Septiembre 20, 2012
A la captura de los ataques de Phishing
No estoy completamente seguro de por qué, pero de alguna manera desde la invención de Internet, ha existido siempre una actitud estereotipada con todo lo relacionado con la WWW. Esta percepción hace que la gente piense en la red como un simple juguete, mientras que los virus que vienen con ella se atribuyen a un mero juego, en el mejor de los casos, y como un acto de gamberrismo, en el peor. Sin embargo, la realidad nos muestra otra cosa – especialmente en los últimos tiempos.
¿Recuerdas a Cascade y a otros virus similares? ¡Ay!, tan ingenuo e inocente si lo comparamos con lo que estaba por venir… avanzó rápido en un par de décadas y los “chicos malos” empezaron a robar datos, aparecieron los troyanos para crear redes de ordenadores zombis para realizar ataques masivos y, por supuesto, el robo a las cuentas bancarias. Hoy hemos llegado a los ataques contra los sistemas industriales, de infraestructura y militares. ¡Esto no es un juguete!
Tenemos que dejar este estereotipo lo antes posible. Las impresiones erróneas dan al cibercrimen un aura romántica, que a su vez atrae a las generaciones jóvenes de aspirantes a cybergeeks, que se convertirán en cibercriminales, quienes no pueden ser conscientes de la gravedad de su “diversión”, ni entienden que podrían acabar en la cárcel durante años.
Entonces, hay otro estereotipo: que con el crimen informático se consigue dinero, y a los autores no se les atrapan. ¡Romanticismo! Ok, es cierto que hace varios años en muchos países los crímenes informáticos no eran normalmente procesados por la justicia, sin embargo, ahora la situación ha cambiado: los organismos encargados de hacer cumplir la ley tienen la experiencia y los conocimientos técnicos necesarios, se han hecho grandes avances en términos ciber-criminalísticos (ciber-CSI ), y han establecido buenas relaciones de trabajo con profesionales, y ahora están capacitados para resolver un crimen, tras otro, de alta tecnología.
Estamos dispuestos siempre a ayudar a las agencias nacionales e internacionales para ayudarles en el cumplimiento de la ley si éstas lo requieren. Creo que el desarrollo de esta cooperación es crucial para el éxito en la lucha contra los cibercrímenes, pues las empresas de seguridad son las que poseen los conocimientos necesarios.
Ahora, te voy a dar un ejemplo ilustrativo sobre cómo funciona en Rusia.
Recientemente el Ministerio del Interior Rusos (MVD) y el Servicio Federal de Seguridad (FSB), con la participación de expertos de la Unidad de Investigación de Cibercrimen de Kaspersky Lab (CIU) concluyeron con éxito un caso criminal relacionado con el phishing. Los culpables fueron identificados y condenados, se cumplió la justicia, y se dio un paso más hacia el final de las románticas fantasías sobre el cibercrimen. ¡O eso espero!
El caso no hubiera tenido más importancia si no hubiera sido por una circunstancia: fue el primer caso de phishingen Rusia, cuya investigación fue concluida. Antes era poco probable obtener tal resultado en los tribunales, mientras que en el mejor de los casos, sólo era posible capturar a los que pertenecían al nivel inferior dentro de la jerarquía de responsabilidad criminal.
La historia comenzó en la primavera de 2010 en un escenario clásico de phishing:
Una pareja de San Petersburgo obtuvo del submundo del cibercrimen un malware del tipo troyano Qhost. Ellos procedieron a infectar a un número de ordenadores y utilizaron el troyano para redireccionar a las víctimas a un sitio falso. Allí, las víctimas sin saberlo, revelaron los códigos de acceso a sus cuentas bancarias en Internet. Los cibercriminalesentonces accedieron a las cuentas y robaron a lo grande. ¡Hasta que ellos fueron atrapados!
Lo curioso es que los criminales fueron capaces de obtener autentificaciones de dos pasos y notificaciones por SMS – y de diversas maneras.
Por ejemplo, a las víctimas se les hizo una llamada supuestamente de un banco, mediante la cual se les solicitó un código “para cancelar una transferencia errónea”. Para algunos de los bancos afectados, los criminales crearon campos dedicados al sitio falso para introducir los datos de una tabla de códigosdiferentes, los códigos fueron pedidos varias veces (en referencia a los errores en la entrada anterior), y de esta manera, se obtuvieron numerosos códigos válidos para operaciones posteriores.
La investigación reveló que más de 170 personas en toda Rusia se convirtieron en víctimas de la estafa, con pérdidas de alrededor de 13 millones de rublos (cerca de medio millón de dólares).
Ésta es la versión oficial. Ahora, echemos un vistazo a lo que realmente pasó.
La historia no tiene precedentes. Antes, en Rusia era imposible presentar cargos penales relacionados con el phishing. Los “chicos buenos” no tenían ninguna experiencia, ni conocimiento especializado, y les fue difícil hasta saber por dónde empezar en la investigación del phishing.
Por suerte, se decidió que algo tenía que hacerse para cambiar todo eso, y ahí es donde entramos. Se nos pidió realizar el examen pericialy escribir el análisis. La comunidad bancaria siempre proporcionó todos los datos necesarios para la investigación y participó en todas las etapas, mientras que el Centro para la Seguridad de la Información de la FSB, con sus mejores detectives, llevó a cabo la investigación.
¡Funcionó! Un caso criminal fue abierto, y se creó un equipo del Comité de Investigación de la MVD.
Sin embargo, el inicio de un caso, no es igual que su cierre (satisfactoriamente). La mayoría de las investigaciones sobre los cibercrímenes en Rusia suelen fracasar, debido a la falta de habilidades específicas por parte de los “chicos buenos”. Pero en este caso, en particular sobre estafa cibernética, los detectives realizaron una formación especial sobre seguridad cibernética por parte de nosotros, y la comunidad bancaria nos ayudó en todas las etapas tanto como pudieron.
Lo que también es necesario en un caso como éste es “permanecer en” el caso hasta que llegue a los tribunales. Pero aquí es donde normalmente se comete el mayor error – los detectives se quedan sin apoyo, la investigación se esfuma, y el caso se desmorona. Esta vez, todo fue diferente: nuestro equipo de CIU estaba siempre a su disposición –hicieron numerosos viajes, informes con el análisis técnico de la investigación y hubo una comunicación constante.
Aunque fue tediosamente largo, el caso por lo menos llegó a su fin con éxito. Y a pesar de que los criminales solamente recibieron sentencias sancionadoras y multas, el caso fue significativo porque estableció un precedente (los casos criminales de phishing deben y deberían ser llevados hasta el final), y también porque los detectives adquirieron experiencia con nuestra ayuda y la de los bancos.
Y además, qué mejor mensaje se podría dar a la comunidad informática clandestina y a generaciones más jóvenes que están por llegar, para que dejen de participar en prácticas peligrosas y material dañino ilegal, y para que puedan utilizar mejor sus mentes, con acciones –productivas, positivas e inofensivas.