¿Cómo se identifica a los piratas informáticos y se les lleva ante la justicia?

Con la noticia de que los piratas informáticos rusos influyen en las elecciones presidenciales de Estados Unidos, muchos en los medios de comunicación se han preguntado cómo identificamos a los piratas informáticos. Hay varias formas en que los expertos en seguridad cibernética pueden encontrar la fuente detrás de un pirateo.

Direcciones IP

La primera y más obvia forma de rastrear a un pirata informático es con su dirección IP. Ahora, cualquier hacker que se precie usará una dirección IP que carece de información significativa. Trabajarán en Tor, en una VPN o incluso en un espacio público. Pero supongamos que el pirata informático que queremos rastrear es excepcionalmente inexperto o que expuso accidentalmente su dirección IP. Encontrarlos por su IP podría funcionar así:

1. El hacker logra con éxito sus objetivos (cualquiera que sea) pero deja registros que muestran el acceso a la red desde una dirección IP específica.

2. La empresa o el individuo que fue pirateado transmite esos registros a las fuerzas del orden.

3. Los agentes del orden citan al ISP para averiguar quién es el propietario de esa dirección IP o quién la estaba usando en el momento del ataque. Luego, los investigadores pueden asociar esta dirección IP con una ubicación física.

4. Después de obtener una orden judicial, los investigadores viajan a la ubicación física indicada por la dirección IP y comienzan su investigación.

5. Si nuestro hacker era realmente tonto, los investigadores encontrarán pruebas del hackeo en todas partes. Si es así, será un juicio corto antes de que el hacker sea enviado a la cárcel por sus delitos.

Por supuesto, con la mayoría de los piratas informáticos trabajando detrás de proxies, las direcciones IP obtenidas por las fuerzas del orden no las señalarán a ningún lado útil. Eso significa que necesitarán utilizar otras técnicas o esperar a que los piratas informáticos cometan un error.

Siguiendo las migas de pan

Al investigar a un hacker experto, la informática forense se reduce a buscar pequeños errores y pruebas circunstanciales. No tendrá una dirección IP apuntando con una gran flecha roja a la casa de su atacante. En cambio, tendrá un montón de pequeñas migas de pan que pueden ayudarlo a hacer una buena conjetura sobre los posibles perpetradores.

La complejidad de un hackeo podría limitar a los posibles perpetradores a operativos altamente capacitados. Las agencias de inteligencia de EE. UU. Mantienen registros de ataques anteriores y los relacionan con piratas informáticos específicos, incluso si no conocen sus nombres.

Por ejemplo, la policía estadounidense llamó al pirata informático DNC APT 29, o Advanced Persistent Threat 29. Es posible que no sepamos su nombre y dirección, pero aún podemos atribuirle ataques basados ​​en su estilo, modus operandi y paquetes de programas.

El tipo de paquete de software utilizado en el hack podría ofrecer un patrón de “firma”. Por ejemplo, muchos piratas informáticos utilizan paquetes de software altamente personalizados. Algunos incluso se remontan a agencias estatales de inteligencia. En el hack de DNC, los investigadores forenses encontraron que el certificado SSL utilizado en el hackeo era idéntico al utilizado por la inteligencia militar rusa en el hack de 2015 del parlamento alemán.

A veces son las cosas realmente pequeñas. Tal vez sea una frase extraña que se repite en comunicaciones aleatorias y que relaciona el ataque con un individuo en particular. O tal vez sea una pequeña ruta de navegación dejada por su paquete de software.

Esa es una de las formas en que los piratas del DNC se asociaron con Rusia. Los investigadores del exploit notaron  que algunos de los documentos de Word publicados por el hack mostraban revisiones de un usuario con una localización rusa de Word y un nombre de usuario en cirílico. Las herramientas con errores pueden incluso revelar la ubicación de un hacker. La popular utilidad DDoS Low Orbital Ion Cannon alguna vez tuvo un error que revelaría la ubicación del usuario.

El trabajo policial a la antigua también ayuda a encontrar piratas informáticos. El objetivo específico podría ayudar a identificar al perpetrador. Si la aplicación de la ley determina la motivación detrás del ataque, podría ser posible atribuir motivaciones políticas. Si el truco es sospechosamente beneficioso para un grupo o individuo, es obvio dónde buscar. Los piratas informáticos pueden estar canalizando dinero hacia una cuenta bancaria, y eso podría ser rastreable. Y los piratas informáticos no son inmunes a “delatar” unos a otros para salvar su propio pellejo.

Finalmente, a veces los piratas informáticos simplemente te lo dicen. No es raro ver a los piratas informáticos alardear en Twitter o IRC sobre sus recientes hazañas.

Si los investigadores pueden rastrear suficientes rutas de navegación, pueden comenzar a construir una imagen más completa e intentar obtener una dirección IP significativa.

Arresto de hackers

Una cosa es saber el nombre en clave de un hacker, pero otra cosa es tenerlo en tus manos. A menudo, arrestar a un pirata informático se reduce a un pequeño error. El líder de Lulzsec, Sabu, por ejemplo, fue capturado cuando se olvidó de usar Tor para iniciar sesión en IRC. Solo cometió el error una vez, pero fue suficiente para que las agencias que lo vigilaban determinaran su ubicación física real.

Conclusión

Las fuerzas del orden encuentran a los piratas informáticos de una asombrosa variedad de formas. A menudo se reduce a un error pequeño pero crítico cometido por el perpetrador.

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario