Locked Investigación de un delito cibernético - Atrapando a los malos

[dEEpEst]

La investigación de un delito cibernético puede ser un proceso complejo y detallado. En general, estos son los pasos que un experto investigador de ciberseguridad podría seguir. Esta guía tiene como objetivo ser un ejemplo simplificado y no exhaustivo de una investigación de este tipo.

 

Paso 1: Identificación

Antes de que se pueda llevar a cabo cualquier tipo de investigación, se debe identificar que se ha cometido un delito cibernético. Esto puede suceder de muchas formas: a través de la detección de actividad sospechosa, a través de informes de una víctima de un delito, o a través de informes de terceros.

 

Herramienta: Software de detección de intrusiones (IDS)

 

Paso 2: Preservación de la evidencia

Una vez que se ha identificado un delito, es importante preservar la evidencia lo más rápido posible. Esto puede implicar la creación de imágenes forenses de los sistemas afectados y la recolección de registros de eventos, archivos de registro, entre otros.

 

Herramienta: Software de forense digital como FTK Imager, EnCase, o Autopsy

 

Paso 3: Análisis de la evidencia

Después de preservar la evidencia, se debe analizar para entender lo que ha ocurrido. Esto puede implicar el análisis de la actividad de red, la revisión de los registros del sistema, el análisis del malware y más.

 

Herramienta: Wireshark, Volatility, VirusTotal

 

Paso 4: Rastreo

Una vez que se ha analizado la evidencia, se puede intentar rastrear a los responsables. Esto puede implicar el rastreo de las direcciones IP, el análisis de los métodos y técnicas utilizados, y el trabajo con otras agencias y organizaciones.

 

Herramienta: Maltego, WHOIS, Shodan

 

Paso 5: Remediación y recuperación

Una vez que se ha llevado a cabo la investigación, es importante remediar cualquier daño causado por el delito cibernético y recuperar los sistemas afectados. Esto puede implicar la eliminación del malware, la reparación de los sistemas dañados y la implementación de medidas para prevenir futuros delitos.

 

Herramienta: Antivirus, software de reparación de sistemas

 

Paso 6: Presentación de informes y enjuiciamiento

Después de que se ha completado la investigación, se presenta un informe y se procede a llevar a cabo el enjuiciamiento de los responsables, si se han identificado y se puede llevar a cabo.

 

Herramienta: Herramientas de redacción y presentación de informes, software legal

 

Cabe destacar que cada paso requiere un conocimiento profundo y específico, y a menudo se necesitarán muchos recursos para llevar a cabo una investigación de este tipo. Este proceso es simplificado y cada caso puede requerir pasos adicionales o diferentes según la naturaleza y la gravedad del delito. Es esencial trabajar con equipos legales y de privacidad para garantizar el cumplimiento de todas las leyes y regulaciones aplicables.

 

Ahora bien, supongamos que el ciberdelincuente uso una VPN para cometer el delito.

El uso de una Red Privada Virtual (VPN) por parte de un delincuente cibernético puede dificultar el rastreo de su actividad en línea, ya que una VPN puede ocultar su dirección IP real y hacer que parezca que su tráfico de Internet proviene de un lugar diferente. No obstante, hay formas de continuar la investigación:

 

1. Análisis de los registros del servidor VPN: Algunos proveedores de VPN mantienen registros de actividad del usuario (a pesar de que muchos prometen no hacerlo). En ciertos casos, y a menudo con la cooperación de las autoridades legales, estos registros pueden ser obtenidos y utilizados para rastrear a los delincuentes cibernéticos.

 

2. Correlación de Tiempos: Si bien el origen de la IP puede estar oscurecido, el tiempo de la actividad puede proporcionar pistas valiosas. Si se puede establecer un patrón en el tiempo de las actividades delictivas, podría ayudar a identificar al delincuente.

 

3. Estudio de los metadatos: Los metadatos de las sesiones de conexión pueden proporcionar información valiosa. Esto puede incluir tiempos de conexión, duración de las sesiones, tipos de protocolos y otros patrones de comportamiento.

 

4. Análisis de comportamiento y tácticas, técnicas y procedimientos (TTPs): El análisis de las tácticas, técnicas y procedimientos utilizados por los ciberdelincuentes puede proporcionar información sobre sus habilidades, sus motivaciones y posiblemente su identidad.

 

5. Cooperación internacional: La cooperación entre agencias y países puede ser clave para rastrear a los delincuentes cibernéticos que utilizan VPNs. A menudo, los delitos cibernéticos son de naturaleza transnacional, por lo que la cooperación internacional es fundamental.

 

Es importante destacar que todas estas acciones deben ser llevadas a cabo de acuerdo con la legislación y las regulaciones locales e internacionales para asegurar el respeto de los derechos humanos y las libertades civiles. El uso indebido de estas técnicas puede dar lugar a violaciones de la privacidad y a la inadmisibilidad de las pruebas en un juicio.

 

Ahora supongamos que el ciberdelincuente uso la red TOR para cometer el delito.

The Onion Router, conocido como TOR, es una red que cifra y redirige el tráfico de Internet a través de una serie de relés en todo el mundo, lo que dificulta enormemente la capacidad para rastrear la actividad de Internet de un usuario. Aunque esta característica hace de TOR una herramienta útil para proteger la privacidad y la libertad de expresión, también puede ser explotada por delincuentes cibernéticos para ocultar su actividad.

 

Si un delincuente cibernético está utilizando TOR, existen algunas estrategias que podrían usarse para intentar rastrear su actividad, aunque todas ellas son complejas y ninguna es segura. Aquí hay algunas posibilidades:

 

1. Análisis de tráfico de red: Aunque TOR cifra el tráfico y lo redirige a través de varios relés, todavía puede ser posible analizar patrones de tráfico para identificar actividades sospechosas.

 

2. Explotación de vulnerabilidades: De vez en cuando se descubren vulnerabilidades en la red TOR que pueden ser explotadas para rastrear a los usuarios. Sin embargo, estas son escasas y usualmente son parcheadas rápidamente una vez descubiertas.

 

3. Instalación de nodos de salida maliciosos: Algunos investigadores y fuerzas del orden han utilizado nodos de salida maliciosos para rastrear a los delincuentes cibernéticos. Sin embargo, esta técnica es controvertida, ya que puede violar la privacidad de los usuarios legítimos de TOR y está lejos de garantizar el éxito en la identificación del delincuente.

 

4. Análisis forense del dispositivo del sospechoso: Si se tiene acceso físico a un dispositivo sospechoso, se podría llevar a cabo un análisis forense del dispositivo para buscar rastros de actividad en TOR.

 

5. Uso de tácticas de investigación tradicionales: A pesar de la sofisticación de TOR, los delincuentes cibernéticos a veces pueden ser rastreados utilizando tácticas de investigación más tradicionales. Por ejemplo, pueden dejar pistas en los foros en línea que usan, o pueden ser descubiertos a través de infiltraciones encubiertas o informantes.

 

Es importante recordar que cualquier intento de rastrear a un delincuente cibernético a través de TOR debe hacerse de acuerdo con la ley. Algunas de las técnicas descritas anteriormente pueden no ser legales o éticas en determinadas jurisdicciones o circunstancias.

 

Vamos a seguir suponiendo que localizamos al presunto ciberdelincuente pero su disco duro está cifrado y sin pruebas no tenemos delito.

 

La criptografía es una técnica muy efectiva para proteger la información, por lo que enfrentarse a un disco duro cifrado puede ser un gran desafío en una investigación forense. Aquí hay algunas estrategias que se pueden usar, aunque ninguna garantiza el éxito:

1. Ataque de fuerza bruta: Este método implica adivinar la contraseña utilizando todas las combinaciones posibles. Sin embargo, esto puede ser extremadamente lento y, en la práctica, a menudo es ineficaz contra contraseñas fuertes debido a la cantidad masiva de tiempo y recursos de cómputo requeridos.

2. Ataque de diccionario: Un ataque de diccionario es similar a un ataque de fuerza bruta, pero en lugar de probar todas las combinaciones posibles, se prueban contraseñas comunes o predecibles basadas en un 'diccionario' de posibilidades. Esto puede ser más rápido que un ataque de fuerza bruta, pero sigue siendo ineficaz si la contraseña es lo suficientemente fuerte.

Herramientas: John the Ripper, Hashcat

3. Recuperación de la clave de cifrado: En algunos casos, la clave de cifrado puede estar almacenada en algún lugar del sistema del sospechoso, especialmente si el sospechoso ha sido descuidado en su seguridad. Un análisis detallado de los archivos y los sistemas puede revelar la clave.

4. Análisis de la memoria RAM: Si el disco duro cifrado fue accedido recientemente, la clave de cifrado podría estar en la memoria RAM del sistema. Con las herramientas adecuadas, es posible volcar el contenido de la RAM y buscar la clave.

Herramientas: Volatility, Magnet RAM Capture

5. Técnicas de ingeniería social o legal: Dependiendo de las leyes locales, puede ser posible solicitar o exigir la contraseña del sospechoso. Sin embargo, esto puede ser legalmente complicado y no siempre es efectivo, ya que los sospechosos pueden negarse o simplemente afirmar que han olvidado la contraseña.

Es importante recordar que cualquier intento de descifrar un disco duro cifrado debe realizarse de acuerdo con la ley. Algunas de las técnicas descritas anteriormente pueden no ser legales o éticas en determinadas jurisdicciones o circunstancias.

 

Ahora en este punto nos ponemos serios y ponemos todas las medidas de seguridad que recomendamos en LvL23HT que puedes ver aquí: 

 

Estas medidas de seguridad tomadas por el ciberdelincuente son extremadamente rigurosas, lo que hace que el rastreo sea excepcionalmente difícil. Las técnicas tradicionales de rastreo de IP y análisis de hardware probablemente no serán efectivas en este caso. Sin embargo, hay algunos enfoques posibles, aunque cada uno de ellos presenta desafíos significativos:

 

1. Análisis de comportamiento: Aunque el delincuente haya tomado medidas para proteger su identidad, es posible que haya dejado rastros de su comportamiento o de sus tácticas, técnicas y procedimientos (TTP). Esto podría proporcionar pistas sobre su identidad, aunque sería difícil de rastrear de manera definitiva.

 

2. Investigación de la venta de la computadora: Si la computadora fue comprada a una tercera persona, es posible que se pueda rastrear esa transacción. Esto podría implicar la investigación de los registros de ventas en línea, la entrevista a la persona que vendió la computadora o la búsqueda de otros rastros de la transacción.

 

3. Rastreo físico: Si el delincuente utilizó una red pública para realizar sus actividades, podría haber cámaras de seguridad u otras formas de vigilancia física que podrían proporcionar pistas. Sin embargo, esto requeriría un alto grado de cooperación de la entidad que posee la red pública y podría plantear cuestiones de privacidad.

 

4. Cooperación internacional: Dado que el delincuente utilizó tanto una VPN como TOR, es posible que se requiera la cooperación de múltiples jurisdicciones para rastrear su actividad. Esto podría implicar el trabajo con agencias de aplicación de la ley y proveedores de servicios de Internet de todo el mundo.

 

5. Atrapar al delincuente en el acto: En algunos casos, la única manera de atrapar a un delincuente cibernético con este nivel de protección puede ser atraparlo en el acto. Esto podría implicar la monitorización de su actividad y la configuración de trampas o señuelos para tratar de atraerlo.

 

No obstante, debe destacarse que la probabilidad de rastrear con éxito a un ciberdelincuente que toma tales medidas de seguridad es baja. Además, todas estas técnicas deben emplearse en conformidad con las leyes y regulaciones locales e internacionales.

 

En conclusión, el grado de éxito del investigador de seguridad depende de las medidas de seguridad que tome el ciberdelincuente y de la cooperación de las empresas de ISP , VPN etc.. . Con unas medidas extremas de seguridad se convierte muy difícil identificar al ciberdelincuente pero no imposible.

View full article