• Fecha: Ago 07, 2012
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría
Andrés Velázquez, CISSP, GCFA, ACE, IEM

Andrés Velázquez, CISSP, GCFA, ACE, IEM

Aunque el concepto de redes de computadoras interconectadas data desde mediados de la década de 1960, fue hasta la de 1990 cuando comenzó a popularizarse como un medio de intercambio de información global. Y también, aunque los virus informáticos se conocen desde 1972, requerían forzosamente de su introducción física por medio de un disco o una red local… hasta la llegada de internet.

El dicho reza: “La oportunidad hace al ladrón”, y en este caso la gama de oportunidades para un pirata informático es casi infinita. La cantidad de datos sensibles que hay en la red —ya sea en internet o en las redes privadas de negocios e instituciones— es pasmosa: información personal, números telefónicos, direcciones físicas, datos bancarios, fotografías, secretos profesionales e industriales, datos de contacto, documentos, información fiscal y demás.

Los delitos cibernéticos no se reducen al acceso no autorizado (hackeo), al robo de información personal (phishing) o al fraude, sino que incluyen la promoción del racismo y el nazismo, el terrorismo, el tráfico de armas, de drogas, la trata de mujeres, la incitación a crímenes contra los negros, los indígenas y los homosexuales, entre otros.

Y hay un lado más oscuro aún. Las redes sociales, con todo y su potencial de borrar fronteras y permitir el contacto entre individuos a medio mundo de distancia, y más allá de los argumentos en pro y en contra sobre su influencia en el contacto personal, se han convertido en el jardín de juegos de todo tipo de acechadores y, peor aún, pedófilos y pederastas.

Tan solo en Brasil cada mes se crean cerca de 1000 sitios pederastas. Según datos presentados por el diputado Luiz Eduardo Greenhalgh a la embajada de EE UU en Brasilia en 2007, 76 por ciento de los pedófilos del mundo están en ese país. En 2009, Alberto Arébalos, director de Comunicaciones Globales y Asuntos Públicos de Google América Latina, advirtió que la compañía no permite material pornográfico en ninguno de sus productos: “Si abres un blog con contenido nazi o subes un video porno en YouTube, lo vamos a bajar”.

Pero la pedofilia en internet no es solo un fenómeno brasileño. Afecta al mundo entero. Sin embargo, parece ser que la implementación de normativas específicas ha tenido un efecto positivo. La Internet Watch Foundation, un organismo británico que lucha contra la pedofilia, anunció en su último informe anual que la cantidad de sitios que exhiben pornografía infantil se redujo en un 9 por ciento.

En México, la Secretaría de Seguridad Pública (SSP) cuenta con una División de Policía Cibernética —la primera en su tipo en América Latina—, la cual ha detectado 397 comunidades o sitios web con pornografía infantil, de los cuales 197 son mexicanos. Esta Policía detectó, en 2002, más de 2000 correos electrónicos de miembros de las principales suministradoras de pornografía infantil en la red, y tiene registrados 497 casos de menores desaparecidos que, se presume, fueron elegidos vía internet por sus plagiarios. Además, hay divisiones de policías cibernéticas funcionando en los estados de Jalisco, Nuevo León, Yucatán, Coahuila, Sinaloa y Quintana Roo.

En Perú, 14.5 por ciento de los menores en el país ha concertado una cita por internet con un desconocido. El 10 por ciento asistió solo al encuentro, y 7 por ciento lo hizo sin avisar a nadie antes de ir.

Además, el 44 por ciento de los menores que navega en internet se ha sentido acosado sexualmente al menos en una ocasión. El 30 por ciento ha dado su número telefónico y, más aún, 17 por ciento afirma haberlo hecho en más de una ocasión. Quizás lo más delicado es que 16 por ciento ha facilitado su dirección física en una ocasión, y 9 por ciento en más de una.

En 2009 EE UU inició una investigación llamada “Operación Delego”, por medio de la cual se logró desmantelar una red de pedofilia en varios países, entre ellos Ecuador, y acusó a 72 personas vinculadas con un sitio web que alentaba el abuso sexual de niños. De estas 72, el Departamento de Justicia de EE UU detuvo a 52 personas en 14 países: Estados Unidos, Canadá, Francia, Ecuador, Alemania, Hungría, Holanda, Kenia, Filipinas, Qatar, Serbia, Suecia, Suiza y Dinamarca. Trece de los 52 arrestados ya se declararon culpables, aunque 20 de los 72 aún no han sido detenidos y solo se conocen por el apodo que usaban en internet.

La primera agencia contra la pedofilia a nivel mundial en internet es el Centro de Protección de Internet contra la Explotación del Menor (ceop.gov.uk). Se creó en 2006 para recibir denuncias de actividades sospechosas en la web, vinculadas al abuso y explotación sexual de menores. Esa unidad, compuesta por 100 policías, técnicos en computación y expertos en temas de minoridad, también ofrece consejos a padres y víctimas potenciales de pedofilia.

Las modalidades de delitos cometidos en internet contra niños y adolescentes, quienes muchas veces, ante la falta de supervisión y comunicación son vulnerables, incluyen el grooming, un delito que consiste en el acoso cibernético realizado por pederastas que se hacen pasar por niños o adolescentes para ganar la confianza de sus víctimas y así solicitarles fotografías y videos en actitudes eróticas para después acosarlos y exigirles información confidencial a cambio del material fotográfico.

Hackeo y robo de información

EL Registro de Direcciones de Internet para América Latina y el Caribe (Lanic) informa que el phishing, o robo de datos personales, representa pérdidas anuales por unos 93 000 millones de dólares, y afecta a cerca de 2500 bancos que operan en la región, mientras que los robos a cuentas de clientes suman otros 761 millones de dólares.

Además, la firma especializada en seguridad informática Kaspersky indica que más del 80 por ciento de los códigos maliciosos en circulación se desarrollan con el propósito de robar información bancaria, y que cada semana hay ataques a los sistemas web de los bancos de la región.

Dimitry Bestuzhev, director de Investigación para América Latina de Kaspersky, señala que México tiene 42 millones de máquinas conectadas a internet, y casi 35 por ciento de ellas está infectado por algún tipo de virus, es decir, 14 700 000 máquinas son propensas a ser hackeadas o utilizadas por un hacker. “En 2011 se generaban 70 000 nuevos virus cada día; este año la cifra ha cambiado drásticamente, estamos procesando alrededor de 135 000 nuevos virus al día, esto es una tasa de 200 a 300 por ciento de crecimiento anual. El crimen cibernético está aumentando e, incluso, podemos decir que está en su pleno auge”, comentó Bestuzhev.

La población de América Latina es la que más consulta las redes sociales. En México hay 40.6 millones de internautas de un total de 112 millones de habitantes. Del total de la población internauta, el 50 por ciento está representado por un sector cuyas edades oscilan entre los 12 y los 24 años de edad, lo cual hace que sean vulnerables a los ataques de los ciberdelincuentes.

En Latinoamérica el crimen cibernético tiene un grado de penetración escalofriante. Los ataques cibernéticos en la región crecieron 490 por ciento entre 2009 y 2011. Brasil es uno de los países con mayor índice: en 2010, 36 por ciento de los virus troyanos bancarios provinieron de ese país.

La cantidad de delitos informáticos ha crecido mucho en los últimos años en Argentina. Una reciente encuesta de la consultora PricewaterhouseCoopers, realizada a 3877 empresas, indicó que 46 por ciento de las compañías consultadas dijo haber sido víctima de un delito informático en 2011, siendo la malversación de activos el mayoritario, lo que representa el 72 por ciento de los casos.

El FBI dio a conocer, en 2011, un informe en el que se destacaba que era más rentable ser hacker que narcotraficante. Entonces se manejó una cifra de alrededor de 12 000 millones de dólares involucrados. No obstante, en el estudio no se definía si dicha cifra representaba el daño a una organización o era por el robo de información, un fraude o por robo de tarjetas de crédito.

Para Rafael García, director de Mercadotecnia de Symantec, durante 2011 se tuvo un incremento de 80 por ciento en el número de ataques cibernéticos, alcanzando 5500 ataques solo en ese año en América Latina.

Yahoo reportó el robo de 400 000 cuentas de correo electrónico y contraseñas en agosto de este año. Un grupo de piratas informáticos publicó antes en internet los detalles de 450 000 cuentas que asegura haber robado a Yahoo en 2012.

En solo cuatro meses (de enero a abril de 2012) se vendieron 12 millones de datos personales a través de internet, esto es 2.5 millones más que en todo 2011. En junio, la red social empresarial LinkedIn reportó el robo de más de 6.4 millones de contraseñas de su página de internet en 2012.

En internet se registra un robo de identidad cada cuatro segundos a escala global, y lo más grave es que el crimen organizado utiliza esos datos para extorsionar, secuestrar y robar alos cibernautas, declaró Sigrid Artz, comisionada del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) en 2011.

¿Hay solución?

El crimen cibernético tiene consecuencias de largo alcance en términos económicos, pero más aún en humanos. La prevención y la detección juegan un papel crucial, pero también el proceso técnico-científico llamado forensia digital o informática forense.

Del mismo modo que un médico forense intenta descifrar las causas de una muerte, en especial la causada por un criminal, un forense digital debe hallar la ruta o las herramientas que utiliza un hacker para vulnerar la seguridad de una computadora o red y detenerlo, además de implementar las medidas correctivas para que esto no se repita. Además, el papel del forense digital en la prevención es capacitar y poner su experiencia a disposición de los organismos privados y agencias gubernamentales para rastrear cibercrímenes y evitar sus consecuencias.

Andrés Velázquez, presidente y fundador de MaTTica, el primer laboratorio de investigación de delitos cibernéticos en América Latina, en entrevista con Newsweek en Español habla sobre los orígenes de esta ciencia, la repercusión de los delitos digitales y, lo más importante, su prevención. Extractos:

Sobre los inicios y lo que llevó a Velázquez a trabajar en este campo, él comenta: “Esta disciplina [la forensia digital] es relativamente nueva. Se crea de una forma muy accidental, pero vinculada a la utilización de las computadoras. ¿Qué pasa cuando hay un delito haciendo uso de una computadora o de un elemento tecnológico? Los primeros casos no están muy bien documentados, pero uno de los primeros es de un astrónomo en la Universidad de Berkeley, que lo ponen como encargado del sistema central de la universidad, se llama Cliff Stoll. Una de las tareas que tenía era conciliar los estados de cuenta de los proveedores de internet —cuando cobraban [sus servicios] por minuto— con el uso que tenían los profesores y la base de datos que él tenía para asegurarse de que se estaba cobrando bien.

“Resulta que se dio cuenta de que faltaban 75 centavos de dólar y empieza a hacer una investigación en el equipo para encontrar por qué. Stoll, utilizando física, matemáticas y lo poco que él sabía sobre cómputo, empezó a rastrear hasta Alemania a un grupo de hackers que se metían [al sistema] desde su red a sitios militares para tratar de obtener información que después vendían como inteligencia a la KGB.

“Esa historia, que conocí a los dos años de que empecé a dedicarme a esto, fue lo que me marcó cuando decidí que quería iniciar una empresa en América Latina para dedicarnos a ser la punta de lanza y los más experimentados en esta área. Tenemos oficinas en Colombia desde 2008, y lo que estamos haciendo es cubrir toda la región andina desde Colombia. Hemos creado laboratorios digitales dentro del gobierno y la iniciativa privada en países como Paraguay, Ecuador, Perú, República Dominicana, y cubrimos todo Centroamérica desde México”.

El delito cibernético tiende a verse como algo que sale de la norma y que es diametralmente opuesto a otro tipo de crímenes. “Habitualmente vemos esto como si fuera arte y obra del demonio tecnológico, pero no. Al final de cuentas es exactamente como cualquier otro delito. Se requiere de una oportunidad, un medio y un motivo. Cuando se cumplen esos tres requisitos lo que cambia es que la oportunidad y el medio tienen que ver con fines tecnológicos. Es decir, la persona conoce de tecnología y dice: ‘Tengo una [memoria] USB y mi objetivo es dañar a la empresa’, entonces copia información. Y ese es otro de los temas, se ve como si los delitos informáticos tuvieran que estar aislados de los normales, pero al final de cuentas, si se comete un fraude en persona o en medios electrónicos, sigue siendo un fraude. Lo único que cambia es el medio de comisión del delito.

“De tal forma que un delito informático podemos clasificarlo como un delito cualquiera donde el medio de comisión es tecnológico. Cuando hackeo una computadora para obtener algún tipo de beneficio es un delito informático, pero al final de cuentas estoy violentando un sistema de seguridad para llegar a obtener algún archivo que después puedo utilizar en mi provecho”, dice Velázquez.

Siendo una ciencia con pocos años de desarrollo, surge la pregunta de qué es realmente la forensia digital. Existen muchos mitos todavía alrededor de esta práctica, a lo que Andrés Velázquez responde: “Esta disciplina es como cualquier ciencia forense: dactiloscopia, grafología, el análisis de ADN o la medicina forense. Requiere de bases muy bien fundamentadas para poder llegar a emitir un dictamen que quizás no llega a un proceso judicial. Es un tema que también queda incompleto cuando a veces hablamos de lo que hacemos. Mucha gente piensa que estamos todo el día persiguiendo hackers. Pero realmente, de todos los casos, los hackers representan menos del 5 por ciento, porque todas las empresas empiezan a cuidarse de los [ataques] externos, pero lo que más vemos es gente de dentro que toma un beneficio y hacemos muchas investigaciones sobre los que están dentro de la organización, de tal manera que realizamos la investigación y se la presentamos al director general para que tome una decisión. No tanto para perseguirlo”.

Las cifras no mienten. Los delitos informáticos se están convirtiendo en toda una industria que arroja ganancias crecientes, y muchos de ellos se vinculan con secretos industriales. Al respecto, Velázquez comenta: “El 36 por ciento de los casos que nosotros vimos tenían que ver con robo de secretos industriales y derechos de autor, cosa que es más común de lo que uno pensaría. Cuando uno cambia de oficina, o te corren del trabajo, uno copia archivos en su USB y se los lleva. Es un robo. Aquí el tema es cómo lo pruebas, qué pruebas presentas, cómo el Ministerio Público lo acepta, cómo se hace la investigación, cómo se continúa con el procedimiento de presentación de pruebas. Esa es la parte difícil. Muchas veces me preguntan: ‘Con todo esto, ¿cuánto puedes llegar a hacer?’. Hemos tenido casos en los que hemos podido identificar la marca, el modelo y el número de serie de la USB, a qué hora la conectaron, qué copiaron y a qué hora la desconectaron. Y todo a partir de una máquina que nosotros analizamos”.

Ahora el riesgo no se limita a las computadoras. El delito informático ha extendido sus redes también a los dispositivos móviles: “Cuando [cometes el delito] sobre un teléfono celular, que todo el mundo tiene, imagina: si yo te quitara tu teléfono celular, ¿qué sabría de ti? Considerando que el robo informático incluye redes sociales, correo electrónico corporativo y personal, fotografías, agenda, contactos, entonces no hay dispositivo más personal que un teléfono celular”, apunta.

Siendo un fenómeno global, este tipo de delitos ocurre de manera fundamentalmente similar, aunque con sus diferencias. Velázquez explica: “Prácticamente es lo mismo. ¿Qué es lo que cambia de país a país? Muchas veces es hacia dónde está orientado el ataque o dónde se lleva a cabo. Por ejemplo, en México hubo un auge, en la década de 1990, de hackeo a cuentas de banco, pero en Uruguay fue apenas hace unos dos o tres años que hubo ese auge. ¿Por qué? Porque la primera transferencia electrónica en Uruguay se realizó apenas hace muy poco. No había la oportunidad, y eso es lo que va cambiando. En Colombia también hubo un crecimiento muy fuerte en el tema de las redes sociales. Hubo mucha reacción también a partir del bombardeo de Colombia y Ecuador, donde se obtuvieron las computadoras de Raúl Reyes, el brazo financiero de las FARC [Fuerzas Armadas Revolucionarias de Colombia]. Eso apareció en todos los medios, y fue la primera vez que se mencionó en sus medios el término de cómputo forense. Entonces hay una conciencia mayor de que se puede llegar a investigar y el mercado en Colombia está mucho más ávido de que se realice una investigación”.

Quizás no se haya avanzado tanto en términos de prevención del delito en un campo relativamente nuevo como en los medios electrónicos. “Existe cierto desconocimiento de que existen ciertas áreas de especialización dentro de, por ejemplo, la PGR [Procuraduría General de la República, en México]. Todo esto lo hace la PGR y nosotros hemos capacitado a unidades y divisiones dentro de ella. También hemos dado capacitación en América Latina de forma gratuita a organismos internacionales como el Centro Internacional de Niños Desaparecidos y Explotados para capacitar a los policías que están luchando contra la pornografía infantil y sobre cómo poder rastrear y detener a pedófilos. Así tratamos de ayudar y generar soluciones”, apunta Velázquez.

Uno podría pensar, entonces, que la tecnología puede traer grandes beneficios, pero también enormes pérdidas en términos de seguridad. Sin embargo, apunta Velázquez, “el problema de la seguridad no es de tecnología, sino de cómo usamos la tecnología. Es un problema de educación. Nadie nos ha educado. Por eso tenemos tantos problemas con los niños que utilizan las redes sociales como si nada y que, entonces, pedófilos se aprovechen de esa situación. También está el problema de la gente que sube su currículum con sus datos fiscales, su dirección, su teléfono, y entonces alguien suplanta su identidad. Uno mismo está dando la información. Esto es un tema de educación, pero también se requieren modificaciones legales para aumentar la protección de la información y que existan los recursos para que la gente pueda denunciar este tipo de crímenes”.

En definitiva, el conocimiento es poder. Y el acceso a la información juega un papel crucial para obtener ese conocimiento. La respuesta no está en cerrarse a la tecnología y a las grandes ventajas que supone una red mundial de datos, sino en apostarle a una mayor seguridad y, sobre todo, a una mayor educación para proteger nuestra información y —en especial— a nuestros niños.


Fuente: http:// newsweek.mx

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.