Columnista. Convergencia tecnológica y cibercrimen

Escrito por  Lunes, 29 Junio 2015 19:38

“Es una equivocación garrafal sentar teorías antes de disponer de todos los elementos de juicio, porque así es como este se tuerce en un determinado sentido”.

Sherlock Holmes

 

El cibercrimen constituye un interesante pero complejo desafío para quienes dedicamos nuestro esfuerzo a la persecución de este fenómeno global. La  dinámica de los atacantes es quizá proporcional a su rápido nivel de adaptación a la tecnología y a la  inevitable interacción de ésta con las personas.

 

Por ejemplo, el incremento en el volumen de los ataques dirigidos a teléfonos celulares no es casual; las redes del cibercrimen entienden que comprometer estos sistemas facilita el acceso a información valiosa, en diferentes eventos.

 

Inicialmente, un ataque a un teléfono inteligente permitiría obtener datos personales y allanar el camino para la materialización de robos de identidad o  incluso extorsiones de origen cibernético, si el intruso sustrae videos y fotografías  de la víctima (sextorsión).

 

En una segunda etapa del ataque, el intruso podría tener acceso a correos corporativos algunos de ellos vinculados a información confidencial de la organización, repositorios en la nube, aplicativos para acceder a las redes empresariales, entre otros servicios,  que generalmente comparten la misma contraseña.

 

Los criminales entienden entonces que vulnerar los sistemas de una organización resulta cada vez más difícil por la implementación de prácticas de defensa, las cuales no llegan al nivel de aseguramiento de todos los dispositivos móviles. Por ello,  los atacantes dirigen su atención a empleados desprevenidos que a la postre sincronizarán sus equipos con la red empresarial.

 

Las tabletas, los teléfonos inteligentes, los equipos portátiles al servicio de los altos ejecutivos o de los responsables de procesos sensibles, como las áreas  financieras, contables, líneas de negocio, entre otros, son en la actualidad el principal blanco de los ataques que siguen utilizando la técnica del spearphishing o  clásico correo engañoso, pero dirigido o personalizado para infectar las redes con códigos maliciosos.

 

Entonces, el ciberdelito se puede detectar en un servidor de la empresa (servidor de correo) y el esfuerzo forense debe enfocarse en los registros del mismo. Por ejemplo, los eventos de autenticación, cambios de estado (off-on), inicios de sesión, para citar algunos, catalogados como rastros o vestigios informáticos.

 

Sin embargo, la evidencia digital que explicaría el método y el medio utilizado por el atacante para hacer posible la infección podría estar muy lejos de allí. Un caso frecuente es un teléfono inteligente, previamente infectado y sincronizado con un equipo en la oficina de una gerencia o una memoria USB encontrada por un  empleado en su hora de almuerzo y conectada sin seguridad  a la red, facilitan la puerta de acceso al atacante.

 

El anterior planteamiento supone que en materia de cibercrimen y dada la convergencia tecnológica actual, en un incidente informático la escena del delito  primaria, aquella en la que la intención se convierte en acción, puede no contener la evidencia digital de mayor relevancia.  Depende de la sagacidad  y astucia del investigador identificar el procedimiento de búsqueda más adecuado y cómo enfocar su atención inicialmente, sin obviar los demás escenarios posibles.  La rutina suele ser un factor de riesgo en la visión de integral del investigador.

 

En el mismo sentido podrían existir múltiples escenas secundarias (la USB recogida en la calle, el celular del gerente, las herramientas de acceso remoto o RATs[1], etc.). Es decir, aquellas distantes del lugar de ocurrencia del hecho (servidor de correo), pero con elementos probatorios, incluso más importantes que los que se pueden identificar en la escena primaria.

 

Seguramente para el ejemplo citado, en el servidor de correo encontraríamos registros de modificación de datos o sustracción de información, entre otros elementos, pero el malware utilizado y por ende la identificación de los vectores del ataque, estaría disponible en las escenas del delito consideradas como secundarias.

 

Otro escenario que podría presentarse estaría vinculado al uso de dispositivos no convencionales, como  medio u objetivo de un ataque informático. Por ejemplo, las actuales consolas de videojuegos disponen de versiones de navegadores que permiten su conexión rápida y fácil a cualquier sitio en Internet e incluso interactuar en escenarios de realidad virtual, disponiendo solamente de una cuenta asociada a una tarjeta de crédito.

 

Por lo general, las claves de acceso a una consola de juego están bajo responsabilidad de un menor de edad o adolescente, quienes no adoptan medidas de seguridad informática adecuadas. Sin embargo, la red WIFI de los hogares en la cual confluyen todos y cada uno de los dispositivos digitales, entre ellos tabletas, celulares y computadores personales, podría quedar expuesta a los atacantes, facilitando el acceso a información confidencial como datos personales o corporativos, toda vez que un empleado se conecta a la red  inalámbrica en su casa o trabaja bajo el modelo de BYOD[2].

 

Los smart tvson otro ejemplo de cómo las aplicaciones para acceder a contenidos por pago demandan el uso de tarjetas de crédito, la compra de películas y series a través de redes WIFI, previamente comprometidas por un atacante, lo cual podría generar pérdida de datos que suelen ser utilizados por redes del cibercrimen para generar compras no autorizadas por el titular o transferencias de dinero.

 

Estos escenarios plantean entonces desafíos en la investigación forense digital y, por ende, conllevan un esfuerzo y atención adicional por parte de los investigadores, quienes al describir las  hipótesis del caso en estudio, deben tener en cuenta todas y cada una de las variables posibles (televisores, consolas de juego, etc.).

 

La extensión de la escena del delito a distintos lugares exige mayor conocimiento, para enfrentar los retos de la computación forense en la nube y  escenarios virtuales, escritorios remotos, dispositivos digitales, por parte de quienes integran un equipo de atención a incidentes cibernéticos.

 

Además de los conocimientos de los investigadores y del adecuado manejo de la evidencia, hay otro problema que debe ser confrontado a diario. Así como existen múltiples dispositivos que interactúan unos y otros, también cada vez son más diversas las opciones de oferta de servicios de proveedores de correo electrónico incluso anónimo, proveedores de servicios de internet, hosting,  tiendas virtuales, tiendas de aplicaciones y muchos más.

 

Las unidades de ciberbrimen deben disponer de canales rápidos de cooperación internacional. En tal sentido, recientemente la Policía Nacional y en particular el Centro Cibernético Policial fue aceptado como punto de contacto nacional en la red 24/7 del Grupo de Expertos del G8, y esta nueva capacidad resulta muy importante, cuando se trata de solicitar la preservación de evidencia digital en el exterior.

 

Como es bien sabido los proveedores de servicio de correo electrónico alojan información valiosa para la trazabilidad de algunos incidentes, y es menester garantizar que la misma no se borre o se altere o modifique, hasta tanto no se obtengan las órdenes judiciales para su envío a Colombia, bajo los preceptos legales de nuestro país.

 

En la misma línea de acción, varios laboratorios de investigación y desarrollo han sido puestos al servicio de la policía colombiana, por parte del Complejo Global de Innovación de INTERPOL (IGCI), con sede en Singapur. Su finalidad es explorar conjuntamente con la empresa privada, cómo los desarrollos tecnológicos impactan las actuaciones de las fuerzas de ley responsables de la lucha contra el cibercrimen. Proyectos para entender el impacto de la DARKNET[3] o el uso de la moneda virtual como medio de pago del crimen informático son ejemplos de estos esfuerzos.

 

Por ello, lograr una sinergia entre los sectores público, privado, la academia, las fuerzas de ley, se reconoce como una experiencia exitosa. En Colombia, el Centro Cibernético Policial ha generado un espacio de interacción entre expertos,  mediante el sitio web www.ccp.gov.co, portal dedicado al intercambio de información bidireccional entre distintos actores de la estrategia nacional contra el delito informático, con el único propósito de mejorar las condiciones de ciberseguridad de los colombianos.

 

Coronel Fredy Bautista García.Oficial de la Policía Nacional de Colombia, Criminalista de la Escuela de Cadetes, Policía General Santander. Especialista en Derecho Procesal Penal y en Auditoría Forense, Universidad Externado de Colombia. Adelantó curso de especialización en Derecho, Crimen Organizado, Corrupción y Terrorismo en la Universidad de Salamanca, España y realizó el Curso de Administración de Laboratorios de Informática Forense en University of North Texas, entre otros. Cuenta con una experiencia de más de 13 años en la investigación del cibercrimen e investigaciones forenses digitales en Colombia, algunas con alcance transnacional. Fue el  encargado de implementar la red de laboratorios de Cómputo Forense en la Policía Nacional. Bajo su gestión se puso en marcha CAIVIRTUAL, primer servicio de atención en línea de Ciberpolicía en Latinoamérica. En la actualidad se desempeña como Jefe del Centro Cibernético Policial y es el responsable de la Estrategia Nacional contra los Delitos Informáticos en la Policía Nacional; presidente del Grupo de Trabajo Americano de jefes de unidades de cibercrimen de INTERPOL y ha representado a Colombia en diferentes escenarios internacionales en materia de persecución global del cibercrimen. 

 


[1]RAT: REMOTE ACCESS TOOLS Herramientas para acceder remotamente a sistemas informáticos.

[2] BYOD: Modelo utilizado por los empleados, para acceder a los recursos de la empresa desde sus dispositivos (USB, redes de datos, computadores, etc.) también conocido como teletrabajo.

[3]DARKNET: hace referencia al segmento de internet en el cual se publican contenidos privados y en la mayoría de los caso es utilizada para la comercialización de productos ilegales en internet.

Leido 3075 veces Modificado por ultima vez Lunes, 29 Junio 2015 20:34

Ingrese su comentario

Por favor confirme que ingreso la informacion requerida. Codigo HTML no esta permitido

Actividades Académicas

 

Sobre ACIS

La Asociación Colombiana de Ingenieros de Sistemas es una organización sin ánimo de lucro que agrupa a más de 1500 profesionales en el área de sistemas. ACIS nació en 1975 agrupando entonces a un número pequeño de profesionales en sistemas. Más información