La web es como un western moderno: a veces parece tierra de nadie, no hay reglas y todo puede pasar. Con tácticas siempre un paso por delante, los ciberdelincuentes viven de las infracciones. Todos ellos tienen un fin, principalmente dinerario, contra alguna empresa o corporación. Pero también Hay quienes, desde las sombras del mundo cibernético, se dedican a monitorear y están esperando que algo suceda. En algunos casos, los delincuentes dejan rastros y medios de contacto, pero ¿es posible atraparlos?
Desde que se anunció la violación del Estado Mayor Conjunto (EMCO) en septiembre pasado, la ciberseguridad de empresas e instituciones ha sido tema de discusión. El asunto de EMCO, en particular, fue alertado el año pasado por CronUp, una empresa dedicada a la ciberinteligencia que busca anticiparse a los movimientos de grupos de amenazas digitales.
Según Benjamín Mera, cofundador y director de la empresa, en ese momento “de los servidores comprometidos en Chile, 20 fueron reportados directamente al CSIRT, mientras que el resto de las organizaciones fueron alertadas directamente a través de nuestro servicio de Alertas Tempranas de Riesgos”. .
Otro caso relevante fue cuando informaron a la Administradora del Fondo de Cesantía que uno de sus proveedores había expuesto el acceso a una base de datos con información sensible de sus afiliados.
En esa ocasión supieron reaccionar a tiempo, a diferencia de lo ocurrido con EMCO. Y aunque las entidades públicas o estatales deben estar bien protegidas, siempre habrá ciberdelincuentes apuntándoles y que insistirán constantemente.
El ciberdelito involucra a diferentes actores. Ninguno de los jefes de una organización actúa sin motivos. No necesitan ser identificados ni localizados, por lo que utilizan criptomonedas o personas no vinculadas entre sí para realizar sus ataques, y también se aprovechan de determinadas situaciones geográficas o sociales. Por ejemplo: Ucrania se hizo conocida como la capital mundial del ciberdelito, sino por ser el país más pobre de Europa y en el que supuestamente gran parte de la población poseía estas habilidades.
Hay categorías que hay que conocer para saber cómo actuar en caso de infracción. En el nivel más simple es el Ingeniería social, con aquellas estafas más recurrentes que se pueden realizar desde cualquier lugar. Todavía es muy poderoso y funciona a todos los niveles, a veces operado por criminales encarcelados, pero pueden capturar la mente de los afectados. “Es un tipo de bajo nivel, que roba información de redes, teléfonos y luego hasta la vende a organizaciones de otro nivel”, dice Benjamín Mera. Estos casos suelen ser vistos por la PDI en Chile.
En segundo lugar se encuentran los llamados “Lobos solitarios”, que suelen tener muchos conocimientos técnicos y actúan de forma anónima. Tienen una capacidad operativa baja y no pueden realizar ataques a gran escala, pero siguen siendo muy peligrosos.
El gran foco, dice Mera, está hoy en el grupos de amenazas más avanzadosincluidos los hacktivistas, que es que paso con EMCO y otros paises. “No buscan el beneficio económico, sino que tienen una causa detrás o son antisistema”, delimita
El grupo más común es especializado en ransomware como servicio —secuestro de datos— y también personas orquestadas para delinquir. Atacan a bancos, instituciones financieras o grandes empresas para “borrar los registros”. “Es lo que más pega hoy en día en Chile, no se ve que disminuya y cada vez más personas se suman al ‘lado oscuro de la fuerza’”, afirma el experto.
En último lugar están Grupos de amenazas persistentes avanzadas (APT), que son los más peligrosos y suelen estar patrocinados por los estados. Ahí es donde organizaciones como Grupo Lázaro —que atacó al Banco de Chile Hace algunos años—, de Corea del Norte; Red Apolo, de China; la ecuaciónde los Estados Unidos, y Oso de lujo,Desde Rusia; entre otros.
Existen diferentes formas de detectar a estos delincuentes. Hay medidas que son reactivas y proactivas. Dentro de la segunda es utilizar inteligencia de amenazas: plantan señuelos, llamados “honeypot” —”pote de miel”—, que en el caso de CronUp tienen direcciones IP nacionales e internacionales y están ubicados en varios puntos del globo. “Son señuelos para los sistemas vulnerables, que representan los servicios financieros, el comercio minorista y el comercio electrónico”, dice Mera.
Cuando son capturados por los atacantes, no se dan cuenta de que son un cebo. Gracias a ellos, los especialistas pueden saber quién está atacando, porque detectan la IP o el tipo de ataque. Con esta información, rastrean el origen de la amenaza. y pasan a una fase en la que intentan infiltrarse en los sistemas de los ciberdelincuentes.
Al acceder a sus operaciones, pueden saber qué está haciendo el grupo criminal, con qué herramienta, en qué momento, qué planean y revelar su estrategia. “La idea de infiltrarse y pasar desapercibido, darle seguimiento y saber cuando cambian de estrategia o de rumbo, para anticipar la jugada: nunca hemos visto eso de una IP chilena, porque sino le hubiésemos informado a la PDI para que fuera va a tocar la puerta de la casa”, dice el ejecutivo.
Como los ciberdelincuentes están conectados desde diferentes partes del mundo, dice que “es una tarea que todavía es súper difícil para el FBI u organismos internacionales”.
Según José Gago, experto en Ciberdefensa y hacker de CronUp, la forma reactiva es cuando el incidente ya ha ocurrido. Eso en Chile se ha visto en el sector bancario o con EMCO. En estos casos se realizan análisis forenses y se empiezan a encontrar ciertos rastros en los equipos. Es así como se detectan estos “artefactos forenses”, mientras los especialistas comienzan a comprender por dónde ingresó el atacante, si existe alguna vulnerabilidad o si utilizó otra herramienta o recurso. Ahí es donde emergen las piezas del rompecabezas para detectar a este ciberdelincuente.
:format(webp):no_upscale()/cloudfront-us-east-1.images.arcpublishing.com/copesa/YS524GRM3ZHEBMW7ANMYKQLEWU.jpg)
“Como aquí es un tema económico y buscan dinero, siempre dejan ciertas huellas que delatan o, en el caso del ransomware, contacto directo con ellos: En ese sentido, es muy fácil llegar a estos actores de amenazas y saber quiénes son”, dice el especialista.
Más sobre piensa digitalmente
Germán Fernández, director de Threat Intelligence, hacker y cofundador de CronUp, dice que existe una tecnología que nos permite descubrir cuándo la infraestructura de una empresa o cliente se conecta con la de “adversarios” y, accediendo a los paneles de administración de la ciberdelincuentes, pueden ver cuántos equipos han infectado, qué países están involucrados, IP y nombre del equipo con los datos de las últimas conexiones, entre otros detalles. “Así podemos atraparlos e identificar todos los elementos que utilizan para generar sus ataques”, dice.
Todo esto también forma parte de la metodología con la que trabajan y a la que denominan “Alerta temprana de riesgos”.
¿Es realmente posible atrapar a un ciberdelincuente? Es una tarea larga y difícil, admiten, pero hay muchos casos en los que lo es.
Sin embargo, se complica cuando hay otras variables involucradas, como el uso de criptomonedas. Con ellas, los ciberatacantes intentan evitar la persecución, aunque a día de hoy ya es posible rastrear algunas de estas monedas.
:format(webp):no_upscale()/cloudfront-us-east-1.images.arcpublishing.com/copesa/DMBN45SPFNEBLGUTMIGGRBHR54.jpg)
El problema, en algunos casos, es que al identificar una IP esta puede moverse en diferentes rangos de posicionamiento. Allí la PDI, con una orden de la Fiscalía, Solicita información a proveedores de servicios de internet, y con eso pueden geolocalizar la dirección y atrapar al infractor con prueba o evidencia.
En general, emplean a personas necesitadas que están dispuestas a hacer cualquier cosa por dinero. No hay vínculos entre los involucrados. “Puedes instalar un dispositivo en un cajero automático, pero El que pone el dispositivo no conoce al que lo desarrolló, ni al que lo contactó, ni al dueño que descifra esa información, ni al que está en Rusia: si encuentran a una de estas personas, no detectan la fuente principal”, dice José Gago.
Cuando un ciberdelincuente quiere cobrar una recompensa por los datos secuestrados, significa miles de dólares. Hay empresas que deciden pagarlo, mientras que otras prefieren “renunciar” y reconstruir a través de sus copias de seguridad. Pero hay firmas que deciden hacerles frente también.
Según Germán Fernández, en CronUp han respondido pedidos que van desde los diez mil dólares hasta algunos que exceder los cien mil dólares. “Es complicado y estresante, sobre todo para quienes están llevando la parte de comunicación con los atacantes, porque todos toman posición en el momento de la batalla. Alguien tiene que comunicarse con los delincuentes, pero también hablar con los proveedores y clientes, con el CSIRT o la PDI”, comenta. Han tenido diálogos uno a uno con operadores de ransomware, operadores de malware, hacktivistas y otros.
En los ataques de ransomware, dice Fernández, No se recomienda pagar porque se fomenta el cibercrimen, pero la decisión final está en los ejecutivos. Este año se han atendido unas nueve incidencias de este tipo, y siete de ellas han optado por llevar a cabo la operación.
“Son conversaciones que parecen interminables, porque hay diferencias horarias, nos piden rápido que respondamos o hagamos la transferencia; Hay que comprar bitcoins, enviar pruebas, pedir descuentos y otras cosas”, desarrolla el experto.
:format(webp):no_upscale()/cloudfront-us-east-1.images.arcpublishing.com/copesa/M3XBJHYRIZHBNCSKOTVWLFAQPU.jpg)
Hay diálogos que pueden durar días, semanas o lo que decidan los implicados, pero siempre teniendo en cuenta que hay una empresa afectada.
¿Cuál ha sido tu caso más difícil?
A mediados de este año, una empresa los contactó por un ataque de ransomware. Estaban en emergencia, no podían operar y tenían todo parado. Las pérdidas por un día no trabajado eran de miles de dólares y su idea, dice Germán Fernández, era pagar a los delincuentes. Pero había otra posibilidad.
Se contactaron con los delincuentes, entablaron un diálogo y les enviaron archivos encriptados para que los devolvieran desencriptados y verificaran que eran ellos. Ellos lo hicieron. Entonces, tomaron una de las computadoras de la compañía y dejaron una de las carpetas encriptadas allí (había miles de servidores de respaldo) y se hicieron pasar por empleados. “Nosotros no sabíamos de tecnología, supuestamente, y cuando nos decían que miráramos esa carpeta y diéramos esa información, les decíamos que nos ayudaran, entonces los aburríamos”, recuerda Fernández.
El criminal y sus jefes aceptaron la propuesta. Fernández y su gente instalaron un keylogger en la computadora y luego un programa para que el sujeto se conectara de forma remota. El atacante ingresó la clave de cifrado, activó el programa para descifrar información, copió y pegó la contraseña e inició el proceso. Funcionó y le dijeron que cerrara la sesión para proceder al pago.
“Fuimos a nuestro programa y habíamos recuperado la clave, así que desconectamos todo, desciframos y les dijimos que no les pagaríamos: prometieron volver a hacerlo, muy enojados”, recuerda entre risas.
#Cazadores #hackers #revelan #las #claves #para #atrapar #ciberatacante
Si quieres leer el artículo original puedes acceder desde este link:
Artículo Original
