¿Cómo se coordinan las investigaciones de la policía para combatir el cibercrimen a nivel internacional?

¿Que puede haber detrás de la botnet Mirai?

Quizás, un ataque como Mirai podría haber sido orquestado por una o dos personas, pero si hay una motivación económica, estará dirigido por una organización criminal estructurada. Puede que los autores se hayan conocido a través de la deep web, redes anónimas o foros underground y estén situados en países como Ucrania, Rusia, Georgia, China, Estados Unidos o cualquier otro.

Intercambian información a través de sistemas de mensajería cifrada o utilizando un sistema de claves previamente acordado a través de foros. Tienen su propia jerga (su sistema de comunicación propio), lo cual hace aún más difícil la infiltración en grupos criminales, no solo por cómo hablan sino por el idioma que emplean.

En el caso de la red de botnets Mirai, hace un mes que se publicó el código fuente de la botnet.

La experiencia policial nos dice que es probable que la publicación del código fuente no se deba al “altruismo” de liberar un código para conocimiento de los exploiters y más cuando este código que podría venderse o alquilarse en el mercado negro a cambio de una jugosa cantidad. Lo que pretenden los propios autores es distraer el origen del ataque y evitar que se vaya estrechando el cerco en torno a su ubicación y/o identificación.

En estos tres últimos años, además del trabajo operativo y las investigaciones en la que he participado en España, he llevado a cabo más de 40 viajes internacionales entre EUROPOL, INTERPOL y otros grupos de trabajo en materia de cibercrimen. La colaboración internacional es fundamental, pero complica y alarga las pesquisas.

¿Qué hacemos en las reuniones internacionales?

•Buscamos partners en los países donde se permite que la empresa privada colabore con la policía (son los llamados Joint Action Teams) ya que su infraestructura técnica es necesaria. Ya lo han hecho empresas como Kaspersky, Microsoft o Trend Micro. Su apoyo es necesario.

•Identificamos víctimas fuera de nuestro país de origen para poner en común las investigaciones y aglutinar las causas judiciales existentes en los Juzgados de otros países.

•Evitar que la falta de colaboración de los servicios de Internet, las diferencias y limitaciones legislativas de nuestros países dificulten y obstaculicen las peticiones de auxilio judicial.

•Poner en común los datos de nuestras pesquisas, buscar soluciones logístico-técnicas y en el mejor de los casos, establecer un operativo de reacción coordinado para desmantelar esta red estructurada que no apriete “el botón rojo” a la más mínima sospecha.

Una vez que hemos dado los pasos anteriores, se debe coordinar el operativo de detención y desmantelamiento de la estructura criminal de forma simultánea bajo control judicial. Primero, que una operadora de telecomunicaciones deje sin servicio a todas las direcciones IP que se conectan a dispositivos infectados. Segundo, que los servicios de hosting tumben las DNS maliciosas o infectadas para que los malos no puedan cambiar a otras ya previstas y programadas para continuar con su actividad criminal. Esta es la única forma de derribar una red de botnets con más de 1 millón de dispositivos infectados en todo el mundo que estaban sirviendo para realizar ataques controlados de denegación de servicios.

¿Por qué se les llama incidentes cuando son delitos?

Algunos operativos policiales como “Dorkbot” del que ya os hablé en un artículo pasado, se saldaron con el desmantelamiento y derribo de una red de botnets en todo el mundo, con un millón de equipos en más de 200 países, la colaboración de compañías privadas como Microsoft, agencias policiales como EUROPOL, INTERPOL, las policías de Bélgica, Alemania, Francia, Lituania, Holanda y Montenegro y el trabajo de 4 AÑOS. Pero ¿Alguien sabe algo de los autores? Ni flis. ¿Por qué?

Cada vez más se tiende a confundir y a mezclar la Ciberseguridad con Cibercrimen. Aunque ambos conceptos están relacionados, no tienen el mismo alcance. “Mitigar” los efectos del ataque o un ciberincidente dirigidos a la información o a los sistemas significa, principalmente, evitar un problema de seguridad interno.

Según la clasificación de estos incidentes, recogida en un informe del CCN- CERT se considera un ataque el ciberespionaje, las amenazas persistentes avanzadas (APT), el robo o sustracción de información, el chantaje, las intrusiones, el fraude, las denegaciones de servicios, los defacements, el código dañino y el ransomware, entre otros. Es decir, incidentes que se refieren a conductas delictivas. Según este informe, el número de “incidentes”, es decir, de delitos detectados en el año 2015 fue de 18.232.

Según el Informe sobre el estudio de la cibercriminalidad en España en el año 2015 realizado por el Ministerio del Interior, el número de denuncias por este tipo de delitos (Acceso e Interceptación ilícita + Interferencia de datos y en sistema) fue de 3.286.

Según la Memoria presentada por la Fiscalía General del Estado del año 2015, el número de procedimientos judiciales abiertos por este mismo tipo de hechos fue de 1001 de los cuales, en solo 127 se planteó escrito de acusación (porque había autor conocido e indicios suficientes). Hemos de precisar que muchos de estos procedimientos judiciales se refieren a insiders y hechos cometidos en el ámbito doméstico o empresarial y no a ciberincidentes.

Por tanto, si en el año 2015 tuvimos 18.232 “ciberincidentes” (delitos) detectados, 3.286 denuncias, 1001 procedimientos judiciales abiertos y 127 escritos de acusación, quiere decir que el porcentaje entre el número de hechos denunciados y el de casos en el que se ha podido esclarecer el hecho es de un 1.5%.

Es lógico que el fenómeno vaya en aumento si los “incidentes” detectados, (en su 99% delitos) no se reportan a las autoridades policiales o judiciales encargadas de su persecución. Si se quiere actuar con eficacia ante el cibercrimen, hay que detener a los autores además de mitigarlos.