Cazadores de hackers revelan las claves para atrapar a un ciberatacante

Cazadores de hackers. Foto Juan Francisco Lizama.
Una de las estrategias que utilizan los cazadores de hackers son los "honeypot": sitios aparentemente vulnerables, listos para ser atacados. Fotos: Juan Francisco Lizama.

Expertos especialistas del sector cuentan cómo trabajan en detalle los agentes de ciberinteligencia para descubrir vulnerabilidades, identificar a posibles atacantes, cómo actúan y neutralizarlos a tiempo.


La red es como un western moderno: a veces parece ser tierra de nadie, no existen reglas y todo puede suceder. Con tácticas siempre un paso por delante, los ciberdelincuentes viven de las vulneraciones. Todas tienen un propósito, principalmente monetario, en contra de alguna empresa o corporación. Pero también hay quienes, desde las sombras del cibermundo, se dedican a vigilar y están expectantes a que algo suceda. En algunos casos, los criminales dejan huellas y medios de contacto, pero, ¿es posible atraparlos?

Desde que en septiembre pasado se dio a conocer la vulneración al Estado Mayor Conjunto (EMCO), la ciberseguridad de empresas e instituciones ha sido tema de discusión. Lo del EMCO, en particular, fue alertado el año pasado por CronUp, una empresa dedicada a la ciberinteligencia que busca anticiparse a los movimientos de grupos de amenaza digital.

Según comenta Benjamín Mera, cofundador y director de la compañía, en ese momento “de los servidores comprometidos en Chile, 20 fueron reportados directamente al CSIRT, mientras que el resto de organizaciones fueron alertadas de manera directa a través de nuestro servicio de Alerta Temprana de Riesgos”.

Otro de los casos relevantes fue cuando informaron a la Administradora de Fondos de Cesantía que uno de sus proveedores había expuesto el acceso a una base de datos con información sensible de sus afiliados.

En esa ocasión pudieron reaccionar a tiempo, a diferencia de lo que ocurrió con el EMCO. Y si bien las entidades públicas o pertenecientes al Estado debieran estar bien resguardadas, siempre habrá cibercriminales apuntando hacia ellas y que estarán constantemente insistiendo.

Frontis Ministerio de Defensa que se encuentra en la mira de la contingencia  noticiosa frente al hackeo que sufrieron los correos electrónico del Estado Mayor Conjunto (EMCO) de las Fuerzas Armadas del país.
El ataque al EMCO dejó en evidencia el estado de la ciberseguridad en el país. Fue un ejemplo de un ataque "hacktivista", atribuido por el grupo Guacamaya.

El cibercrimen involucra a distintas partes interesadas. Ninguna de las cabezas de una organización actúa sin motivos. Tienen la necesidad de no ser identificados o ubicados, por lo que utilizan criptomonedas o personas no vinculadas entre ellas para realizar sus ataques, y también se aprovechan de ciertas situaciones geográficas o sociales. Por ejemplo: Ucrania llegó a ser conocida como la capital mundial del cibercrimen, pero por ser el país más pobre de Europa y en el que supuestamente gran parte de la población tenía estas habilidades.

Los distintos tipos de ataques

Existen categorías que se deben conocer para saber cómo actuar ante una vulneración. En el escalafón más simple está la ingeniería social, con aquellas estafas más recurrentes que pueden ser realizadas desde cualquier sitio. Sigue siendo muy potente y funciona a todo nivel, operada a veces por delincuentes presos, pero que pueden capturar la mente del afectado. “Es un tipo de baja monta, que roba información de redes, teléfonos, y que luego vende incluso a organizaciones de otro nivel”, acota Benjamín Mera. Estos casos, usualmente son vistos por la PDI en Chile.

En el segundo lugar, están los denominados “Lobos solitarios”, que habitualmente tienen mucho conocimiento técnico y actúan en el anonimato. Tienen baja capacidad operativa y no pueden hacer ataques a gran escala, pero siguen siendo muy peligrosos.

El foco grande, dice Mera, está hoy en los grupos de amenaza más avanzados, entre los que se encuentran los hacktivistas, que es lo que sucedió con el EMCO y otros países. “No están búsqueda de beneficio económico, sino que tienen una causa por detrás o son antisistema”, acota.

El grupo más común es el especializado en el ransomware como servicio —el secuestro de datos— y también personas que se orquestan para cometer delitos. Atacan bancos, instituciones financieras o empresas de gran escala para poder “limpiar los discos”. “Es lo que más pega hoy día en Chile, no se ve que decrezca y cada vez son más personas las que se suman al ‘lado oscuro de la fuerza’”, afirma el experto.

En el último lugar quedan los grupos de Amenaza Persistente Avanzada (APT), que son los más peligrosos y generalmente son patrocinados por Estados. Ahí entran organizaciones como Lazarus Group —que atacó a Banco de Chile hace algunos años—, de Corea del Norte; Red Apollo, de China; el Equation, de Estados Unidos, y Fancy Bear,de Rusia; entre otros.

El camino hacia el culpable

Hay distintas maneras de detectar a estos criminales. Existen medidas que son reactivas y proactivas. Dentro de las segundas está utilizar inteligencia de amenaza: plantan señuelos, llamados “honeypot” —”pote de miel”—, que en el caso de CronUp tienen direcciones IP nacionales e internacionales y que están ubicados en varios puntos del globo. “Son señuelos de sistemas vulnerables, que representan a servicios financieros, retail, e-commerce”, cuenta Mera.

Cuando estos son capturados por los atacantes, no se dan cuenta de que son una carnada. Gracias a ellas los especialistas pueden saber quién está atacando, porque detectan la IP o el tipo de ataque. Con esa información hacen un tracking del origen de la amenaza y pasan a una fase en que intentan infiltrarse en los sistemas de los ciberdelincuentes.

Al acceder a sus operaciones pueden saber qué es lo que está haciendo el grupo criminal, con qué herramienta, hora, qué está planificando y develar su estrategia. “La idea de infiltrarse y pasar desapercibido, dar un seguimiento y saber cuándo cambian de estrategia o de rumbo, para anticipar la jugada: eso no lo hemos visto nunca desde una IP chilena, porque si no le habríamos dado cuenta a la PDI para que le fuera a golpear la puerta a la casa”, plantea el ejecutivo.

Como los ciberdelincuentes están conectados desde distintos lugares del mundo, dice que “es una tarea que al FBI u órganos internacionales aún le es súper difícil”.

De acuerdo con José Gago, experto en Ciberdefensa de CronUp y hacker, la forma reactiva es cuando el incidente ya ha sucedido. Eso en Chile se ha visto en el sector de la banca o con el EMCO. En esos casos se hace análisis forense y se empiezan a encontrar ciertas huellas en los equipos. Así se detectan estos “artefactos forenses”, mientras que los especialistas comienzan a entender por dónde ingresó el atacante, si existe alguna vulnerabilidad o si utilizó otra herramienta o recurso. Ahí surgen las piezas del puzzle para detectar a este ciberdelincuente.

Cazadores de hackers. Foto Juan Francisco Lizama.
Por lo general, quienes realizan intervenciones en dispositivos físicos "ocupan gente necesitada y que esté dispuesta a todo por el dinero", con la que no tienen mayor contacto, explica José Gago.

“Como acá es un asunto económico y buscan dinero, dejan siempre ciertas huellas que delatan o, en el caso del ransomware, el contacto directo con ellos: en ese sentido, es muy fácil llegar a estos actores de amenaza y saber quiénes son”, dice el especialista.

Germán Fernández, director de Inteligencia de amenazas, hacker y cofundador de CronUp, dice que existe tecnología que permite descubrir cuando la infraestructura de alguna empresa o cliente se conecta con la de los “adversarios” y, al acceder a los paneles de administración de los ciberdelincuentes, pueden ver cuántos equipos han infectado, qué países están involucrados, IP y nombre del equipo con los datos de las últimas conexiones, entre otros detalles. “Así los podemos atrapar e identificar todos los elementos que utilizan para generar sus ataques”, comenta.

Todo esto forma parte también de la metodología con la que trabajan y que llaman “Alerta temprana de riesgos”.

¿Es realmente posible atrapar a un ciberdelincuente? Es una tarea larga y difícil, admiten, pero hay muchos casos en que sí.

Sin embargo, se hace complicado cuando hay otras variables involucradas, como el uso las criptomonedas. Con ellas, los ciberatacantes intentan evitar una persecución, aunque hoy día ya es posible realizar un seguimiento a alguna de estas divisas.

Cazadores de hackers. Foto Juan Francisco Lizama.
Al acceder a los paneles de administración de los ciberdelincuentes, los atrapa-hackers pueden ver cuántos equipos han infectado, qué países están involucrados, IP y datos de las últimas conexiones.

El problema, en algunos casos, es que al identificar una IP esta se puede mover en distintos rangos de posicionamiento. Ahí la PDI, con una orden de la Fiscalía, pide información a los proveedores de servicios de internet, y con eso pueden geolocalizar el domicilio y atrapar al delincuente con pruebas o evidencia.

En general, ocupan gente necesitada y que esté dispuesta a todo por el dinero. No hay lazos entre los involucrados. “Se puede instalar un dispositivo en un cajero automático, pero el que pone el dispositivo no conoce al que lo desarrolló, ni al que lo contactó, ni al dueño que descifra esa información y tampoco al que está en Rusia: si encuentran a una de estas personas, no detectan a la fuente principal”, dice José Gago.

Liberar la información

Cuando un cibercriminal quiere cobrar recompensa por los datos secuestrado, se refiere a miles de dólares. Hay empresas que deciden pagar por ello, mientras que otros prefieren “darla por perdida” y reconstruir a través de sus respaldos. Pero hay firmas que deciden hacerles frente también.

Según Germán Fernández, en CronUp han atendido pedidos que van desde diez mil dólares hasta algunos que superan los cien mil dólares. “Es complicado y estresante, sobre todo para quienes están cargando la parte comunicacional con los atacantes, porque todos toman posición en el momento de la batalla. Alguien tiene que comunicarse con los criminales, pero también hablar con los proveedores y clientes, con el CSIRT o la PDI”, comenta. Han tenidos diálogos uno a uno con operadores de ransomware, de malware, hacktivistas y otros.

En los ataques de ransomware, dice Fernández, no se recomienda pagar porque se incentiva el cibercrimen, pero la decisión final está en los ejecutivos. En este año ellos han atendido unos nueve incidentes de este tipo, y siete de ellos han optado por realizar la transacción.

“Son conversaciones que parecen interminables, porque hay diferencias de horarios, nos piden rapidez para responder o hacer la transferencia; hay comprar bitcoins, hacer los envíos de evidencias, pedimos descuentos y otras cosas”, desarrolla el experto.

Cazadores de hackers. Foto Juan Francisco Lizama.
“Es estresante, sobre todo para quienes están cargando la parte comunicacional con los atacantes", dicen los expertos sobre el trato con los ciberdelincuentes.

Hay diálogos que pueden durar días, semanas o cuanto decidan los involucrados, pero siempre teniendo en cuenta que hay una empresa afectada.

¿Cuál ha sido su caso más difícil?

A mediados de este año, una compañía los contactó por un ataque de ransomware. Estaban en una emergencia, no podían operar y tenían todo detenido. Las pérdidas por un día no trabajado eran de miles de dólares y la idea de ellos, comenta Germán Fernández, era pagar a los delincuentes. Pero había otra posibilidad.

Se contactaron con los delincuentes, comenzaron a dialogar y les enviaron archivos encriptados para que se los devolvieran descifrados y comprobaran que eran ellos. Lo hicieron. Entonces, tomaron uno de los equipos de la empresa y dejaron ahí una de las carpetas encriptadas -eran miles de un servidor de respaldos- y se hicieron pasar por empleados. “No sabíamos de tecnología, supuestamente, y cuando nos decían que viéramos tal carpeta y diéramos tal dato, les decíamos que nos ayudaran, así que los aburrimos”, recuerda Fernández.

El delincuente y sus jefes aceptaron la propuesta. Fernández y su gente instalaron un keylogger en el equipo y luego un programa para que el sujeto se conectara remotamente. El atacante ingresó la clave de cifrados, activó el programa para desencriptar información, copió y pegó la contraseña y comenzó el proceso. Funcionó y le dijeron que se desconectara para proceder al pago.

“Fuimos a nuestro programa y habíamos recuperado la clave, así que desconectamos todo, desencriptamos y le dijimos que no les pagaríamos: prometieron volver a hacerlo, muy enojados”, recuerda entre risas.

Comenta

Por favor, inicia sesión en La Tercera para acceder a los comentarios.

Este evento, que reunió en el Teatro Municipal de esa ciudad a expositores de distintas soluciones tecnológicas -entre ellos, Kinesix VR, Zeus y Huawei, partners de Claro empresas- fue también el punto de partida para la nueva Corporación de Innovación y Desarrollo Sostenible de la Ciudad Jardín.