LONDRES – Quienes roban bancos y escapan en camionetas con placas falsas usan máscara. Los secuestradores envían cartas con pedidos de rescate hechas con recortes de periódicos para que no puedan descifrar su letra. Los asaltantes de casas buscan los hogares que dejan entreabiertas sus ventanas.
Los cibercriminales hacen algo similar.
Se esconden detrás de programas que encubren su identidad y llevan a los investigadores a buscar en países que están lejos de su verdadera ubicación. Secuestran datos y los mantienen como rehenes. Y se enfocan en las empresas más vulnerables y en personas que tienen protecciones débiles para su información.
Los crímenes informáticos, como el ataque de ransomware que empezó el viernes 12 de mayo y ha afectado a cientos de miles de computadoras en más de 150 países son, en cierto modo, una versión actualizada de los métodos criminales del pasado.
Y en la búsqueda de esos criminales, los investigadores usualmente siguen el mismo procedimiento que los detectives en el mundo físico: acordonan la escena del crimen, recoger evidencia forense e intentan rastrear las pistas para encontrar al culpable.
Sin embargo, pese a las similitudes de los crímenes virtuales con los tradicionales, los ciberataques tienen giros digitales que los vuelven mucho más difíciles de resolver y que pueden amplificar los daños.
El programa malicioso apodado #WannaCry, por ejemplo, ya ha dejado más de 200.000 víctimas en todo el mundo, según una estimación de Europol, la agencia policial de Europa, y han empezado a surgir variantes del programa; por esta razón, los expertos sostienen que los efectos podrían aumentar a medida que más personas usen las computadoras atacadas.
Un crimen tan complejo, grande y global significa que, para ser exitosa, la investigación requerirá de ls colaboración cercana entre agencias internacionales —como el FBI, Scotland Yard y funcionarios de seguridad de China y Rusia— que usualmente son recelosas de compartir información las unas con las otras.
“Con el cibercrimen puedes operar de manera global sin tener que dejar tu casa”, dijo Brian Lord, ex subdirector de inteligencia y operaciones informáticas de Government Communications Headquarters, la agencia de seguridad nacional británica. “Encontrar a quien hizo esto va a ser muy difícil y requerirá de esa cooperación internacional que no se da de manera natural”.
El único acuerdo para la cooperación mundial en matera de crímenes informáticos es la Convención de Budapest, a la que solo pertenecen, en su mayoría, democracias del hemisferio occidental, dijo Nigel Inkster, exasistente en jefe para el servicio de inteligencia británico MI6. Gobiernos como el ruso y el chino han rechazado sumarse a la convención porque es el equivalente digital de una persecución callejera: la fuerza policial que investiga el crimen informático puede acceder a las redes de otras jurisdicciones sin pedir permiso.
“Cualquier investigación del ataque con ransomware debe darse con una coalición de quienes están dispuestos”, dijo Inkster.
Europa y Asia fueron las regiones más afectadas por el ataque, del que fueron víctimas hospitales, fábricas de autos y hasta el ministerio del Interior ruso. El programa malicioso se apropia de los datos de una computadora, los cifra y solo los libera cuando el dueño haya pagado el rescate exigido.
Como con cualquier escena del crimen, el primer paso en la investigación cibernética es asegurarse de que el responsable no está escondiéndose ahí mismo, listo para atacar de nuevo.
“Antes de empezar a ver quién lo hizo hay que revisar si los malos siguen teniendo acceso”, dijo Theresa Payton, exjefa de información de la Casa Blanca y fundadora de Fortalice, una empresa de ciberseguridad. “¿Todavía están ahí escondidos? ¿Van a regresar mañana? ¿Sigue entreabierta la puerta por la cual entraron? ¿Pueden causar más daños?”.
Con este objetivo, los investigadores revisan el servidor afectado, los cachés en línea del software y los correos electrónicos para identificar si hay presencia de un programa malicioso que todavía no se ha activado. En el caso del ransomware más reciente —apodado WannaCry, WCry o WannaCrypt— descubrieron que actualizar el software de Windows con un parche de seguridad podía inocular a las computadoras que no habían sido afectadas.
Luego empieza el trabajo forense: la búsqueda de huellas digitales, en la que usualmente colaboran compañías privadas de seguridad informática, ya sea en un trabajo conjunto con las autoridades o de manera individual.
En el caso de WannaCry, los correos electrónicos que fueron enviados con el programa malicioso son la principal evidencia. Patricia Lewis, directora de investigación en seguridad internacional para Chatham House, dijo que el texto del correo es como una carta física y la metadata es el sobre en el que llega.
“Un sobre tiene mucha información: el sello que registra el momento y el lugar desde el cual se envió, el tipo de impresora o de letra, la dirección de quien la envió, quizá una huella o ADN de la saliva en el sellador”, dijo.
Los criminales lo saben e intentan cubrir sus rastros todo lo que pueden. “La gente usa capas para esconder su identidad, para que parezca que son otra persona y están en otro lugar”, dijo Lewis.
“Pero un buen investigador los puede rastrear”, añadió, “siempre dejan migajas digitales que pueden ser recogidas”.
Los investigadores revisan si la dirección de correo desde el cual se envió el programa está vinculada a alguna cuenta en redes sociales, por ejemplo, así como a delitos cibernéticos pasados o a otras ubicaciones en la web. También se buscan patrones que puedan conectar ese crimen con algún otro.
El éxito depende de si las autoridades pueden juntar pequeños detalles digitales, como posibles errores o un estilo particular en el código de programación, para vincularlo con los criminales. La ubicación desde la cual se retiren los fondos exigidos en el ransomware también puede ayudar a unir los puntos sueltos.
A veces los patrones son muy particulares; Lewis recuerda un caso en el que descubrieron a los responsables porque se dieron cuenta de que siempre estaban conectados de 9:00 a 17:00 en hora de Moscú. En otro caso, los responsables se desconectaban durante los días oficiales de asueto de China.
Los investigadores del ataque más reciente están buscando pruebas en las notas de rescate, que aparecieron en más de veinte idiomas. Algunas sugieren que los atacantes tendrían vínculos con China porque la versión en mandarín está mejor escrita que la versión en inglés.
Una vez que tengan más datos para identificar a posibles sospechosos, las autoridades se introducirán en forma encubierta para leer lo que se diga en foros de internet que se sabe que son frecuentados por cibercriminales. “Es como usar a un agente infiltrado que se hace pasar por el integrante de una pandilla, excepto que es en línea”, dijo Inkster, de MI6.
“La mitad de la ‘dark web’ son agentes en la actualidad”, bromeó Lewis, de Chatham House.
Uno de los elementos que presentan un reto particular para los investigadores es el uso del Bitcoin, la moneda digital que tiene poca vigilancia. En el ataque de WannaCry se pidieron entre 300 y 500 dólares en Bitcoin.
Es muy difícil rastrear las cuentas de Bitcoin; aunque las autoridades han logrado descifrar casos al monitorear las transacciones en Bitcoin, el proceso es complicado.
Podría llevar meses, si no años, para que las agencias identifiquen a los atacantes. La expectativa, tal como en el mundo real, es que los responsables cometan algún error. Adam Malone, un exagente informático del FBI, dijo: “Muchas veces los capturamos porque se descuidan”.