Prodaft lanza iniciativa “Sell your Source” para adquirir cuentas en foros de cibercrimen
La firma suiza de ciberseguridad Prodaft ha puesto en marcha una nueva estrategia denominada “Sell your Source”, mediante la cual adquiere cuentas verificadas y antiguas en foros clandestinos utilizados por ciberdelincuentes. El objetivo es infiltrarse en estas comunidades para recopilar inteligencia sobre amenazas emergentes, tácticas de ataque y grupos criminales activos.
Metodología técnica de la iniciativa
El programa se basa en la compra de credenciales de acceso a plataformas como Exploit, XSS, RaidForums y otros mercados darknet donde se negocian exploits, datos robados y servicios ilegales. Las cuentas adquiridas cumplen dos requisitos clave:
- Antigüedad verificada: Perfiles con historial de actividad para evitar sospechas.
- Reputación establecida: Cuentas con privilegios de acceso a secciones restringidas.
Prodaft utiliza técnicas de OSINT (Open Source Intelligence) combinadas con análisis de comportamiento para mapear redes criminales sin comprometer operaciones encubiertas. Según la empresa, esta aproximación permite:
- Identificar vulnerabilidades antes de su explotación masiva.
- Rastrear transacciones de ransomware-as-a-service (RaaS).
- Monitorear fugas de datos en tiempo casi real.
Implicaciones para la inteligencia de amenazas
La estrategia plantea un enfoque proactivo en Threat Intelligence, ya que acceder a estos foros proporciona información de primera mano sobre:
- Nuevos vectores de ataque (ej. vulnerabilidades 0-day no publicadas).
- Técnicas de evasión de sistemas EDR/XDR.
- Estructuras de comando y control (C2) en botnets.
Sin embargo, la iniciativa genera debates éticos y legales sobre los límites de la vigilancia proactiva. Algunas jurisdicciones podrían interpretar la compra de cuentas como participación indirecta en mercados ilícitos.
Beneficios operativos para organizaciones
Para empresas potencialmente afectadas por ciberataques, este modelo ofrece ventajas tangibles:
- Detección temprana: Alertas sobre campañas dirigidas antes de su ejecución.
- Perfilamiento de actores: Identificación de TTPs (Tácticas, Técnicas y Procedimientos).
- Hardening preventivo: Mitigación de vulnerabilidades mencionadas en foros.
Prodaft afirma que los datos recopilados se integran con plataformas SIEM/SOAR mediante feeds STIX/TAXII, permitiendo correlación automatizada con logs de seguridad.
Esta aproximación refleja una tendencia creciente en ciberseguridad: el uso de técnicas ofensivas para fortalecer defensas. No obstante, requiere estrictos controles de cumplimiento para evitar riesgos legales.
