Los concursos criminales tienen sus propias reglas para reducir las posibilidades de hacer trampa, dice Budd. En Exploit, las reglas dicen que las entradas «no deben haber sido publicadas en otro lugar», deben ser «significativas y voluminosas», deben incluir detalles técnicos como código o algoritmos y tener «al menos 5.000 caracteres (sin incluir espacios)». Eso equivale a alrededor de 1000 palabras, o la extensión aproximada de este artículo de WIRED. Las reglas en XSS son similares (“copiar y pegar = expulsión del concurso, en desgracia”), pero requieren que los artículos sean más largos (al menos 7.000 caracteres) y dicen que debe haber “formato, ortografía y puntuación adecuados”.
Sin embargo, los estafadores van a estafar. En sus concursos más recientes, Exploit tuvo 35 entradas y XSS tuvo 38 entradas. Pero XSS descalificó a 10 de ellos. Los ganadores de los concursos los deciden los miembros del foro que votan sobre las entradas, pero los administradores de los sitios también pueden elegir a los ganadores, y ha habido quejas de manipulación de votos, según Sophos.
Estas competiciones han evolucionado y crecido con el tiempo, afirma Budd. Investigaciones anteriores de la firma de ciberseguridad Digital Shadows, que desde entonces fue adquirida por ReliaQuest, muestran que los concursos en foros de cibercrimen comenzaron alrededor de 2006. Roman Faithfull, analista de inteligencia de amenazas cibernéticas de ReliaQuest, dice que estos primeros concursos eran muy simples. «Al principio, eran bastante discretos», dice Faithfull. «No siempre fueron organizados por los administradores del foro».
Algunos de los primeros concursos, dice, pedían a los miembros del foro que diseñaran logotipos o incluso ofrecían un pequeño premio monetario al comentarista de un hilo del foro que tuviera el historial de cuenta más largo en el sitio. «A medida que los foros se volvieron más sofisticados, los concursos en general se volvieron más sofisticados», dice Faithfull.
Desde aproximadamente 2015, los concursos, la mayoría de los cuales se celebran anualmente, se han centrado en escribir y enviar artículos y códigos, dice el investigador de ReliaQuest. «Se presta mucha atención a cosas que harán ganar dinero a la gente», añade. Mientras esto sucedía, los premios también aumentaron: en XSS, el premio total fue de $1000 en 2018 y aumentó a $40 000 con $14 000 para el ganador en 2021. “Nadie va a poner lo mejor de sí mismo en esto a menos que están en una situación realmente difícil y necesitan dinero rápido”, dice Faithfull. «Es poco probable que veas un grupo de ransomware o, en realidad, alguien muy alto».
La investigación de Sophos encontró que el contenido de las entradas a los dos concursos más recientes es razonablemente amplio. Algunos eran más innovadores, mientras que otros esencialmente repetían información encontrada en otros lugares. La propuesta ganadora en la competencia criptográfica de Exploit de 2021 fue la creación del sitio web clonado blockchain.com, y Sophos dijo que es “relativamente simplista” en general. «Un sitio clonado como este normalmente se utilizaría como cualquier otro sitio de phishing o recolección de credenciales», dice la investigación.
Otras entradas ganadoras o aquellas que recibieron menciones honoríficas en la competencia Exploit se centraron en apuntar a las ofertas iniciales de monedas, una guía para crear un sitio de phishing para robar los detalles de las cuentas de criptomonedas de las personas y un tutorial sobre cómo crear una criptomoneda desde cero. Sin embargo, vale la pena señalar que desde hace varios años existen tutoriales gratuitos y disponibles públicamente sobre cómo hacer esto”, dice la investigación de Sophos.