¿Cómo se realiza una investigación contra el cibercrimen?

14 Mar 2013

Cada vez que leemos titulares sobre el arresto o la condena de un cibercriminal, podemos estar seguros de que la mayor parte del trabajo la han hecho los investigadores antimalware, desperdigados por todo el mundo.

a1_SPA

No importa si se trata de un botnet de spam, del gusano Koobface o el troyano Zeus, las autoridades internacionales piden ayuda a la comunidad de investigadores en seguridad –especialmente a las compañías antimalware- para llevar a cabo investigaciones que proporcionen información de confianza que ayude a capturar al criminal.

Jeff Williams sabe lo difícil que es identificar un ataque malicioso y realizar una investigación criminal. Tras servir como responsable de un grupo de programa para MMPC (Microsoft Malware Protection Center) y, después, trasladarse a Dell SecureWorks, Williams participó en el desmantelamiento de numerosos botnet, incluyendo las operaciones Waledac, Zeus y Kelihos.

En una entrevista, Williams explicó que existen diferentes tipos de investigaciones pero casi siempre empiezan en un laboratorio antimalware, ubicado en algún lugar del planeta. “A veces, las autoridades son quienes realizan las investigaciones criminales. Otras veces, provienen de la industria de la seguridad TI que empieza a investigar un programa malicioso. Incluso, cuando se trata de una investigación criminal, las autoridades vienen a nosotros para que les enseñemos los entresijos del malware. En Microsoft, nuestra prioridad es proteger a los usuarios, así que tenemos que trabajar duro para comprender la magnitud del problema, el impacto sobre los usuarios de Windows y saber qué podemos hacer para protegerlos”, nos explica Williams.

Éste es un trabajo complicado. “Los chicos en el laboratorio hacen el trabajo sucio. Comprueban si el malware existe y recopilan muestras para luchar contra él”, nos dice Williams. Este trabajo forense incluye complejos algoritmos de cifrado de ingeniería inversa así como desmontar el protocolo de comunicación que usa el  malware para comunicarse con los hackers. “Queremos saber cómo se controlan los binarios a través de la infraestructura de comando y control del atacante; dónde están los nódulos y qué comandos usan. Todo este trabajo se realiza en el laboratorio antimalware. Y es realmente importante”.

Una vez el laboratorio sabe cómo funciona el malware, se implementan las contramedidas técnicas –a través de una actualización de la definición del virus o la mejora de las tecnologías defensivas. Esto se realiza antes de que las autoridades empiecen con las acciones legales. “A veces, tenemos que ir a un juzgado para obtener el derecho a controlar un botnet, trabajando, mano a mano, con las autoridades para que la operación sea todo un éxito”, nos explica Williams.

Costin Raiu, quien gestiona el equipo internacional de Investigación y Análisis de Kaspersky Lab, también opina que este tipo de investigaciones son realmente complejas.  Su equipo trabaja conjuntamente con Microsoft, CrowdStrike, OpenDNS y otras entidades de la industria de la seguridad informática para desmantelar operaciones de botnets. Raiu describe esta tarea como un trabajo complicado e intensivo.

“Me gustaría resaltar que el conocimiento de los investigadores es muy importante y puede ser decisivo a la hora de capturar o no a un cibercriminal”, dice Raiu.

Además de la ingeniería inversa y los datos compartidos con las autoridades, los equipos de investigación trabajan junto a CERT (Equipo de Respuesta ante Emergencias Informáticas) para requisar o desmantelar los servidores hackeados y reunir pruebas e información que pueda usarse, posteriormente, en el caso.

“El cibercrimen es un campo, increíblemente, complejo, debido a sus múltiples facetas. Éste es el motivo por el que se pide ayuda a los investigadores antimalware durante los juicio contra estos cibedelincuentes”, explica Raiu.

Los conocimientos sobre ciberseguridad, de un laboratorio de malware, incluyen inteligencia open-source o OSINT. Esta parte de la investigación es muy exhaustiva y necesita que se rastree la Red con un cepillo muy fino para encontrar cualquier pista que nos lleve al hacker y a su operación de malware.

“En el curso de la investigación, hay muchas pistas que pueden llevarnos hasta la identidad del cibercriminal. Algunas partes de las muestras de código incluyen apodos o cierto estilo de programación. Esta información se puede usar como punto de partida para capturar al chico malo”, nos explica Williams.

Los investigadores usan apodos, una pista -procedente de una parte del código- o un email registrado en un dominio para peinar las comunidades digitales como Facebook, Twitter, YouTube, wikis, blogs o cualquier página de contenido, donde el delincuente haya dejado o usado dicho apodo o email.

En el caso de Koobface, el equipo de seguridad de Facebook uso la inteligencia open-source junto a la comunidad de investigación en seguridad y publicó los nombres, fotos e identidades de la gente que creían responsables del ataque en su red. Se proporcionó esta información a los medios como parte de una operación para avergonzar a los culpables.

“La mayor parte del trabajo es técnico para proteger a los usuarios; compartiendo dicha información con las autoridades para arrestar a los criminales. Cuando se capturan a los culpables y comienza el proceso judicial contra ellos, la mayoría de todo el trabajo de investigación se ha realizado en un laboratorio”, añadió Williams.

“La identificación y el arresto del atacante no siempre se realiza al comienzo de la operación. Cuando un laboratorio de malware está protegiendo un ecosistema, los resultados de este trabajo deben pasar a manos de las autoridades para que estos comiencen con las acciones legales”, dijo Williams.

Williams reitera que el trabajo de la comunidad de investigación debe ser de alto nivel porque la información se presentará antes los tribunales.

a2

Los investigadores en ciberseguridad, a menudo, se desesperan por la lentidud de los procesos legales; especialmente, cuando los ataques son realmente peligrosos como troyanos bancarios o botnets de fraude financiero. Ésta fue la razón por la cual Facebook publicó los detalles de la investigación Koobface antes que las autoridades. No obstante, Williams afirma que la situación están mejorando.

“Es necesario mejorar la coordinación de las legislaciones internacionales. Los criminales son conscientes de que las leyes no son lo suficientemente duras y conocen los resquicios legales para cometer sus cibercrímenes. Sin embargo, creo que las autoridades están trabajando fuerte para impulsar y agilizar los casos. En mucha ocasiones, los ciberdelicuentes son condenados por crímenes que no tienen que ve con el mundo cibernético”, añadió; citando el caso Zotob en el que se procesaron a los cibercriminales por blanqueo de dinero, evasión de impuestos y fraude financiero.

“Ésta es la evolución natural a la hora de desmantelar e identificar a los resposanbles del crimen cibernético. Si no se desmantela los crímenes, los delincuentes ganan dinero que invierten en otros ataques. Creo que hemos llegado, finalmente, al punto donde existe una buena colaboración, relación, tecnología y cooperación entre las autoridades para que se produzca un cambio”, añadió Williams.