El negocio oscuro de la cibercriminalidad: cómo la tecnología convierte el delito en un negocio rentable

LockBit es considerado uno de los grupos de secuestro de datos más prolíficos de la historia con más de 2.000 víctimas y unas ganancias de al menos 91 millones de dólares

El ciberdelito como servicio, conocido por sus siglas en inglés CaaS (Cybercrime as a Service), se ha consolidado como una de las principales tendencias emergentes en la ciberdelincuencia. Así lo advierte la Evaluación de la Amenaza de la Delincuencia Organizada en Internet (IOCTA 2023) de Europol.

En su informe de 2025, Europol señala que en esta economía clandestina están disponibles kits de phishing que permiten a los delincuentes comprar imitaciones de sitios web legítimos. Con ellos engañan a las víctimas para que introduzcan sus credenciales de inicio de sesión, que luego son robadas y utilizadas con fines delictivos, según advierte el diario Vanguardia (MX).

También se ofrecen sistemas de robo de información basados en redes de proximidad (proxies) y dispositivos residenciales infectados con programas maliciosos. Estos equipos, controlados de manera remota, suelen estar activos permanentemente, sin protección de seguridad y con vulnerabilidades que rara vez se corrigen.

‘As a Service’

Enrique Expósito, experto en ciberseguridad, explica:

«Lo que en tecnología se conoce como ‘as a Service’ o pago por servicio es muy similar a pagar una cuota mensual de un gimnasio o un coche en alquiler, en lugar de comprarnos la cinta de correr o el coche. Se aplica a todo lo que usamos sin tener la propiedad, y que dejamos de pagar cuando dejamos de usarlo»

Este mismo modelo es utilizado por los ciberdelincuentes. Contratan servicios de grupos especializados en técnicas concretas y reúnen las “piezas” necesarias para organizar el ataque que quieren lanzar. “En general, es complicado que un único individuo u organización criminal controle todas estas técnicas. Por eso subcontrata su uso”, detalla Expósito en una publicación de BBVA.

Ciberdelincuencia de mercado

Por otro lado está Todd Moore, profesional de la ciberseguridad en Thales, que señala:

«El modelo CaaS, en el que delincuentes prestan diversos servicios de piratería informática y ciberdelincuencia a otras personas o grupos, generalmente con fines lucrativos, mercantiliza y comercializa las actividades ciberdelictivas, permitiendo que incluso personas con poca experiencia técnica participen en estas actividades»

Según Moore, este modelo abarca distintas modalidades: ransomware as a service (RaaS), denegación de servicio distribuido como servicio (DDoSaaS), botnets de alquiler, servicios de robo de credenciales y malware as a service (MaaS).

Profesionalización

Asimismo, explica a la agencia EFE Doris Seedorf, CEO de Softtek en España:

«El ciberdelito como servicio (CaaS) es la profesionalización del crimen digital bajo un modelo muy similar al de los servicios tecnológicos legítimos»

Lo que antes exigía conocimientos avanzados de programación o de intrusión hoy puede comprarse o alquilarse en mercados clandestinos, ya sea en la deep web, en la dark web o en canales privados de mensajería. En esos espacios se ofrecen desde kits de ransomware y phishing hasta accesos a redes corporativas comprometidas, con soporte técnico y manuales de uso incluidos. Adevierte Seedorf:

«Entre las víctimas más comunes del CaaS figuran las pymes, cuyo ‘músculo económico’ es considerablemente menor si se compara con el de las multinacionales. El robo de datos confidenciales y la extorsión a directivos son solo dos ejemplos dentro del amplio espectro de crímenes digitales»

Las consecuencias, señala, pueden ir desde la pérdida total de recursos económicos hasta un daño irreversible en la reputación profesional.

Ransomware como servicio

Seedorf describe un ejemplo con los grupos de Ransomware-as-a-Service (RaaS), como LockBit. En este esquema, una organización criminal desarrolla el malware y lo alquila a afiliados que ejecutan los ciberataques.

El rescate pagado por la víctima se reparte entre ambas partes, replicando un modelo similar al de una franquicia. LockBit, activo desde 2019, es considerado uno de los grupos de ransomware más prolíficos de la historia. Se le atribuyen más de 2.000 víctimas y unas ganancias de al menos 91 millones de dólares solo en organizaciones estadounidenses.

Además añade:

«Más recientemente, en 2024, se ha observado un incremento notable en el uso de malware as a service (MaaS). Según la empresa británica de ciberseguridad Darktrace, este tipo de ataques ya representaban más de la mitad de las amenazas detectadas en empresas»

Una modalidad especialmente peligrosa

Seedorf advierte de que:

«El CaaS es particularmente peligroso porque combina facilidad de acceso, anonimato, profesionalización y rápida evolución, lo que lo hace más accesible y eficaz que otros tipos de cibercrimen tradicionales.

Hoy en día una persona con escasos conocimientos técnicos puede lanzar un ciberataque sofisticado simplemente pagando por un ‘kit’ o suscribiéndose a un servicio, en el mercado clandestino del ámbito CaaS»

Sin embargo, puntualiza:

«Este modelo permite escalar los ataques como si fueran un producto de software convencional, ya que hay soporte técnico, hay actualizaciones, hay manuales y también comunidades de usuarios que comparten técnicas.

El ecosistema CaaS evoluciona tan rápido como la industria de la ciberseguridad, con técnicas diseñadas para evadir las defensas tradicionales, desde malware polimórfico hasta el uso de herramientas legítimas para moverse dentro de las redes de las víctimas sin ser detectados»

Por último, concluye que este ecosistema:

«Tiende a una mayor diversificación y profesionalización, con la incorporación de inteligencia artificial para generar deepfakes, campañas de suplantación de identidad o ataques automatizados aún más difíciles de detectar»