El nuevo punto de entrada: la constitución de empresas como infraestructura

El punto de partida no es una vulnerabilidad. Es una empresa.

En el Reino Unido, las empresas pueden registrarse de forma rápida, económica y con una verificación mínima. Los agentes de constitución ofrecen servicios totalmente automatizados en los que la constitución puede completarse en 24 horas.

Esto no es una laguna legal. Es un modelo de negocio.

A partir de ahí, el proceso es sencillo:

  • Registrar una empresa
  • Utilizarla para obtener recursos ASN e IP
  • Implementar la infraestructura
  • Operarla o alquilarla
  • Dejar que la empresa quiebre

Sin eludir controles. Sin explotación. Simplemente utilizando el sistema tal y como está diseñado.

La ventana operativa de 12 meses

Este modelo funciona gracias al tiempo.

Las empresas suelen incumplir la normativa desde el principio:

  • Se ignoran las presentaciones
  • No se envían las declaraciones de confirmación
  • Se acumulan las advertencias administrativas

Al final, la empresa es eliminada del registro.

Pero no de inmediato.

El proceso crea una ventana operativa de aproximadamente 12 meses —a menudo más larga.

Eso es tiempo más que suficiente para:

  • Llevar a cabo campañas de phishing
  • Alojar infraestructura de malware
  • Operar sistemas de comando y control
  • Alquilar espacio IP a terceros

No se trata de un abuso de corta duración.

Es estructurado, predecible y suficiente para sostener operaciones a gran escala de ciberdelincuencia y de «crimen como servicio» industrializado.

El problema del reinicio

La parte más importante de este modelo es lo que ocurre a continuación.

Nada.

Cuando se disuelve la empresa:

  • La entidad jurídica desaparece
  • La responsabilidad desaparece con ella
  • La infraestructura puede migrar o persistir
  • Se crea una nueva empresa, reiniciando el ciclo y permitiendo otro periodo de 12 meses para continuar con las operaciones, a menudo en cuestión de días, a veces de forma inmediata.
Constituir → Adquirir → Operar → Disolver → Reconstituir

Esto no es una debilidad. Es una característica, y los ciberdelincuentes la están explotando a gran escala.

Por qué fallan las listas y los bloqueos

La respuesta predeterminada del sector sigue siendo reactiva:

  • Bloquear direcciones IP
  • Marcar ASN
  • Compartir indicadores

Esto no funciona. No puede funcionar.

Porque la infraestructura está estructurada deliberadamente para sobrevivir a la detección y la interrupción::

  • El ciclo de vida es lo suficientemente largo como para generar valor
  • El coste de sustitución es insignificante
  • La capacidad de reinicio está integrada

El bloqueo se convierte en un mecanismo de retraso. No es una estrategia de interrupción.

Si no se elimina la causa raíz, el problema se repite.

Por qué falla el sistema

No se trata de un fallo de una sola organización. Es un fallo de coordinación.

Parte interesada Responsabilidad Limitación Resultado
Registro Mercantil Registro legal No se puede verificar la exactitud de la identidad Nivel de legitimidad bajo
RIR Asignación de recursos Sin mandato para actuar ante los abusos El ASN permanece activo
Proveedores de servicios de Internet (ISP) / Proveedores de acceso (Upstreams) Conectividad Los incentivos comerciales varían Se tolera el abuso
Inteligencia sobre amenazas Detección Mitigación fragmentada
Aplicación de la ley Acciones legales Lento, jurisdiccional Respuesta retrasada

Cada actor actúa correctamente dentro de su mandato. El sistema falla entre ellos.

Identidad sin responsabilidad

En el centro de esta cuestión hay una discrepancia fundamental. El registro de una empresa se considera una señal de confianza. Pero no lo es.

Companies House afirma explícitamente que no verifica la exactitud de la información presentada y que su publicación no debe interpretarse como una validación.

Al mismo tiempo:

  • Muchas empresas tienen una transparencia mínima
  • Los directivos se encuentran a menudo fuera del Reino Unido
  • La presencia física es poco clara o inexistente

La empresa aporta legitimidad. El operador permanece invisible.

Asignación de ASN: confianza sin control

Los Registros Regionales de Internet operan bajo un mandato claro: asignar recursos y mantener registros. No son organismos encargados de hacer cumplir la ley.

Esto crea una limitación crítica:

  • La asignación de ASN se basa en el cumplimiento de las políticas
  • El uso indebido de la red no se gestiona dentro de los procesos de registro
  • Las medidas enérgicas suelen requerir intervención legal

El resultado es sencillo: la infraestructura utilizada con fines maliciosos puede permanecer activa porque cumple formalmente con la política.

Un sistema que funciona... para el bando equivocado

No se trata de un fallo de los actores individuales.

Es un sistema que funciona exactamente como se diseñó:

  • El registro de la empresa permite el acceso
  • La asignación de ASN proporciona la infraestructura
  • Los proveedores de acceso proporcionan la conectividad
  • Los sistemas de detección proporcionan señales

Pero ninguno de estos componentes está diseñado para detener el ciclo de vida completo.

La brecha no es técnica. Es estructural.

Lo que realmente funciona: la disrupción, nola observación

La lección del abuso de dominios se aplica directamente aquí.

  • La visibilidad no detiene la ciberdelincuencia
  • La inclusión en listas no detiene la ciberdelincuencia
  • El bloqueo no detiene la ciberdelincuencia

La interrupción sí lo hace.

Eso significa:

  • Eliminar el acceso a la infraestructura
  • Impedir la reutilización de la identidad
  • Aumentar el coste de la reincorporación
  • Romper el ciclo de vida

Cualquier otra cosa es contención.

Lo que debe hacer el sector

Este problema es soluble. Pero solo si la respuesta se ajusta al modelo.

1. Tratar la identidad como un control de seguridad

Si se utilizan empresas para obtener infraestructura crítica, su identidad debe ser verificable. No declarada. No asumida. Verificada.

2. Introducir controles basados en el ciclo de vida

Las nuevas entidades no deberían recibir confianza total de inmediato.

  • Períodos de prueba para los titulares de ASN
  • Modelos de asignación gradual
  • Comprobaciones de cumplimiento continuas

3. Habilitar la aplicación a nivel de ASN

La política debe evolucionar.

Debe haber mecanismos para actuar ante:

  • Abuso sistemático
  • Patrones repetidos
  • Uso malicioso demostrado

Sin esto, la aplicación no existe.

4. Romper el ciclo de reinicio

Este es el paso más importante. Mientras los actores puedan disolver una empresa, volver a constituirse en cuestión de días y recuperar el acceso a la infraestructura, el modelo seguirá creciendo.

El reinicio debe volverse costoso.

Conclusión

Internet ya ha sido testigo de este patrón. Una identidad débil conduce a un abuso escalable. El ecosistema de dominios lo demostró. Ahora, la infraestructura de enrutamiento está siguiendo el mismo camino.

Si el acceso es fácil, la identidad es débil y el restablecimiento es gratuito, el abuso se industrializará.

El mundo y la industria de Internet deben dejar de tratar esto como un problema de abuso de nicho y empezar a tratarlo como un fallo estructural en la forma en que se otorga la confianza.

Eso significa aumentar el coste de entrada, dotar de significado a la identidad legal, introducir fricciones para las entidades de nueva creación y dotar al ecosistema de herramientas reales para interrumpir el uso malicioso de los ASN antes de que se consolide.

La solución no es una mejor vigilancia. Es una mejor interrupción.

Hasta que no se aborden conjuntamente la identidad, el ciclo de vida y la aplicación de la normativa, este modelo seguirá recompensando a los actores más dispuestos a explotar el sistema.

Si eso no cambia, el abuso de los ASN no disminuirá. Seguirá creciendo de forma predecible, eficiente y a escala global.