Para atrapar a un extorsionador: cómo el FBI persigue el crimen en la cadena de bloques

El agente especial del FBI, Joseph Battaglia, se sienta en un escritorio entre un detective de la policía de Nueva York y un empleado del Servicio de Impuestos Internos (IRS).

Encargado de ayudar a supervisar las investigaciones en la oficina de campo de Nueva York de la división cibernética del FBI, Battaglia y sus colegas han desarrollado métodos para identificar una amplia gama de actividades delictivas en línea, que van desde el uso de pornografía infantil hasta el espionaje.

Sin embargo, durante una reciente conferencia magistral en la facultad de derecho de la Universidad de Fordham en Nueva York, Battaglia reveló un tipo diferente de investigación. Dirigiéndose a un grupo de unos 150 estudiantes de derecho y otros asistentes a la iniciativa inaugural de blockchain organizada por IBM y la universidad, Battaglia explicó paso a paso cómo identifica a los delincuentes que utilizan ransomware de Criptomonedas .

La clave para superar una serie de obstáculos en este proceso, dijo, es la colaboración entre algunas organizaciones públicas y privadas clave y un poco de pensamiento "original".

Durante su discurso inaugural, Battaglia le dijo a la audiencia:

Puedo usar todos estos métodos para identificar a mi objetivo, ya que mi investigación comenzó simplemente con la queja de una víctima que tenía una dirección de Bitcoin que aún no se había utilizado en la cadena de bloques.

Todo, detalló Battaglia, comienza cuando un usuario abre su computadora y descubre que ha recibido un correo electrónico informándole que sus archivos han sido bloqueados con "encriptación de grado militar" y no serán liberados a menos que pague un rescate.

El setenta y cinco por ciento de las veces que la Request de rescate se denomina en Bitcoin, dijo, pero otras criptomonedas que se han utilizado incluyen Litecoin y el cada vez más popularMonero.

Por lo general, la nota de rescate incluirá instrucciones sobre cómo comprar y gastar la Criptomonedas elegida.

¿Pagar o no pagar?

En ese momento, la víctima tiene que decidir si va a pagar o no.

Aunque el FBI no alienta a la gente a ceder ante tales demandas, Battaglia explicó que a veces los archivos profesionales se ven comprometidos, lo que deja a la víctima sin otra opción que entregar los fondos para poder continuar con su negocio crucial.

Estos ataques son tan generalizados que, en 2016, la empresa de seguridad de datos Citrix publicó un informe que mostraba que las pequeñas empresas estaban...acaparamiento Bitcoin en caso de una demanda de rescate. Ese mismo año, el Departamento de Seguridad Nacional de EE. UU. (DHS)fundado el desarrollo de una herramienta de análisis de Bitcoin dirigida específicamente al ransomware.

Pero incluso si la víctima decide no pagar, el FBI tiene formas de identificar el alcance del ataque y la identidad del perpetrador, incluso en una dirección de Bitcoin no utilizada.

"Como la dirección aún no se ha usado en la cadena de bloques de Bitcoin ", dijo Battaglia, "no podré obtener información de la cadena de bloques todavía. Pero puedo tomar la nota de rescate e insertarla en IC3".

Fundado en 2000, el Centro de Quejas de Delitos en Internet (IC3) del FBI acepta informes de presuntos delitos cibernéticos, incluidos el robo de propiedad intelectual, el espionaje corporativo y la “extorsión en línea” o ransomware.

En septiembre, IC3 publicó undeclaraciónAlentando a las víctimas a denunciar los incidentes de ransomware al FBI, agregó que, en los primeros meses del año pasado, "las infecciones globales de ransomware alcanzaron un máximo histórico".

IC3recibiómás de 8.000 quejas en 2015, con una pérdida total declarada de aproximadamente 275 millones de dólares.

Incluso si no se paga un rescate, Battaglia indicó que su equipo comparará la demanda con las registradas en IC3 para buscar conexiones. En casos similares con demandas similares, algunas víctimas podrían haber decidido pagar el rescate, lo que podría resultar en datos útiles para los casos en los que no se pagó.

Las direcciones de las víctimas que sí pagaron son procesadas por la herramienta blockchain del FBI para generar una lista de billeteras asociadas con la misma entidad que emitió la solicitud de rescate. A partir del conjunto inicial de direcciones que pagaron, el FBI busca conexiones entre la billetera del destinatario y sus gastos.

Si bien los datos iniciales pueden ser limitados, a medida que se gastan más fondos, la herramienta acumula más datos, incluidos los de 'cambiar direcciones' que devuelven satoshis u otras denominaciones a la billetera del destinatario original.

"Podría descubrir que esas transacciones ocurren dentro de otro grupo de direcciones de Bitcoin del que no tengo conocimiento", dijo Battaglia, "y del que mi herramienta de análisis no tiene conocimiento. Pero puedo tomar esas direcciones, extraerlas e incorporarlas a nuestro sistema de gestión de casos".

Lo mismo pero diferente

Al ejecutar el conjunto de direcciones de Bitcoin a través del sistema de gestión de casos del FBI, Battaglia dijo que buscará casos en los que estén trabajando otros agentes que hayan reunido información identificable adicional.

Por ejemplo, podría ser un agente del FBI que está trabajando con un "cooperador en un mercado de la red oscura" y que sabe que los fondos asociados con las direcciones también están asociados con alguien que vendeextremadamente popularcredenciales de protocolo de escritorio remoto (RDP) para acceder a computadoras de terceros desde cualquier parte del mundo.

"Ahora tenemos una idea de qué está pasando con el ransomware y, quizás, cómo el intruso logró acceder a las computadoras de las víctimas", dijo Battaglia.

Con esa información, los investigadores del FBI regresarían a la víctima original para ver si se estaba ejecutando un RDP en su computadora y, de ser así, qué direcciones IP aparecen en los registros de la computadora.

El FBI no sólo buscará direcciones desconocidas para la víctima, sino también direcciones conocidas a las que acceden usuarios que normalmente no inician sesión o que inician sesión en horarios inusuales.

Si bien esta información puede inicialmente darle a la víctima una forma de minimizar futuros ataques al cambiar sus credenciales de inicio de sesión, no necesariamente proporcionará mucha más información sobre el perpetrador. "Por eso, seguiré buscando en la cadena de bloques e intentaré encontrar conexiones con otras billeteras o grupos de direcciones", dijo.

Ahora es probable que Battaglia empiece a buscar conexiones a través del tiempo, como por ejemplo un pago mensual realizado desde una de las direcciones de Bitcoin sospechosas a un intercambio de Bitcoin en Estados Unidos, sobre el cual podría entregar una citación para Aprende qué se ha estado pagando con las transacciones.

Una vez identificado el destinatario del pago, el investigador obtendrá la dirección IP de un servidor virtual con un nombre y una dirección «probablemente falsos», afirmó. «Supongo que lo son».

El ajetreo

En ese punto la investigación se vuelve tradicional.

Battaglia dijo que a continuación implementaría técnicas de investigación "tradicionales", como hacer referencias cruzadas de las direcciones en un registro IP, como el Registro Americano de Números de Internet (ARIN) o la Base de Datos Global de Direcciones IP, para tratar de identificar qué conexiones se están realizando al servidor.

Pero todo esto no sirve de nada si el perpetrador ha iniciado sesión con éxito en una red privada virtual de protección de identidad, o VPN.

El año pasado, Globalwebindexreportado ONE de cada cuatro usuarios accedía a una VPN a diario, y el 70 % de los encuestados lo hacía semanalmente. En EE. UU., India y Malasia, las cifras son aún mayores: ONE de cada tres usuarios accede a diario a una VPN que oculta la identidad.

También preocupan a quienes luchan contra el crimen:cada vez más sofisticados Mezcladores de Bitcoin que ocultan las fuentes de Bitcoin y que estuvieron la semana pasada tomó medidas enérgicas contraEn una iniciativa conjunta de Europol, Interpol y el Instituto de Gobernanza de Basilea. Los avances en las tecnologías de Criptomonedas también son un problema; por ejemplo, Monero, una altcoin que mejora la privacidad.no necesita mezclarseser oscurecido.

"Pero la gente se vuelve descuidada", dijo Battaglia.

La evidencia de un secuestrador que ha dejado de prestar atención a los detalles podría incluir la conexión a Internet a través de puntos de acceso Wi-Fi públicos, confiando en el gran volumen de personas en el lugar para proporcionar una cortina de humo para ocultar su identidad.

El agente especial dijo:

"A través de los investigadores que tenemos en la oficina, podemos analizar todos esos datos, analizar las bases de datos... y rastrear sujetos muy similares a los que acabo de describir".

Más allá del FBI, más allá de Bitcoin

Fundada en la sede del FBI en 2002, la división cibernética ahora divide su trabajo aproximadamente en partes iguales entre casos de seguridad nacional y casos penales, según Battaglia.

Para aumentar aún más sus posibilidades de éxito, la organización está compuesta por escuadrones repartidos por todo Estados Unidos y tiene asociaciones con otras agencias, incluidas la policía estatal, el IRS, el servicio Secret y "detectives de todo tipo de diferentes agencias policiales", explicó.

Battaglia también mencionó asociaciones con miembros del sector privado, que ayudan a identificar los puntos de acceso utilizados por los delincuentes; "cooperativas" que se han metido en problemas en el pasado y luego se unieron a las investigaciones como "investigadores independientes"; y agregados legales en todo el mundo.

ONE de los socios más destacados del FBI es la Red de Control de Delitos Financieros, que en 2014 ayudó a popularizar el uso de Bitcoin cuando... declarado Los intercambios de Bitcoin se consideran legalmente transmisores de dinero y deben tener licencia como tales.

En el futuro, sin embargo, Battaglia dijo que está preparado para investigaciones en aplicaciones de la Tecnología blockchain más allá de las Criptomonedas.

Mientras la Tecnología lo respalde una amplia gama de posibles activosincluye consideraciones que permiten "auditarlo e inspeccionarlo adecuadamente", dijo Battaglia, "el hecho de que todo quede registrado en un libro público que es permanente e inmodificable es muy bueno desde la perspectiva de recolección de evidencia".

El factor Human

Si bien el FBI ha recibido su parte decríticapor tenerdificultadresolviendo casos de ransomware, la startup de análisis blockchain Chainalysis el año pasado previstoUn aumento de los arrestos debido a nuevas asociaciones de alta tecnología.

Pero es en la intersección entre las herramientas de alta tecnología y la investigación tradicional que el jefe de Battaglia, el agente especial supervisor Jay Kramer, cree que el FBI tiene que seguir mejorando.

Hablando desde la audiencia en el evento, Kramer dijo que el FBI reconoce que los viejos tiempos en que se podía obtener "acceso a contenido" a través de escuchas telefónicas han quedado prácticamente obsoletos.

"Reconocemos que no tendremos acceso a las comunicaciones cifradas en los iPhones, simplemente no lo tendremos", dijo Kramer. "Entonces, ¿qué hacemos? ¿Vamos a esperar una solución tecnológica? No."

Kramer enfatizó que el FBI debe redoblar sus esfuerzos para desarrollarHuman recursos:

Personas que quieren informar al FBI sobre lo que ofrecen. El cómplice de un malhechor que simplemente nos dará la clave privada, en lugar de que nosotros intentemos obtenerla por medios tecnológicos.

Imágenes vía el autor para CoinDesk