[ad_1]
Los concursos sobre delitos tienen su propio conjunto de reglas para reducir el riesgo de hacer trampa, dice Budd. Para Exploit, las reglas establecen que las entradas «no deben haber sido publicadas en otro lugar», «ser significativas y completas», contener detalles técnicos como código o algoritmos y tener «al menos 5.000 caracteres (sin espacios)». Eso es alrededor de 1000 palabras, o la extensión aproximada de este artículo de WIRED. Las reglas para XSS son similares – «copiar y pegar = descalificación de la competencia, deshonrado» – pero requieren que los artículos sean más largos (mínimo 7.000 caracteres) y que deben estar presentes «el formato, la ortografía y la puntuación correctos».
Sin embargo, los estafadores harán trampa. En las últimas competiciones, Exploit tuvo 35 entradas y XSS tuvo 38 entradas. Pero XSS descalificó a 10 de ellos. Los ganadores de los concursos son determinados por los miembros del foro que votan sobre las entradas, pero los administradores del sitio también pueden elegir a los ganadores, y Sophos dice que ha habido quejas de manipulación de votos.
Estas competiciones han evolucionado y crecido con el tiempo, afirma Budd. Investigaciones anteriores realizadas por la empresa de ciberseguridad Digital Shadows, ahora adquirida por ReliaQuest, muestran que las competiciones de foros sobre ciberdelincuencia comenzaron alrededor de 2006. Roman Faithfull, analista de inteligencia sobre amenazas cibernéticas de ReliaQuest, dice que esas primeras competiciones fueron muy fáciles. «Al principio se mostraron bastante reticentes», dice Faithfull. «No siempre fueron organizados por los administradores del foro».
Algunos de los primeros concursos, dice, pedían a los miembros del foro que diseñaran logotipos o incluso ofrecían un pequeño premio en efectivo al comentarista de un hilo del foro que tuviera el historial de cuenta más largo en el sitio. «A medida que los foros se volvieron más desafiantes, también lo hicieron las competencias en general», dice Faithfull.
Desde aproximadamente 2015, los concursos, que en su mayoría son anuales, se centran en escribir y enviar artículos y códigos, afirma el investigador de ReliaQuest. «Se presta mucha atención a las cosas que hacen que la gente gane dinero», añade. Desde entonces, el premio acumulado también ha aumentado: en XSS, el premio total en 2018 fue de 1.000 dólares y aumentó a 40.000 dólares, y el ganador recibió 14.000 dólares en 2021. «Nadie va a hacer lo mejor que puede aquí a menos que esté en una situación realmente difícil y necesite dinero rápido», dice Faithfull. «Es poco probable que veas un grupo de ransomware, o alguien realmente importante».
El contenido de las candidaturas a los dos últimos concursos es bastante extenso, como revela la investigación de Sophos. Algunos eran más innovadores, mientras que otros esencialmente repetían información encontrada en otros lugares. La propuesta ganadora en el concurso de criptografía de Exploit de 2021 fue la creación del sitio web clonado Blockchain.com, que según Sophos es en general «relativamente simple». «Un sitio clonado como este normalmente se utilizaría como cualquier otro sitio de phishing o de recopilación de credenciales», afirma el estudio.
Otras entradas ganadoras o aquellas que recibieron menciones honoríficas en el concurso de exploits se centraron en cómo combatir específicamente las ofertas iniciales de monedas, una guía para crear un sitio de phishing para robar los detalles de la cuenta de criptomonedas de alguien y un tutorial sobre cómo crear una criptomoneda desde cero. Sin embargo, vale la pena señalar que desde hace varios años existen tutoriales gratuitos y disponibles públicamente sobre este tema.
[ad_2]