Taller-Cibercrimen-destacado

LOGO SEGUNDO TALLERDías profusos, llenos de información, especial para paranoicos. Mucha data técnica, muchos personajes de acá y de allá, muchos muy importantes. Traigan más expositores extranjeros y más periodistas, podría ser la moraleja de un taller muy cargado pero imperdible. Acá contamos la tercera y última parte… y hasta la próxima.

Después del almuerzo, llegó el momento en que los periodistas especializados Andrea Catalano, Sebastián Davidosky y Julio López fueron invitados a debatir sobre Comunicar para prevenir – el rol de los medios en la concientización, con la presencia como moderador de Pedro Janices por el Ministerio de Seguridad. En esta reunión el contenido fue muy intenso y de particular valor para los asistentes. Un resumen muy apretado, y sin colocar al autor de cada frase, porque en varios casos coincidieron, es el siguiente:

  • recabar información por un incidente, consultando al sector público, suele ser una experiencia frustrante.
  • algunas veces, si hay un interlocutor válido dentro de una institución pública, éste privilegia dialogar con un representante de un medio “grande” (léase masivo) antes que un medio de segunda lectura (léase especializado), con la esperanza (a veces equivocada) de alcanzar más difusión.
  • desde el punto de vista tecnológico, se debe considerar la forma en que redes sociales como Facebook utilizan la información de las personas; debe haber controles transnacionales y esfuerzos gubernamentales para imponer regulaciones a esas empresas.
  • el esfuerzo de las fuerzas de seguridad por controlar el delito informático es insuficiente, sobre todo a partir de la aparición de medios de pago como las criptomonedas. 
  • al comunicar a la prensa datos sobre un incidente, se debe tomar en cuenta el perfil del atacante a fin de no provocar una reacción adversa del mismo. Ocultar o minimizar el daño puede ser contraproducente.
  • imitando un comportamiento conocido de muchas grandes empresas extranjeras de tecnología, convendría que en los websites de las fuerzas hubiese un link para que quien descubra una vulnerabilidad pueda informarlo.
  • la falta de información sobre temas de ciberdelito que se observa en diferentes grupos de adultos es similar, sean psicólogos que descreen de la existencia de grooming en las redes sociales, o personas que dejan muchos datos personales en esas redes. 
  • el periodista tiene como misión contar historias, y necesita tener fuentes oficiales que permitan explicar qué sucedió, cómo y porqué. El relato podría tener una función educativa, pero es función de los poderes del estado hacer campañas de educación sobre estos temas, comprometiendo el presupuesto necesario.
  • el periodista está obligado a preservar la fuente; por ello, debe existir un referente que provea información oficial en caso de un incidente, a fin de que el periodista no se vea obligado a emplear frases elusivas o relatar solo una parte de un suceso; y las entidades oficiales deben estar preparadas para aceptar las críticas cuando se pregunte qué medidas se tomaron para una mitigación de daños.
  • se pueden generar artículos de prevención o concientización a partir de la descripción y análisis de incidentes reales; convendría que las fuerzas de seguridad tengan para esta función personal propio, capacitado para exponer pedagógicamente y generar empatía.
Andrea Catalano habla mientras Sebastián Davidosky y Julio López (izq. a der.) escuchan atentamente
Andrea Catalano habla mientras Sebastián Davidosky y Julio López (izq. a der.) escuchan atentamente (Foto gentileza Ciberdelito del Ministerio de Seguridad)

Tras el panel de periodistas subió al estrado un representante de Interpol, el oficial de inteligencia en ciberdelincuencia José María Gonzalez Fraile, perteneciente a la dirección de formación y desarrollo de esa organización. Presentó el Proyecto Ciber Americas II, financiado por el gobierno de Canadá y que provee capacitación a personal policial de 35 países del continente (Latinoamérica y el Caribe). Este entrenamiento provee conocimientos actualizados sobre la investigación del ciberdelito. Incluyen la detección del uso de criptomonedas en transacciones ilegales, identificación y seguimiento del uso de monederos de estos valores (e-wallet) y obtención de pruebas en la dark web y su presentación a autoridades judiciales. La capacitación provista por Interpol también contiene técnicas de análisis forense digital y revisa nuevas tecnologías, enfrentando (por ejemplo) el análisis forense de drones, dado que “se sabe que en oriente están estudiando cómo hacer ataques con drones” (si no escuché mal). Nota de la redacción: el ataque con drones a las refinerías de Arabia Saudita fue en la noche del viernes 13 al sábado 14 (hora local); la conferencia fue en Buenos Aires el día 11.

Además de la iniciativa Cybercrime Capacity Building Project in the Americas, nombre en inglés de ese proyecto, el expositor comentó los contenidos de los proyectos GLACY+ y ACCDP. La sigla del primero responde a Global Action on Cybercrime Extended, es una acción conjunta de la Unión Europea y el Consejo de Europa para fortalecer la capacidad informática, en doce países de África, Asia oriental, Latinoamérica y el Caribe; Interpol provee asesoramiento en los aspectos relacionados con las fuerzas policiales. El ACCDP es el ASEAN Cyber Capacity Development Project, donde ASEAN son los países de la Association of Southeast Asian Nations: Brunei, Camboya, Indonesia, Laos, Malasia, Myanmar, Filipinas, Singapur, Tailandia y Vietnam. En 2018 se realizó un taller donde se agregaron participantes de doce países sudamericanos, africanos y asiáticos, y se agregaron ejercicios con herramientas de análisis de datos como Maltego. Y dado que Interpol tiene un convenio con Cellebrite, es posible que también hayan practicado con un UFED. El presentador completó la descripción de cursos y entrenamientos, agregó comentarios sobre la técnica del chip off en investigación de teléfonos celulares y dio paso a un descanso para café.

Tiempo para un capítulo policial

Continuando con el tema de la actividad forense, el programa anunciaba una presentación sobre Recuperación de evidencia digital, subsiguiente a un Incidente Crítico (ataque terrorista) a cargo de un Special Agent miembro de la agencia estatal estadounidense Homeland Security Investigations: Ed Bradstreet. El incidente al que se aludía era el ataque con explosivos durante la Maratón de Boston, en la tarde del lunes 15 de abril de 2013, donde fallecieron tres personas y resultaron heridas más de 260. En esa ocasión Bradstreet se desempeñó como supervisor y coordinador, trabajando con los oficiales y forenses de la policía del estado de Massachusetts, del FBI y de la policía de la ciudad de Boston. Su actividad tuvo dos instancias: la obtención, preservación y posterior distribución de evidencia digital (video) que mostrara al público asistente y el estallido de las dos bombas, y su asistencia y apoyo en un posterior tiroteo, en ocasión de un robo de automóvil y secuestro de un conductor, perpetrado por uno de los terroristas que fue capturado por la policía. 

En su detallado relato se pudieron seguir los esfuerzos de los investigadores para identificar, perseguir y capturar a los autores del atentado. Recolección de evidencia: se centró inicialmente en los restos de explosivos y las declaraciones de testigos. Se obtuvieron descripciones de sospechosos, y el equipo de Bradstreet se dedicó a copiar los discos duros, o en algunos casos retirar los equipos de grabación, que estaban conectados a cámaras de seguridad, en una amplia zona, a fin de obtener material para análisis posterior. También se solicitó al público que enviasen fotos o videos tomados con cámaras o los celulares. El material obtenido se despachaba cada día a una oficina de análisis en otra ciudad (Nueva Jersey) por medio de un helicóptero. Esa evidencia fue revisada por personal especializado en técnicas de detección de lenguaje corporal, se comparó con las descripciones de testigos, y finalmente tres días después el FBI difundió un segmento de video de vigilancia, transmitido en seguida por TV de aire y cable, y publicado el día 18 por la prensa de todo el país, donde se ve a dos sospechosos cargando mochilas en las cuales probablemente estaban las bombas. Esa misma noche un policía es herido en un intento de robarle el arma, identifica a los atacantes como los sospechosos buscados y media hora después el conductor de una camioneta es asaltado. Los terroristas huyen llevando al conductor como rehén. El conductor logra escapar, y su celular queda en su camioneta. Se inicia un rastreo de la señal. Una hora después, ya en la madrugada siguiente, un cerco policial, en el que interviene Bradstreet, intenta detenerlos. La policía dispara, los delincuentes responden con explosivos improvisados, muere uno de ellos y el otro escapa en su auto, que abandonará después. Al día siguiente, un vecino ve a una persona escondida en un patio trasero. Avisa a la policía. Desde un helicóptero se hace una lectura por detector térmico e informan que hay alguien oculto. El terrorista herido es detenido.

De acuerdo a la presentación, el subsiguiente análisis de lecciones aprendidas indicó que en casos similares será necesario modificar algunos protocolos de acción, sobre todo en el caso de coordinación de personal de diferentes fuerzas, y que no fue conveniente que las imágenes se analizaran en un sitio geográficamente diferente del lugar de comando y control.

 

El Servicio Secreto para terminar

La última presentación programada estuvo a cargo de Robert Holman, perteneciente al Servicio Secreto de los Estados Unidos, oficial residente en Brasil, y tenía como título Partnerships! The Gateway to Successful Cybercrime to Investigations. Inició su exposición reseñando la historia del Servicio Secreto, cuando el Departamento del Tesoro de Estados Unidos debe enfrentar, en 1865, la extensa falsificación de dinero existente en ese país, que era un tercio del circulante. A esa tarea se agrega la protección del presidente del país, luego del asesinato del presidente McKinley en 1901. Años después, esa protección se extendió al vicepresidente y familiares directos de ambos. Durante el siglo XX se formalizan las dos áreas de acción del Servicio: proteger e investigar. La protección involucra al presidente y vicepresidente del país y a los expresidentes, incluyendo a sus familiares directos, y a los jefes de estado que estén en territorio estadounidense. La actividad de investigación es muy amplia, ya que tiene jurisdicción sobre el sistema financiero del país, incluyendo falsificaciones de dinero estadounidense, fraudes bancarios y financieros, varias áreas de ciberdelito como intrusiones en redes informáticas, robo de identidad, fraude con tarjetas de crédito o delitos de propiedad intelectual. Como integrante de grupos de trabajo con otras fuerzas, interviene en casos de terrorismo nacional e internacional, amenazas a la infraestructura crítica, tráfico de droga o algunos delitos cuyas víctimas son niños. A partir de 2003 el Servicio Secreto pasa a depender del Department of Homeland Security. En la actualidad tiene 136 oficinas dentro de EEUU y otras distribuidas por Europa, Asia, África y América del Sur. También se mencionaron varios parámetros que se contemplan en las investigaciones, como el estudio de las formas en que los delincuentes consiguen dinero para financiar subsiguientes actividades delictivas, y se indicó que entre los pilares del funcionamiento de la organización están la preparación, el estudio y la capacitación. El oficial Holman también describió algunas investigaciones en las cuales el delito no reconoció fronteras, como los deep web markets donde se pueden comprar drogas, como en el caso de Silk Road, o un cliente podría pagar por un asesinato. Finalmente ofreció su colaboración para ayudar en investigaciones en las cuales se tenga que solicitar información a una entidad o empresa estadounidense, opinando que podría dar sugerencias sobre cómo enfocar la consulta, resumiendo con un “ellos no le contestarán a esto, pero sí responderán a aquello…” 

El cierre de la jornada, y de este segundo taller, estuvo a cargo del secretario de seguridad del ministerio de seguridad, Eugenio Burzaco, quien (entre otros conceptos) mencionó la necesidad de adoptar y mantener buenos prácticas, o la importancia de capacitarse en la lucha contra el ciberdelito para, por ejemplo, proteger a las personas sometidas a esclavitud sexual a través de la Internet, y felicitó a los organizadores del evento. 

La conclusión más breve: este segundo taller fue un paso valioso en la capacitación de muchos de los asistentes. Y el esfuerzo de conseguir disertantes de otros países que comenten técnicas, procedimientos y estrategias es parte de un enfoque válido y útil. Así como la presencia de periodistas que puedan ofrecer un panorama ajustado a la realidad, sobre qué espera, qué necesita y qué demanda la opinión pública, a sus fuerzas de seguridad.

En otras palabras, como moraleja: traigan más expositores extranjeros y trabajen más con el periodismo. Información, capacitación, entrenamiento y comunicación son las claves.

Robert Holman describió algunas investigaciones en las cuales el delito no reconoció fronteras, como los deep web markets donde se pueden comprar drogas o un cliente podría pagar por un asesinato.
Robert Holman describió algunas investigaciones en las cuales el delito no reconoció fronteras, como los deep web markets donde se pueden comprar drogas o un cliente podría pagar por un asesinato (Foto gentileza Ciberdelito del Ministerio de Seguridad)

Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291

Por Rubén Borlenghi, el Microsaurio

Docente y periodista. Investiga ataques informáticos desde que un virus le comió una nota hace 25 años. Los verdaderos hackers le cuentan cosas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.