[02/06/2023] Anunciado en junio del 2022, el Cybercrime Atlas o Atlas del Cibercrimen es una iniciativa del Foro Económico Mundial (WEF, por sus siglas en inglés) para cartografiar las actividades de los ciberdelincuentes, y crear una base de datos que pueda ser utilizada por las fuerzas del orden de todo el mundo para desarticular el ecosistema de la ciberdelincuencia. Cybercrime Atlas se lanzó oficialmente en febrero del 2023 en una asociación entre el WEF y el Banco Santander, Fortinet, Microsoft y PayPal. El Atlas del Cibercrimen fue conceptualizado por la Asociación contra el Cibercrimen del WEF, que incluye a más de 40 organizaciones públicas y privadas.
Cómo se está desarrollando el Atlas del Cibercrimen
En la primera iteración se reunieron analistas "realmente inteligentes" de organizaciones de todo el mundo para elaborar una taxonomía normalizada a partir de la cual se seleccionarían las muestras. A partir de esta taxonomía, se seleccionaron inicialmente 13 de los principales actores de amenazas conocidos. Utilizando información de fuentes abiertas, los analistas examinaron datos como el nombre del malhechor, la dirección en la que se sabe que vive, los detalles de su cuenta bancaria, los datos de su monedero de criptomonedas, su huella en las redes sociales, el alojamiento conocido a prueba de balas y otros servicios maliciosos que utiliza.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"La idea era recopilar toda la información que supiéramos que podíamos encontrar en código abierto sobre estos tipos, normalizarla, examinarla y, a continuación, ponerla en un repositorio", explica Glenn Maiden, director de operaciones de inteligencia de amenazas de FortiGuard Labs ANZ. Toda la información recopilada se investiga para encontrar la única fuente de verdad, eliminar el ruido y disponer de inteligencia verificada por humanos.
El objetivo es construir una imagen completa del panorama de la ciberdelincuencia que abarque las operaciones delictivas, la infraestructura compartida y las redes. El resultado, esperan las partes implicadas, será que los vínculos entre la información recopilada sobre los actores de la amenaza ayudarán a la industria de la seguridad a desarticular con mayor eficacia el ecosistema ciberdelictivo.
Para esta iteración inicial, se ha recopilado inteligencia procesable de 13 grupos delictivos en los principales ámbitos de ataque: ransomware, compromiso del correo electrónico empresarial, malware y fraude con tarjetas. "La información generada ayudará a promover oportunidades de mayor cooperación entre el sector privado y las fuerzas de seguridad para hacer frente a la ciberdelincuencia", declaró Jeremy Jurgens, director general del Foro Económico Mundial.
Con el tiempo, estos datos se compartirán con grupos mundiales encargados de hacer cumplir la ley, como Interpol y el FBI, pero también ayudarán a los analistas y proveedores implicados -aquellos que prestaron a sus mejores analistas- a encontrar puntos en común en las acciones y formas de los atacantes. "De hecho, hemos encontrado vínculos entre bandas de delincuencia organizada e incluso entidades de Estados nación, todos operan juntos", afirma Maiden.
Construir un repositorio de ciberdelincuentes de código abierto
En febrero del 2023 fue cuando se consideró que el proyecto estaba listo para empezar a pasar de la fase de prototipo a la de producto mínimo viable. O, en otras palabras, de sistemas y repositorios ad hoc a contar con gestores de proyecto dedicados, encontrar el sistema más apropiado y robusto para construir la base de datos y elaborar la lógica empresarial. "Habrá gente que contribuya, gente que consuma y gente que haga ambas cosas", afirma Maiden. Esto requerirá la creación de reglas en torno a los grupos, con grupos de "necesidad de saber" para aquellos que quieran colaborar en un delito o caso concreto.
La información que se utiliza para crear este repositorio se basa en información ampliamente disponible, lo que significa que no hay problemas con las leyes de datos de los distintos países. Esto también significa que, una vez que se disponga de un repositorio de código abierto, no habrá restricciones de seguridad ni de propiedad, ni se podrá compartir. Cuando esté listo, podrá compartirse con los organismos locales encargados de hacer cumplir la ley.
Posibilidades futuras del Atlas del Cibercrimen
Desgraciadamente, no será algo de lo que puedan beneficiarse directamente las organizaciones comerciales de todo el mundo. Las empresas que han apoyado el proyecto enviando a sus mejores analistas para ayudar en la creación de la base de datos tendrán acceso a ella, pero se trata de una herramienta creada para las fuerzas del orden. Cuando la base de datos esté lista y se haya utilizado, las fuerzas de seguridad locales de los distintos países que dispongan de su propia inteligencia no pública podrán utilizarla para cruzar referencias de esos dos conjuntos de datos y aumentar su propia fuente de inteligencia.
El Atlas del Cibercrimen aún se encuentra en fase de desarrollo y no está lo suficientemente maduro como para plantearse cuestiones de mayor calado, como qué ocurre cuando los actores de las amenazas empiezan a considerarlas una amenaza y comienzan a producir información falsa convincente para conducir las investigaciones hacia otro lugar. Pero se ha invertido "mucho dinero" en ello y es probable que haya mucho interés por parte de las fuerzas de seguridad de todo el mundo.
Maiden comparte que Fortinet está buscando otras oportunidades con la comunidad que se creó y otras oportunidades para interrumpir. Esto podría ser "nosotros buscando potencialmente un cambio legal o de política en una determinada jurisdicción donde estos chicos malos están, ejecutando algunas de sus operaciones o infraestructura -buscando algunas de estas implicaciones más amplias basadas en esa inicial, plataforma y comunidad".
Cómo una base de datos mundial unificada sobre ciberdelincuencia puede ayudar a acabar con los atacantes
A pesar de que los detalles de los grandes ataques suelen mantenerse bajo llave, la colaboración entre los profesionales de la ciberseguridad siempre ha existido. Contar con el apoyo de una organización independiente como el Foro Económico Mundial podría ayudar no sólo a unir a una comunidad mundial, sino que también podría aportar un nivel extra de confianza.
Es poco probable que todas las naciones se beneficien de ello, al menos mientras los ataques patrocinados por el Estado sean una amenaza y las naciones en las que los atacantes puedan tener su base opten por no cooperar con otros países. Un ejemplo reciente de ello es que, al intentar colaborar con Rusia, Australia, miembro de los Five Eyes, reveló que aún no había obtenido respuesta de Rusia en relación con el ciberataque al proveedor privado de seguros médicos Medibank.
En noviembre del 2022, la Policía Federal Australiana (AFP, por sus siglas en inglés) reveló que los responsables de la filtración de datos de Medibank se encontraban en Rusia. Tras una reunión de las fuerzas de seguridad de los Five Eyes en Melbourne (Australia), el comisario de la AFP, Reece Kershaw, compartió en una entrevista con el programa 60 Minutes de Nine que Australia todavía está esperando recibir información de inteligencia de Rusia. "Hemos compartido nuestro punto de vista sobre quiénes creemos que son algunos de estos individuos y grupos. Dado que compartimos información muy detallada y específica, nos gustaría ver un resultado y todavía estamos esperando".
Basado en el artículo de Samira Sarraf (CSO) y editado por CIO Perú
Crédito foto: ANDRANIK HAKOBYAN / Shutterstock - Creative