Investigación en línea

La exposición de Andrew Bonillo en el marco del Taller de
cybercrime de la OEA  fue realmente interesante. A continuación brindo un resumen de sus principales ideas.

Las prácticas que se realizan en la calle no son diferentes
de las cibernéticas. Hay que saber quien es el “malo” y como piensa. Hay que entender quienes son las personas que cometen delitos, algunas motivadas por fines económicos, como el hacking, robo de propiedad intelectual, los que hacen
espionaje para violar la propiedad intelectual.

¿Hay tipificado en su país algún delitos de conspiración? Es
muy importante saber aplicar los elementos de la conspiración y cómo identificar la identidad electrónica con el mundo real. Los malos son desprolijos y haraganes y no se preocupan demasiado por sus seudónimos, por ejemplo. Nosotros también utilizamos seudónimos vinculados con nuestra vida
real. El ciberdelito es como una maratón, es la reunión de todas las herramientas digitales pero durante un período determinado.

¿Qué tipo de datos roban? Esto es importante porque cambian
todos los años. Hay que tener en cuenta que las actividades de inteligencia impulsan las operaciones y las operaciones impulsan la inteligencia.

Un documento interesante para leer es el 2012 Data Breach
Investigations Report.

Hay que tener en cuenta que el software malo no es
sofisticado. Pero las empresas víctimas solo detectan el 8 % de las brechas. La policía notifica más del 80 % de las brechas. Por tanto, es muy importante, cuanta mayor cantidad de datos tengamos del “malo”, mejor.

La mejor información es la que nos permite arrestar al
delincuente. La información que se analiza es enorme, porque esta gente no confía en nadie y es difícil de penetrar, pero hay que tener presente que toda la información está allí. El tema es si tenemos el tiempo y los recursos. La policía de España arrestó un criminal con una bitácora en 2006, pero en 1007 y
1008 los chat han sido elementos muy importantes. Hay que utilizar a los expertos forenses para utilizar los datos que se tienen en las bases de datos.
Y es importante compartir información entre los Estados. Por ejemplo, yo puedo compartir información en una cena, no la podrá utilizar en juicio pero la tiene para la investigación. También aquí, como los malos, el compartir información
se basa en la confianza.

El criminal motivado financieramente requiere información de
tarjetas de crédito, tenemos una especie de pirámide, con 500 arriba que impulsan el cibercrimen. Ninguna de estas personas está en línea ya, ¿cómo se llega a ellas? Uno de los elementos es que esas personas han sido arrestadas anteriormente, o tienen novias que ya no los quieren, o tienen cuentas
bancarias que les permite manejar grandes cantidades de dinero y poder moverlo de una cuenta a otra.

Por ejemplo, en cada eslabón de la cadena de una compra en
línea hay un riesgo.  Y es muy valioso el nombre en línea, porque cuando hace transacciones va ganando confianza de los
demás, por eso no lo van a cambiar.

¿Qué hacen las activistas como Anonymus ahora? Hay que
comprender su motivación. Ellos quieren desacreditar la seguridad, no importa que datos roban. Quieren dar el mensaje de que son fuertes y los Estados débiles. Pero para ello necesitan salir a decirlo. Hay 25 miembros de Anonymus
arrestados en Londres porque salen y dicen: son yo. Esto no sucede con los delitos económicos.

El 85 % de los casos desde el momento que roban es cuestión
de minutos. Desde que ocurrió hasta que se descubrió, normalmente es cuestión de meses y luego, hasta que de descubre son semanas o meses, también.

El 50 % de las víctimas son notificadas por las autoridades.
Un 21 % es notificado por los propios perpetradores. Las compañías tal vez no están dispuestas a contratar a un experto. Para las empresas es una crisis seria, hay que notificar a la prensa y la desconfianza es muy alta. Los privados solo lo van a llamar si es capaz de agregarle valor. El papel de las
autoridades es tremenda, pero la comunidad no se da cuenta. Tienen que hacer que se dé cuenta.

Hay herramientas que detectan los incidentes. Pero no
detectan las cosas que los “malos” están buscando, los antivirus por ejemplo, vemos que hay cosas que no están cubiertas. Hay que tener en cuenta que todos los criminales cometen errores en las primeras etapas de sus carreras.

Para trabajar encubierto en el mundo real hay que crear una
nueva identidad, vamos a tener que ver al criminal cara a cara, necesitaremos nuevos documentos por ejemplo. Es igual para los agentes encubiertos en línea, no pueden hacer sus actividades desde la seccional policial, no pueden trabajar
desde la misma computadora, tienen que aprender el lenguaje de los criminales.

En www.toddington.com/resources es una dirección que contiene elementos para crear una nueva identidad. Todas
las cosas que hacen en línea tienen que ser reproducidas igual que las que se hacen en la calle. Tienen que tener grabaciones, hay que establecer cuando se realizó la conversación con el malo, porque el fiscal les va a preguntar eso. Hay que tener grabadora o video en forma presencial, es igual en línea. Además de conocer la jerga hay que saber las costumbres, como usan un gorro, que dicen, etc. También tengo que saber que sitios web congregan a los malos, ellos saben que hay policías, por eso tengo que apostar a la comunicación.  Cuando hay traductores hay que estar seguro que los traductores entienden el lenguaje en el contexto que se está utilizando. Hay que contratar a las personas que saben lo que ustedes no saben. Hay que tener en cuenta que los documentos que se generan para el juicio son información pública y esta información es compartida por los delincuentes para
no volver a cometer el mismo error. Ellos construyen su propia infraestructura, tienen todo controlado y dejan entrar solo a algunos, porque los malos tienen que controlar los servidores de otros malos. También tienen sus propias normas
respecto al encriptado de datos.

Otro punto a tener en cuenta es la importancia de conservar
la evidencia digital. Si se hace con orden judicial demora bastante tiempo.  La cooperación es fundamental,
sobre todo por lo que implica el uso de determinadas herramientas. Por ejemplo, en EEUU es difícil pinchar un teléfono, pero en Holanda se puede. Pero los holandeses no pueden trabajar encubiertos en la líneas, mientras que en EEUU sí. Por eso es muy importante tener un grupo de trabajo, porque se dan poder entre ustedes.

Esta entrada fue publicada en Delitos informáticos y etiquetada . Guarda el enlace permanente.