{"id":575,"date":"2013-03-14T19:00:17","date_gmt":"2013-03-14T19:00:17","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=575"},"modified":"2020-02-26T17:10:24","modified_gmt":"2020-02-26T15:10:24","slug":"como-se-realiza-una-investigacion-contra-el-cibercrimen","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/como-se-realiza-una-investigacion-contra-el-cibercrimen\/575\/","title":{"rendered":"\u00bfC\u00f3mo se realiza una investigaci\u00f3n contra el cibercrimen?"},"content":{"rendered":"<p>Cada vez que leemos titulares sobre el arresto o la condena de un cibercriminal, podemos estar seguros de que la mayor parte del trabajo la han hecho los investigadores<a title=\"antimalware\" href=\"https:\/\/www.kaspersky.com\/sp\/\" target=\"_blank\" rel=\"noopener nofollow\"> antimalware<\/a>, desperdigados por todo el mundo.<\/p>\n<p>No importa si se trata de un botnet de spam, del gusano Koobface o el troyano Zeus, las autoridades internacionales piden ayuda a la comunidad de investigadores en seguridad \u2013especialmente a las compa\u00f1\u00edas antimalware- para llevar a cabo investigaciones que proporcionen informaci\u00f3n de confianza que ayude a capturar al criminal.<\/p>\n<p>Jeff Williams sabe lo dif\u00edcil que es identificar un ataque malicioso y realizar una investigaci\u00f3n criminal. Tras servir como responsable de un grupo de programa para MMPC (Microsoft Malware Protection Center) y, despu\u00e9s, trasladarse a Dell SecureWorks, Williams particip\u00f3 en el desmantelamiento de numerosos botnet, incluyendo las operaciones Waledac, Zeus y Kelihos.<\/p>\n<p>En una entrevista, Williams explic\u00f3 que existen diferentes tipos de investigaciones pero casi siempre empiezan en un laboratorio antimalware, ubicado en alg\u00fan lugar del planeta. \u201cA veces, las autoridades son quienes realizan las investigaciones criminales. Otras veces, provienen de la industria de la seguridad TI que empieza a investigar un programa malicioso. Incluso, cuando se trata de una investigaci\u00f3n criminal, las autoridades vienen a nosotros para que les ense\u00f1emos los entresijos del <a title=\"malware\" href=\"https:\/\/www.kaspersky.com\/sp\/\" target=\"_blank\" rel=\"noopener nofollow\">malware.<\/a> En Microsoft, nuestra prioridad es proteger a los usuarios, as\u00ed que tenemos que trabajar duro para comprender la magnitud del problema, el impacto sobre los usuarios de Windows y saber qu\u00e9 podemos hacer para protegerlos\u201d, nos explica Williams.<\/p>\n<p>\u00c9ste es un trabajo complicado. \u201cLos chicos en el laboratorio hacen el trabajo sucio. Comprueban si el malware existe y recopilan muestras para luchar contra \u00e9l\u201d, nos dice Williams. Este trabajo forense incluye complejos algoritmos de cifrado de ingenier\u00eda inversa as\u00ed como desmontar el protocolo de comunicaci\u00f3n que usa el \u00a0malware para comunicarse con los hackers. \u201cQueremos saber c\u00f3mo se controlan los binarios a trav\u00e9s de la infraestructura de comando y control del atacante; d\u00f3nde est\u00e1n los n\u00f3dulos y qu\u00e9 comandos usan. Todo este trabajo se realiza en el laboratorio antimalware. Y es realmente importante\u201d.<\/p>\n<p>Una vez el laboratorio sabe c\u00f3mo funciona el malware, se implementan las contramedidas t\u00e9cnicas \u2013a trav\u00e9s de una actualizaci\u00f3n de la definici\u00f3n del virus o la mejora de las tecnolog\u00edas defensivas. Esto se realiza antes de que las autoridades empiecen con las acciones legales. \u201cA veces, tenemos que ir a un juzgado para obtener el derecho a controlar un botnet, trabajando, mano a mano, con las autoridades para que la operaci\u00f3n sea todo un \u00e9xito\u201d, nos explica Williams.<\/p>\n<p>Costin Raiu, quien gestiona el equipo internacional de Investigaci\u00f3n y An\u00e1lisis de <a title=\"Kaspersky Lab\" href=\"https:\/\/www.kaspersky.com\/sp\/\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Lab<\/a>, tambi\u00e9n opina que este tipo de investigaciones son realmente complejas. \u00a0Su equipo trabaja conjuntamente con Microsoft, CrowdStrike, OpenDNS y otras entidades de la industria de la seguridad inform\u00e1tica para desmantelar operaciones de botnets. Raiu describe esta tarea como un trabajo complicado e intensivo.<\/p>\n<p>\u201cMe gustar\u00eda resaltar que el conocimiento de los investigadores es muy importante y puede ser decisivo a la hora de capturar o no a un cibercriminal\u201d, dice Raiu.<\/p>\n<p>Adem\u00e1s de la ingenier\u00eda inversa y los datos compartidos con las autoridades, los equipos de investigaci\u00f3n trabajan junto a CERT (Equipo de Respuesta ante Emergencias Inform\u00e1ticas) para requisar o desmantelar los servidores hackeados y reunir pruebas e informaci\u00f3n que pueda usarse, posteriormente, en el caso.<\/p>\n<p>\u201cEl cibercrimen es un campo, incre\u00edblemente, complejo, debido a sus m\u00faltiples facetas. \u00c9ste es el motivo por el que se pide ayuda a los investigadores antimalware durante los juicio contra estos cibedelincuentes\u201d, explica Raiu.<\/p>\n<p>Los conocimientos sobre ciberseguridad, de un laboratorio de malware, incluyen inteligencia open-source o OSINT. Esta parte de la investigaci\u00f3n es muy exhaustiva y necesita que se rastree la Red con un cepillo muy fino para encontrar cualquier pista que nos lleve al hacker y a su operaci\u00f3n de malware.<\/p>\n<p>\u201cEn el curso de la investigaci\u00f3n, hay muchas pistas que pueden llevarnos hasta la identidad del cibercriminal. Algunas partes de las muestras de c\u00f3digo incluyen apodos o cierto estilo de programaci\u00f3n. Esta informaci\u00f3n se puede usar como punto de partida para capturar al chico malo\u201d, nos explica Williams.<\/p>\n<p>Los investigadores usan apodos, una pista -procedente de una parte del c\u00f3digo- o un email registrado en un dominio para peinar las comunidades digitales como Facebook, Twitter, YouTube, wikis, blogs o cualquier p\u00e1gina de contenido, donde el delincuente haya dejado o usado dicho apodo o email.<\/p>\n<p>En el caso de Koobface, el equipo de seguridad de Facebook uso la inteligencia open-source junto a la comunidad de investigaci\u00f3n en seguridad y public\u00f3 los nombres, fotos e identidades de la gente que cre\u00edan responsables del ataque en su red. Se proporcion\u00f3 esta informaci\u00f3n a los medios como parte de una operaci\u00f3n para avergonzar a los culpables.<\/p>\n<p>\u201cLa mayor parte del trabajo es t\u00e9cnico para proteger a los usuarios; compartiendo dicha informaci\u00f3n con las autoridades para arrestar a los criminales. Cuando se capturan a los culpables y comienza el proceso judicial contra ellos, la mayor\u00eda de todo el trabajo de investigaci\u00f3n se ha realizado en un laboratorio\u201d, a\u00f1adi\u00f3 Williams.<\/p>\n<p>\u201cLa identificaci\u00f3n y el arresto del atacante no siempre se realiza al comienzo de la operaci\u00f3n. Cuando un laboratorio de malware est\u00e1 protegiendo un ecosistema, los resultados de este trabajo deben pasar a manos de las autoridades para que estos comiencen con las acciones legales\u201d, dijo Williams.<\/p>\n<p>Williams reitera que el trabajo de la comunidad de investigaci\u00f3n debe ser de alto nivel porque la informaci\u00f3n se presentar\u00e1 antes los tribunales.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2013\/03\/05231632\/a2.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-579\" alt=\"a2\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2013\/03\/05231632\/a2.jpg\" width=\"666\" height=\"283\"><\/a><\/p>\n<p>Los investigadores en ciberseguridad, a menudo, se desesperan por la lentidud de los procesos legales; especialmente, cuando los ataques son realmente peligrosos como troyanos bancarios o botnets de fraude financiero. \u00c9sta fue la raz\u00f3n por la cual Facebook public\u00f3 los detalles de la investigaci\u00f3n Koobface antes que las autoridades. No obstante, Williams afirma que la situaci\u00f3n est\u00e1n mejorando.<\/p>\n<p>\u201cEs necesario mejorar la coordinaci\u00f3n de las legislaciones internacionales. Los criminales son conscientes de que las leyes no son lo suficientemente duras y conocen los resquicios legales para cometer sus cibercr\u00edmenes. Sin embargo, creo que las autoridades est\u00e1n trabajando fuerte para impulsar y agilizar los casos. En mucha ocasiones, los ciberdelicuentes son condenados por cr\u00edmenes que no tienen que ve con el mundo cibern\u00e9tico\u201d, a\u00f1adi\u00f3; citando el caso Zotob en el que se procesaron a los cibercriminales por blanqueo de dinero, evasi\u00f3n de impuestos y fraude financiero.<\/p>\n<p>\u201c\u00c9sta es la evoluci\u00f3n natural a la hora de desmantelar e identificar a los resposanbles del crimen cibern\u00e9tico. Si no se desmantela los cr\u00edmenes, los delincuentes ganan dinero que invierten en otros ataques. Creo que hemos llegado, finalmente, al punto donde existe una buena colaboraci\u00f3n, relaci\u00f3n, tecnolog\u00eda y cooperaci\u00f3n entre las autoridades para que se produzca un cambio\u201d, a\u00f1adi\u00f3 Williams.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cada vez que leemos titulares sobre el arresto o la condena de un cibercriminal, podemos estar seguros de que la mayor parte del trabajo la han hecho los investigadores antimalware,<\/p>\n","protected":false},"author":32,"featured_media":578,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[192,40,22,183],"class_list":{"0":"post-575","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-botnet","9":"tag-cibercrimen","10":"tag-malware-2","11":"tag-seguridad-informatica"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/como-se-realiza-una-investigacion-contra-el-cibercrimen\/575\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/botnet\/","name":"botnet"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/575","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=575"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/575\/revisions"}],"predecessor-version":[{"id":21262,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/575\/revisions\/21262"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/578"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=575"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=575"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=575"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}