Es hora de sacudirse los clichés. Así como la caricatura del ratero con el traje de rayas y el antifaz ya no es el estereotipo de los delincuentes comunes, tampoco es correcto pensar que los cibercriminales son jóvenes pálidos, delgados, de anteojos y cabello desaliñado, introvertidos e incapaces de establecer relaciones sociales. No, sorpresivamente no existe un perfil determinado para reconocer a un delincuente digital.
Los ha habido jóvenes, atractivos, carismáticos y extrovertidos –como Kevin Mitnick– hasta maduros y responsables ejecutivos de negocio que en algún momento determinado son tentados por alguna jugosa oferta de la competencia. Y en la gran mayoría de los casos, uno podría jurar que esa persona no sería capaz de realizar un delito.
Más aún: si bien en muchos casos los ataques son perpetrados por la delincuencia organizada o hackers profesionales, en muchas ocasiones el delito es cometido de manera no intencional por ciudadanos comunes, ex empleados enojados o trabajadores vulnerables que buscan cierta remuneración o beneficio laboral que no siempre implica dinero en efectivo.
De hecho, para Andrés Velázquez, especialista en investigaciones digitales, presidente y fundador de Mattica, cuando se habla de delitos informáticos lo primero que uno suele pensar es en hackers, pero si se acotan los ataques al ámbito empresarial, la mayor parte de los delitos informáticos se clasifican como robo de secretos industriales; “ya sea que se efectúen con o sin dolo, estos incidentes pueden ser punibles por la ley”, expresó.
Perfil criminal indefinidoVelázquez comentó que, en su experiencia, han encontrado casos tanto de gente con conocimientos técnicos como usuarios comunes: “desde gente que utiliza la tecnología como un medio o elemento para cometer un delito hasta gente que conoce la organización y sabe cómo instalar un keylogger para sacar provecho; hay casos de robo de contraseñas de terceros para escalar privilegios o acceder información, pero lo importante es que vemos que la gente no técnica le está dando la vuelta a la gente de sistemas”, dijo.
Esto se debe, en parte, a que para la realización de un delito informático se requiere un trinomio de factores que Velázquez define como la oportunidad, el medio y el motivo. Si un empleado de confianza de pronto se ve sumido en deudas porque su hijo resulta drogadicto y tiene la forma de obtener secretos industriales de su compañía y venderlos a la competencia, se conjuntan los tres factores mencionados anteriormente y el riesgo de que se cometa el delito se incrementa.
Esto lleva a redefinir los móviles que existen detrás de los casos de delitos cibernéticos. Por un lado están las organizaciones delictivas, que mercan con la información empresarial de clientes y empleados, además de obtener contraseñas y propiedad intelectual. El principal problema con estos ciber delincuentes es que ya no son jóvenes que buscan fama, sino agrupaciones que lanzan microataques encubiertos a nivel local donde el principal interés son las ganancias, enfocadas principalmente al robo de datos.
Por otro lado, están los individuos que obtienen cierta información y la venden, o aquéllos que comenten el ilícito sin dolo y sin conocimiento de causa –como extraer información confidencial para su uso personal en su nuevo empleo. Incluso pueden darse situaciones como una descubierta por el personal de Mattica, en la que cierta compañía contrató a una persona para que ésta se hiciera contratar en la competencia y así obtener información, según relata Velázquez.
Finalmente, empleados o ex empleados descontentos pueden caer en el delito cibernético al generar amenazas hacia los ejecutivos de su compañía, usando la tecnología para este fin.
Persecución del delito
El tema es un poco más complejo de lo que parece. En primera instancia deben tenerse políticas, procesos y tecnologías que ayuden a detectar el incidente. En este sentido, debe considerarse la forma en que la información se encuentra almacenada, el valor de dicha información y el riesgo de perderla o de que se haga pública. Es decir, si se habla de un secreto industrial, entonces dichos datos debieran estar almacenados en una ubicación con accesos restringidos a personal autorizados y con un monitoreo de logs y de acciones realizadas sobre la información resguardada.
Posteriormente, la empresa debe definir qué acciones seguirá una vez detectado el incidente. Si bien se puede generar un procedimiento forense con el objetivo de recabar evidencias para un posterior litigio o proceso penal, también puede reunirse esta evidencia para efectos de un proceso interno en el que se aplique una determinada penalización.
Lamentablemente, en voz del directivo de Mattica, en temas de seguridad aún no se aprende de los errores. “Estamos viendo lo mismo que veíamos hace 10 años; la seguridad informática ha cambiado de ser algo de élite a una moda y ahora a una necesidad, sin embargo, las sociedades latinoamericanas estamos acostumbrados a reaccionar ante los problemas en vez de prevenirlos”, expresó.
“A final de cuentas, el cómputo forense existe como una herramienta, pero requerimos elementos de apoyo como contratos, cláusulas de confidencialidad, etcétera, que ayudan al forense a integrar la evidencia”, concluyó Velázquez.
Principales características de la ciberdelincuencia organizada
– ¿De dónde son?
Principalmente Rusia, Ucrania, China, Turquía, Brasil y Estonia.
– ¿Qué hacen?
* Desarrollo de software ingenioso y ágil
* Venta de software ilegal con fines criminales o de información personal
* Distribución de spam
* Construcción de botnets sofisticados.
– ¿Cuánto dinero ganan?
El rango de ingresos varía entre los diferentes grupos en función de los riesgos que corren, la información obtenida y el valor de ésta información para su venta en el mercado.
– ¿Cuánta gente compone una banda?
Cada organización se centra en hacer lo que mejor sabe y paga a otro para que haga el resto. Esto da como resultado un complejo modelo de negocio en el que unos equipos se encargan del código, otros se ocupan de encontrar vulnerabilidades, otros grupos gestionan botnets y la minería de datos, mientras un equipo diferente ejecuta el robo de identidad o fraudes financieros. El tamaño medio de un equipo suele ser de aproximadamente 5 personas.
– ¿Cuándo interviene la policía?
Generalmente, cuando hay suficientes pruebas que sugieran que hay alguna entidad detrás de esta actividad. Desde que el cibercrimen se ha convertido en una actividad global, la única forma efectiva para abordarlo y combatirlo es fomentar la colaboración entre los organismos y fuerzas de seguridad de los diferentes países y continentes.
