La red es como un western moderno: a veces parece ser tierra de nadie, no existen reglas y todo puede suceder. Con tácticas siempre un paso por delante, los ciberdelincuentes viven de las vulneraciones. Todas tienen un propósito, principalmente monetario, en contra de alguna empresa o corporación. Pero también hay quienes, desde las sombras del cibermundo, se dedican a vigilar y están expectantes a que algo suceda. En algunos casos, los criminales dejan huellas y medios de contacto, pero, ¿es posible atraparlos?
Desde que en septiembre pasado se dio a conocer la vulneración al Estado Mayor Conjunto (EMCO), la ciberseguridad de empresas e instituciones ha sido tema de discusión. Lo del EMCO, en particular, fue alertado el año pasado por CronUp, una empresa dedicada a la ciberinteligencia que busca anticiparse a los movimientos de grupos de amenaza digital.
Según comenta Benjamín Mera, cofundador y director de la compañía, en ese momento “de los servidores comprometidos en Chile, 20 fueron reportados directamente al CSIRT, mientras que el resto de organizaciones fueron alertadas de manera directa a través de nuestro servicio de Alerta Temprana de Riesgos”.
Revisa también: Hackeo masivo: ¿Cómo enfrentan los gobiernos un ataque cibernético?
Otro de los casos relevantes fue cuando informaron a la Administradora de Fondos de Cesantía que uno de sus proveedores había expuesto el acceso a una base de datos con información sensible de sus afiliados.
En esa ocasión pudieron reaccionar a tiempo, a diferencia de lo que ocurrió con el EMCO. Y si bien las entidades públicas o pertenecientes al Estado debieran estar bien resguardadas, siempre habrá cibercriminales apuntando hacia ellas y que estarán constantemente insistiendo.
El cibercrimen involucra a distintas partes interesadas. Ninguna de las cabezas de una organización actúa sin motivos. Tienen la necesidad de no ser identificados o ubicados, por lo que utilizan criptomonedas o personas no vinculadas entre ellas para realizar sus ataques, y también se aprovechan de ciertas situaciones geográficas o sociales. Por ejemplo: Ucrania llegó a ser conocida como la capital mundial del cibercrimen, pero por ser el país más pobre de Europa y en el que supuestamente gran parte de la población tenía estas habilidades.
Los distintos tipos de ataques
Existen categorías que se deben conocer para saber cómo actuar ante una vulneración. En el escalafón más simple está la ingeniería social, con aquellas estafas más recurrentes que pueden ser realizadas desde cualquier sitio. Sigue siendo muy potente y funciona a todo nivel, operada a veces por delincuentes presos, pero que pueden capturar la mente del afectado. “Es un tipo de baja monta, que roba información de redes, teléfonos, y que luego vende incluso a organizaciones de otro nivel”, acota Benjamín Mera. Estos casos, usualmente son vistos por la PDI en Chile.
En el segundo lugar, están los denominados “Lobos solitarios”, que habitualmente tienen mucho conocimiento técnico y actúan en el anonimato. Tienen baja capacidad operativa y no pueden hacer ataques a gran escala, pero siguen siendo muy peligrosos.
Revisa también: El método de Google para evitar hackeos en su plataforma
El foco grande, dice Mera, está hoy en los grupos de amenaza más avanzados, entre los que se encuentran los hacktivistas, que es lo que sucedió con el EMCO y otros países. “No están búsqueda de beneficio económico, sino que tienen una causa por detrás o son antisistema”, acota.
El grupo más común es el especializado en el ransomware como servicio —el secuestro de datos— y también personas que se orquestan para cometer delitos. Atacan bancos, instituciones financieras o empresas de gran escala para poder “limpiar los discos”. “Es lo que más pega hoy día en Chile, no se ve que decrezca y cada vez son más personas las que se suman al ‘lado oscuro de la fuerza’”, afirma el experto.
En el último lugar quedan los grupos de Amenaza Persistente Avanzada (APT), que son los más peligrosos y generalmente son patrocinados por Estados. Ahí entran organizaciones como Lazarus Group —que atacó a Banco de Chile hace algunos años—, de Corea del Norte; Red Apollo, de China; el Equation, de Estados Unidos, y Fancy Bear,de Rusia; entre otros.
El camino hacia el culpable
Hay distintas maneras de detectar a estos criminales. Existen medidas que son reactivas y proactivas. Dentro de las segundas está utilizar inteligencia de amenaza: plantan señuelos, llamados “honeypot” —”pote de miel”—, que en el caso de CronUp tienen direcciones IP nacionales e internacionales y que están ubicados en varios puntos del globo. “Son señuelos de sistemas vulnerables, que representan a servicios financieros, retail, e-commerce”, cuenta Mera.
Cuando estos son capturados por los atacantes, no se dan cuenta de que son una carnada. Gracias a ellas los especialistas pueden saber quién está atacando, porque detectan la IP o el tipo de ataque. Con esa información hacen un tracking del origen de la amenaza y pasan a una fase en que intentan infiltrarse en los sistemas de los ciberdelincuentes.
Revisa también: Piensa Audiovisual: Cómo combatir el ransomware
Al acceder a sus operaciones pueden saber qué es lo que está haciendo el grupo criminal, con qué herramienta, hora, qué está planificando y develar su estrategia. “La idea de infiltrarse y pasar desapercibido, dar un seguimiento y saber cuándo cambian de estrategia o de rumbo, para anticipar la jugada: eso no lo hemos visto nunca desde una IP chilena, porque si no le habríamos dado cuenta a la PDI para que le fuera a golpear la puerta a la casa”, plantea el ejecutivo.
Como los ciberdelincuentes están conectados desde distintos lugares del mundo, dice que “es una tarea que al FBI u órganos internacionales aún le es súper difícil”.
De acuerdo con José Gago, experto en Ciberdefensa de CronUp y hacker, la forma reactiva es cuando el incidente ya ha sucedido. Eso en Chile se ha visto en el sector de la banca o con el EMCO. En esos casos se hace análisis forense y se empiezan a encontrar ciertas huellas en los equipos. Así se detectan estos “artefactos forenses”, mientras que los especialistas comienzan a entender por dónde ingresó el atacante, si existe alguna vulnerabilidad o si utilizó otra herramienta o recurso. Ahí surgen las piezas del puzzle para detectar a este ciberdelincuente.
“Como acá es un asunto económico y buscan dinero, dejan siempre ciertas huellas que delatan o, en el caso del ransomware, el contacto directo con ellos: en ese sentido, es muy fácil llegar a estos actores de amenaza y saber quiénes son”, dice el especialista.
Germán Fernández, director de Inteligencia de amenazas, hacker y cofundador de CronUp, dice que existe tecnología que permite descubrir cuando la infraestructura de alguna empresa o cliente se conecta con la de los “adversarios” y, al acceder a los paneles de administración de los ciberdelincuentes, pueden ver cuántos equipos han infectado, qué países están involucrados, IP y nombre del equipo con los datos de las últimas conexiones, entre otros detalles. “Así los podemos atrapar e identificar todos los elementos que utilizan para generar sus ataques”, comenta.
Todo esto forma parte también de la metodología con la que trabajan y que llaman “Alerta temprana de riesgos”.
¿Es realmente posible atrapar a un ciberdelincuente? Es una tarea larga y difícil, admiten, pero hay muchos casos en que sí.
Sin embargo, se hace complicado cuando hay otras variables involucradas, como el uso las criptomonedas. Con ellas, los ciberatacantes intentan evitar una persecución, aunque hoy día ya es posible realizar un seguimiento a alguna de estas divisas.
El problema, en algunos casos, es que al identificar una IP esta se puede mover en distintos rangos de posicionamiento. Ahí la PDI, con una orden de la Fiscalía, pide información a los proveedores de servicios de internet, y con eso pueden geolocalizar el domicilio y atrapar al delincuente con pruebas o evidencia.
En general, ocupan gente necesitada y que esté dispuesta a todo por el dinero. No hay lazos entre los involucrados. “Se puede instalar un dispositivo en un cajero automático, pero el que pone el dispositivo no conoce al que lo desarrolló, ni al que lo contactó, ni al dueño que descifra esa información y tampoco al que está en Rusia: si encuentran a una de estas personas, no detectan a la fuente principal”, dice José Gago.
Liberar la información
Cuando un cibercriminal quiere cobrar recompensa por los datos secuestrado, se refiere a miles de dólares. Hay empresas que deciden pagar por ello, mientras que otros prefieren “darla por perdida” y reconstruir a través de sus respaldos. Pero hay firmas que deciden hacerles frente también.
Según Germán Fernández, en CronUp han atendido pedidos que van desde diez mil dólares hasta algunos que superan los cien mil dólares. “Es complicado y estresante, sobre todo para quienes están cargando la parte comunicacional con los atacantes, porque todos toman posición en el momento de la batalla. Alguien tiene que comunicarse con los criminales, pero también hablar con los proveedores y clientes, con el CSIRT o la PDI”, comenta. Han tenidos diálogos uno a uno con operadores de ransomware, de malware, hacktivistas y otros.
Revisa también: Soy emprendedor: ¿qué debo hacer si sufro un ciberataque?
En los ataques de ransomware, dice Fernández, no se recomienda pagar porque se incentiva el cibercrimen, pero la decisión final está en los ejecutivos. En este año ellos han atendido unos nueve incidentes de este tipo, y siete de ellos han optado por realizar la transacción.
“Son conversaciones que parecen interminables, porque hay diferencias de horarios, nos piden rapidez para responder o hacer la transferencia; hay comprar bitcoins, hacer los envíos de evidencias, pedimos descuentos y otras cosas”, desarrolla el experto.
Hay diálogos que pueden durar días, semanas o cuanto decidan los involucrados, pero siempre teniendo en cuenta que hay una empresa afectada.
¿Cuál ha sido su caso más difícil?
A mediados de este año, una compañía los contactó por un ataque de ransomware. Estaban en una emergencia, no podían operar y tenían todo detenido. Las pérdidas por un día no trabajado eran de miles de dólares y la idea de ellos, comenta Germán Fernández, era pagar a los delincuentes. Pero había otra posibilidad.
Se contactaron con los delincuentes, comenzaron a dialogar y les enviaron archivos encriptados para que se los devolvieran descifrados y comprobaran que eran ellos. Lo hicieron. Entonces, tomaron uno de los equipos de la empresa y dejaron ahí una de las carpetas encriptadas -eran miles de un servidor de respaldos- y se hicieron pasar por empleados. “No sabíamos de tecnología, supuestamente, y cuando nos decían que viéramos tal carpeta y diéramos tal dato, les decíamos que nos ayudaran, así que los aburrimos”, recuerda Fernández.
El delincuente y sus jefes aceptaron la propuesta. Fernández y su gente instalaron un keylogger en el equipo y luego un programa para que el sujeto se conectara remotamente. El atacante ingresó la clave de cifrados, activó el programa para desencriptar información, copió y pegó la contraseña y comenzó el proceso. Funcionó y le dijeron que se desconectara para proceder al pago.
“Fuimos a nuestro programa y habíamos recuperado la clave, así que desconectamos todo, desencriptamos y le dijimos que no les pagaríamos: prometieron volver a hacerlo, muy enojados”, recuerda entre risas.
source