En el mundo de la ciberdelincuencia los actores que participan de su ecosistema responden a grupos reducidos que aplican métodos de trabajo, a modo de cadena de suministros, muy estructurados.
Dentro de esos grupos están, por ejemplo, los propietarios de ransomware, los proveedores de RaaS —Ransomware as a Service—, los afiliados o los IAB. Todos son bien conocidos, pero…
¿Qué es un IAB?
Se llama IAB —Initial Access Broker— a aquellos ciberdelincuentes que proporcionan el acceso inicial a la red corporativa de una organización.

A menudo se trata de actores que analizan la infraestructura de las víctimas y detectan, entre otras cosas, vulnerabilidades en los productos que utilizan para conseguir acceder con ciertos privilegios a los recursos internos de una organización.
Al leer esta definición, a alguno le vendrá a mente la idea de programadores con amplios conocimientos; lobos solitarios que indagan en foros o redes buscando cómo alterar el funcionamiento de una aplicación en beneficio propio. Sin embargo, no son los únicos a los que se les puede clasificar como IAB.
También existe otro tipo de actores, menos técnicos, que utilizan, por ejemplo, la ingeniería social para conseguir ese deseado acceso. Incluso, actores imprevistos como empleados descontentos dispuestos a ofrecer claves de acceso a recursos de sus empleadores a cambio de una buena cantidad de dinero.
En general, estamos hablando de cualquier persona que disponga de la capacidad y la intención de conceder acceso no autorizado a los recursos informáticos de una organización.
El mercado de los IAB
Ahora bien, ¿cómo contactan los afiliados de las plataformas RaaS con los IAB?
Pues igual que lo haría un profesional de cualquier sector con sus clientes: a través un Marketplace.

Obviamente, estos marketplaces no son públicos, se encuentran en entornos muy controlados dentro de la Dark Web y son accesibles bajo estrictas condiciones de reputación.
Ejemplos de este tipo de mercados son Russian Market, Genesis Store, y 2easy Shop. En ellos, los conocidos como IAB ofrecen sus “productos” a través de anuncios en los que detallan —sin dar el nombre— aspectos como el tamaño, el sector, la facturación, el modo de acceso, los privilegios o las medidas de seguridad que tiene desplegada la potencial víctima.
El modelo de oferta suele hacerse a modo de subasta en la que se fija un precio de partida, un incremento o salto para nuevas ofertas y un periodo de apertura y cierre.
Productos de interés para los ciberdelincuentes
Los interesados en estos productos normalmente presentan su oferta a través de la plataforma, aunque es más habitual que inicien las negociaciones por otros canales privados debido a la desconfianza que se genera en este tipo de entornos.

Los clientes van desde grupos de ciberdelincuentes que están interesados en utilizar a la víctima como punto de partida para dar el salto a otra víctima o simplemente afiliados a servicios RaaS necesitados —debido a la propia presión de los operadores— de víctimas para completar, de forma inmediata y exitosa, un ataque de ransomware.
Habitualmente los productos ofrecidos por los IAB suelen centrarse en accesos RDP, claves VPN, Web-Shell o incluso Paneles de Control de operadores MSP —uno de los más valorados por los afiliados—.
Negociación y cierre

En función del nivel de privilegios que el IAB ofrezca mayor será lo que estos subasteros estarán dispuestos a pagar.
Según algunos estudios, los precios oscilan entre los 1.000 y 7.000 mil dólares, aunque cuando se trata de empresas pequeñas, existen IAB que llegan a ofrecer sus productos por apenas 20 o 100 dólares.
De cualquier forma, el precio de partida es muy dependiente de la credibilidad del ofertante —algo que siempre está bajo sospecha—, y la posibilidad de rentabilizar la “inversión” del adquiriente.
Solo a modo de ejemplo, no hace demasiado tiempo, un actor IAB publicó en uno de estos marketplace un producto que teóricamente permitía acceder al Banco Central de un país no identificado y con ello no solo a completar ataques de ransomware sino también a realizar transferencias monetarias indetectables. El precio de salida fue de 500.000 dólares.
En el método puede estar la debilidad
Este método de trabajo, sin embargo, tiene sus riesgos: convierte a los afiliados en objetivos del engaño o el seguimiento.
Los marketplaces, y sus foros de debate, suelen ser objeto de vigilancia por parte de los cuerpos de seguridad de los estados y de compañías privadas cara a anticipar ciberataques que estén siendo planificados.

Multitud de IAB, afiliados y demás tipos de ciberdelincuentes se mezclan habitualmente con profesionales del sector que participan del juego de la oferta y el engaño.
Así, por ejemplo, fue posible desactivar los servicios de ransomware Hive, cuya infraestructura fue localizada por miembros del FBI y de EUROPOL; o con Conti, cuyo código fuente fue publicado —posiblemente a modo de venganza— justo al inicio de la guerra de Ucrania.
Pese a todo, no resulta una tarea sencilla. Los cuerpos de seguridad del estado necesitan de una buena dosis de trabajo y de paciencia, además de cooperación internacional.
Al final, todo es cuestión de mantenerse alerta, moverse dentro de su ecosistema y saber esperar el momento adecuado. Y los IAB son clave en todo este proceso.