de las fases más importantes: desaparecer. Cambiar servidores, rotar dominios, borrar registros y mover infraestructuras forma parte de la rutina diaria de muchos grupos criminales que intentan dificultar el trabajo de las fuerzas de seguridad internacionales.
Cómo trabaja “el lado bueno”
Mientras los ciberdelincuentes automatizan ataques y buscan nuevas formas de escalar operaciones, al otro lado de la pantalla existe otra rutina igual de intensa.
“Equipos defensivos como los que tenemos en Panda Security o los centros de respuesta de grandes compañías tecnológicas. Estos pasan el día monitorizando amenazas, analizando malware, bloqueando campañas de phishing y respondiendo incidentes en tiempo real”. Cuenta Lambert.
Muchos trabajan desde centros de operaciones de seguridad, los conocidos SOC. Donde analistas especializados supervisan miles de alertas simultáneamente para detectar comportamientos sospechosos antes de que se conviertan en ataques reales.
“La ciberseguridad es una carrera constante entre detección, evasión, automatización y velocidad de respuesta”. Explica el experto de Panda Security, “donde cada minuto cuenta”, apostilla.
Porque mientras unos grupos criminales buscan vulnerabilidades, otros equipos trabajan precisamente para encontrarlas antes, corregirlas y evitar que puedan explotarse.
Y esa batalla no se libra únicamente con tecnología. “A pesar de toda la sofisticación que rodea hoy al cibercrimen, la mayoría de ataques exitosos siguen empezando de la misma forma. Con un clic equivocado, una contraseña débil o una actualización pendiente”, recuerda Lambert. Por eso, siempre hay que tener presente que el “hacker malo” rara vez gana por ser técnicamente brillante. “Normalmente gana aprovechando errores humanos, prisas, exceso de confianza o sistemas mal protegidos”.
De ahí que muchas de las mejores defensas sigan siendo sorprendentemente simples. “Desde activar la autenticación multifactor (MFA), hasta mantener los dispositivos actualizados, utilizar contraseñas robustas, hacer copias de seguridad y formar a los usuarios para detectar fraudes y campañas de phishing”. Subraya el experto.
Porque, al final, la ciberseguridad depende, en última instancia, de hábitos cotidianos.
