Usar las matemáticas para atrapar a un cibercriminal

Al observar el comportamiento de los cibercriminales, podemos observar ciertos patrones persistentes que pueden llevarnos a conocer la identidad real del criminal.

Lo creas o no, las matemáticas son importantes. Aunque hayamos maldecido a nuestros profesores cuando éramos niños, el comportamiento humano es bastante predecible y las matemáticas nos ayudan con estas predicciones: al menos nuestro comportamiento, el de los seres humanos, puede describirse mediante las matemáticas. La buena noticia es que las matemáticas también se pueden utilizar en el caso de los cibercriminales.

Los hackers, y otros criminales que utilizan Internet para “trabajar” (como los traficantes de armas o de drogas), trabajan duro para permanecer en el anonimato: utilizan Tor para conectarse a la red, cambian sus handles (alias utilizados en los foros del submundo cibernético) y usan herramientas especiales para mantener el anonimato.

Sin embargo, los cibercriminales son seres humanos y, como tales, están limitados por sus hábitos sociales y su entorno. Celebran el Año Nuevo, duermen por la noche y van al trabajo. Además, no pueden postear desde varias cuentas simultáneamente. En teoría, se podría crear un bot que publique algo a la vez que lo hace el hacker, pero esta es otra historia.

Toda actividad online crea unos datos, y cuando se tienen suficientes datos para analizar, es más sencillo atrapar a un criminal. Muchas compañías de análisis llevan a cabo investigaciones forenses para los organismos policiales. Una de estas empresas es Recorded Future. En el Security Analyst Summit 2016, el director ejecutivo de la compañía, Christopher Ahlberg, contó cómo utilizaban las matemáticas para atrapar a los cibercriminales.

La compañía automatizó el proceso de almacenamiento de información para recopilar datos de los 500 foros más conocidos entre los cibercriminales. Estos datos se han ido recopilando durante más de cuatro años y en siete idiomas diferentes, y con ello, Recorded Future ha descubierto varios datos de interés.

Curiosamente, al parecer, los cibercriminales no suelen reutilizar los handles. Recorded Future registró más de 742.000 alias, de los cuales, el 98,8 % eran únicos. Sin embargo, los análisis pueden detectar, qué apodos utiliza un mismo criminal. Es muy sencillo cambiar de handle, pero cambiar el comportamiento es mucho más difícil.

Analizando los horarios de actividad y los patrones de voz, se pueden encontrar ciertas conexiones entre las diferentes cuentas que, en un principio, no tienen relación alguna. Lo que más llama la atención son los horarios de actividad en la red. Si hay varias cuentas diferentes que se conectan a Internet una seguida de la otra, como vagones de tren, lo más probable es que pertenezcan a la misma persona.

Como se puede ver en la imagen que aparece arriba, en cuanto se desconecta el usuario “Hassan20”, el usuario “Crisis” inicia su sesión. Es muy probable que estas cuentas pertenezcan a la misma persona. También se puede usar este método para identificar a los miembros de una banda, ya que, se conectarán al mismo tiempo durante un período determinado para coordinar sus acciones.

Si los miembros de un grupo están conectados a la red durante todo el día, lo más probable es que vivan en diferentes zonas horarias o estén intentando crear esa impresión.

Al analizar los días libres y de los hackers y sus períodos con mayor carga de trabajo, se puede averiguar su nacionalidad. Por ejemplo, lo más probable es que los criminales de países islámicos estén activos durante el Ramadán. Si no eres religioso, no tendrás mucho que hacer aparte de “trabajar” durante estos días, ¿no? Además, también están muy activos durante la celebración del aniversario de la Revolución Islámica. En el caso de los hackers rusos, trabajan mucho más durante la última semana de diciembre. Esto es muy interesante, ya que todo el mundo celebra el Año Nuevo, incluso los cibercriminales.

También se pueden distinguir otras características y rasgos más específicos analizando los hábitos que tienen los usuarios en la red “legal”. Los criminales también tienen hobbies, como nosotros. Utilizan las redes sociales, se van de vacaciones, ven películas y leen libros utilizando diferentes servicios web… Al contrario que Tor, estos servicios ofrecen muchas posibilidades para averiguar sus identidades, y, al final, poder arrestarles.

Analizando los horarios de actividad de una página londinense que vende drogas, se puede ver que el usuario “Abraxas” es el administrador de este recurso. Vale, ¿qué pruebas tenemos? Al parecer se ausentó durante dos días, lo que provocó que los traficantes de drogas perdieran dinero. ¿Se fue de vacaciones? ¿O tal vez se puso enfermo? Cuando las agencias forenses tienen suficientes datos de este tipo, es posible encontrar a la persona en la vida real.

Sin embargo, no hace falta conformarse con la observación pasiva. En algunos casos, es mucho mejor hacerles cambiar sus patrones de comportamiento provocándoles para que traicionen sus instintos. Christopher afirma conocer varias investigaciones en las que se han usado estos trucos con buenos resultados, aunque, por seguridad, no puede revelar más detalles. Así que, analizaremos este método utilizando un ejemplo muy conocido.

Los expertos en ciberseguridad son conscientes del siguiente principio: en cuanto un desarrollador lanza un parche, alguien rápidamente crea un exploit utilizando ingeniería inversa. Muchas personas no se instalan las actualizaciones del sistema en el momento en que las lanzan, por lo que se convierten en el blanco fácil de los cibercriminales. Microsoft tenía la costumbre de lanzar sus parches los martes, por lo que apareció el dicho de: “martes de parches, miércoles de exploits“. Este es un claro ejemplo de lo que ya hemos mencionado.

Los parches se han convertido en un arma de doble filo. Por un lado, protegen a las personas; por el otro, literalmente, ofrecen a los hackers la oportunidad perfecta para localizar a los usuarios más descuidados. Además, los martes de parches hacen a los hackers trabajar duro durante los siguientes días de su lanzamiento.

Por lo tanto, Microsoft ha trastocado los planes de los hackers para el segundo y el cuarto miércoles de cada mes. Los especialistas en seguridad pueden hacer lo mismo para hacer que los hackers se delaten mediante campañas elaboradas. Y eso es precisamente lo que hacen.

Consejos