24/04/2024

Mes: noviembre 2017

AGENTES ENCUBIERTOS EN REDES SOCIALES

Guido Rosales 29/11/2017

El presente articulo refleja mi ponencia en el 1er congreso Internacional de Criminalística llevado a cabo en la Ciudad Argentina de Jujuy del 14 al 16 de noviembre. Es producto de la investigación durante muchos años de como se persiguen delitos en el ciber espacio cuando no se cuenta con la colaboración directa del FBI, Google o Facebook. Es decir, lo que hace hacen países del tercer mundo principalmente.

https://www.facebook.com/photo.php?fbid=10213199786962215&set=a.1713397987742&type=3

Ojo que esto también es utilizado para distorsionar noticias, favorecer ciertas tendencias que no necesariamente son verdaderas. Pero eso es otro tema. Su uso no depende de su valor técnico.

Dar a conocer como se realizan investigaciones en el ciber espacio tiene una finalidad DISUASIVA, siendo que muchos actos son mas hormonales que neuronales. Queremos precisamente, ayudar a prevenir mostrando que los investigadores están usando las mismas tácticas que los delincuentes para dar con los autores de los ciberdelitos.

Se dice que Facebook tiene mas de 2mil millones de perfiles, pero también se estima que un 40% pueden ser perfiles falsos.

Crear un perfil o una página de Facebook no es nada complejo, entonces los perfiles falsos son creados por diferentes motivos, desde simple práctica, error, arrepentimiento, prevención para mantener perfiles según la audiencia, hasta estrategias de marketing para generar corrientes y expectativa hacia cierto producto o tendencia y por que no decirlo, acosadores, delincuentes y demás criminales y organizaciones delictivas.

Delitos como el cyberbulling, cyberacoso, sextorsion y otros aprovechan de cierta anonimidad que les da un grado de impunidad a sus conductas delictivas.


Dicen que el fuego se combate con fuego.


Bajo esta máxima muchos organismos de investigación contra el ciber crimen también han desplegado en las redes sociales estructuras de PERFILES falsos bajo una figura parecida a los agentes encubiertos en delitos de narcotráfico y crimen organizado. Estos Agentes tienen la misión de infiltrarse en las estructuras del crimen para obtener evidencia acusatoria.

La figura de los agentes digitales encubiertos es parecida y se desarrolla en varios campos. En esta oportunidad solo vamos a describir 3 de ellos

  • Agentes encubiertos con Perfiles de Personas naturales falsas
  • Agentes encubiertos con Perfiles de Personas jurídicas falsas
  • Aplicaciones informáticas como instrumentos de los agentes encubiertos tanto a nivel de PC como de móviles.

Una de las características de estos agentes es que un buen grupo ya tiene alrededor de 10 años. Cuando las redes sociales comenzaron a proliferar se creó esta lógica de investigación. Estos perfiles, empresas y aplicaciones hoy por hoy subsisten y se siguen creando, pensando en investigaciones futuras.

Para no cometer apología del delito o violar alguna legislación afectando a personas existentes los perfiles falsos no hacen suplantación de identidad alguna. Son Pseudo personas que físicamente no existen. Estos perfiles generalmente son neutrales en sus opiniones, no crean sesgos hacia algo para no ser estigmatizados, máximo la inclinación es ahcia un equipo de futbol, un artista. Cuando se pretende sacrificar un agente encubierto entonces esta sume bandera de algo, pero se dice que será quemado bajo esa posición y no podrá ser utilizado en un buen tiempo.

Algo muy importante al momento de mantener Agentes Digitales encubiertos será la continuidad de la vida social en el ciber espacio. Estos agentes viven, interactúan, compartes y desarrollan toda una vida como cualquier persona natural. Bajo este lineamiento será muy complejo que alguien perciba la falsedad del perfil. Puede hoy mismo estar ocurriendo que muchos de los amigos y contactos que tienen las personas son agentes encubiertos.

Otro aspecto muy importante a la hora de instrumentar una ciber investigación es usar los conocimientos y técnicas de HACKING tanto para defender como para investigar. Si los delincuentes informáticos tanto ocasionales como organizados dirigen sus ataques con estos instrumentos, deben saber que la investigación también lo hace.

Muchas aplicaciones móviles han sido creadas bajo una fachada de utilitario que sin duda funciona, pero los derechos que se le da permiten que combinados con ingeniería social puedan ser direccionados para las investigaciones. Imaginen una App que les ayuda a encontrar medicamentos y farmacias con ciertos productos, pero la aplicación tiene permisos para activar el gps y enviar sms. Entonces con una campaña de ingeniería social puede ser distribuida entre estudiantes de cierta universidad en la carrera de medicina. Cuando alguien va a instalar una app revisa el prestigio de la misma. Por eso será importante que el resto de Agentes participe y opine. A veces logran montar campañas de BOTs y marketing digital para darle cierta reputación a estas aplicaciones. Con eso el ojo poco entrenado, pensara que está bien bajo el criterio de aceptación de muchos.

Las campañas sociales para posicionar ALGO recurre a diferentes tipos de BOTs para sus propósitos: Traffic, trending, following, testing, crisis y chat bots son los mas conocidos. En realidad se los usa para muchos propósitos, desde comerciales, políticas, ciberguerra, pero para el presente articulo diremos que son utilizados para la ciberinvestigacion.

Hoy en día también es muy posible que estos agentes estén infiltrados en los grupos de Whatsapp, grupos de compra venta por ejemplo.  Tanto a nivel de agentes personas, como agentes empresas donde trabajan estos agentes para hacer mas creíble sus historias.

Con seguridad todo esto no es algo que se haga casualmente, debe existir una estructura organizada para mantener estos perfiles.

Cuando no se hace investigación criminal, estas estructuras son utilizadas para probar el nivel de ciber seguridad empresarial. Se conoce que los ciber ataques mas exitosos han sido desarrollados aprovechando la Ingeniería Social. Entonces todo esto de los agentes sirve también para este fin.

PERFILES FEMENINOS – MAS EXITOSOS

Lamentablemente imaginamos el ciber acoso que sufren las damas con cuentas en redes sociales. Por estadísticas las agentes digitales con perfiles femeninos tienen muchísimos admiradores varones tratando de ligarlas. Las damas son más recatadas al momento del contacto inicial, pero bajo el principio del ataque indirecto, cuando ven amigos o conocidos de contactos, asumen que el perfil es de confianza y generan actividad mucho más íntima en términos de amistad.

En conclusión, para no alargar más este artículo, consideren que la impunidad del internet que aparentemente se crea con el anonimato, esta siendo combatida de la misma forma. Antes de considerar que hacer uso de redes sociales les convierte en expertos en internet, consideren que el ciber delito esta siendo combatido de muchas formas.

Especial agradecimiento a la Ing. Patricia Moyata por la confianza en nuestra empresa para la capacitación de estudiantes de criminalistica de Argentina.

https://www.facebook.com/cafupat/posts/1495824780453576

TIPS para la seguridad de cuentas bancarias

Guido Rosales 27/11/2017

Sin duda todos los tiempos tienen sus características que parecería hacerlos diferentes, sin embargo, tienen un parecido.

Antes de contar con tarjetas de plástico: débito y crédito, todos utilizaban dinero en efectivo, monedas y billetes

Manejar dinero efectivo tenía sus riesgos: Era visible al momento de utilizarlo y ajenos se podían percatar de cuanto se disponía, por cuanto había que contarlo. Podías extraviarlo o perderlo por algún factor externo: fuego, derrumbe, inundación.

Pero considero que un riesgo mayor y no para las personas sino para los gobiernos, era la falta de control sobre su circulación. El dinero en efectivo pasa de mano en mano sin dejar suficiente huella como para rastrearlo.

Ahí nacen los bancos para precisamente manejar tu dinero, guardarlo o prestarlo. Se comienza la era de las entidades financieras que, como parte de las soluciones a brindar, estaba la seguridad de tus ahorros. Pero sin duda también venía a paliar esa falta de control sobre la circulación del dinero. Ahora depositar o retirar cualquier suma de dinero podía ser controlado. Se dio un gran paso. Sin embargo, no fue suficiente.

Con el paso del tiempo nacieron las tarjetas de plástico que, de alguna manera, dotadas de ciertos mecanismos de seguridad, permitirían a las personas utilizar su dinero sin manejar efectivo. Se van creando los sitios donde era posible pagar con este plástico o retirar efectivo para consumos menores, nacen los ATM o cajeros automáticos como los conocemos hoy en día.

Con el auge de los sistemas de información, también crecieron los riesgos de este mundo digital. Si antes te podía robar un ladrón cualquiera, ahora puede hacerlo un ladrón digital o electrónico. Ahí nace el tema de los cracker o hackers y todo ese mundo entre investigadores y delincuentes informáticos. Pero no es el punto del artículo. El tema es que TAMBIÉN alguien puede robarte, entonces la situación no ha cambiado mucho en ese sentido.

Lo que, si se ha logrado de manera muy marcada, es la capacidad de controlar el flujo del dinero. Con las transacciones electrónicas se puede saber de una manera muy exacta, donde, cuanto, como, porque has consumido o usado el dinero. Se ha mejorado la Trazabilidad del efectivo.

Ahora debemos seguir lidiando con esa posibilidad de que alguien de forma electrónica o digital robe tu dinero. Cada Banco casi siempre obligado por la regulación crea mecanismos de seguridad, pero como vemos frecuentemente no son suficientes.

Entonces como mejorar ambas cosas? La seguridad de tus ahorros por un lado y por otro la privacidad del uso de tu dinero? Claro, si te interesa no ser tan transparente en tu consumo.

La seguridad y privacidad pueden resumirse en estas dos ideas

  • Divide y vencerás
  • No poner todos los huevos en la misma canasta.
  • Plan B o contingencia.

¿Como se traduce esto?

Coloca tus ahorros mínimos en dos cuentas de diferentes bancos. A esto le llamaremos CUENTAS DE AHORRO PRINCIPAL.

En cada banco crea cuentas adicionales, a esto le llamaremos CUENTAS DE CONSUMO

En dos bancos mínimamente por contingencia. Mejor si uno pertenece al grupo RED ENLACE y el otro a LINKSER. Si puedes elegir que uno sea MasterCard y el otro VISA

Enlaza las cuentas de ahorro principal con las cuentas de consumo únicamente. Es decir, de las cuentas de ahorro el dinero solo puede salir a las cuentas de consumo. Para esto solo debes tener creado esa cuenta. Puede tener una forma digital para hacer las transacciones o para mayor seguridad puedes definirlas que solo se operan por medio de cheques o transacciones en caja. Seria excelente que los bancos puedan ofrecer este producto y esta lógica.

Dependiendo de los montos y la frecuencia podrá elegir Tokens físicos, como un llavero que genera una clave dinámica cada minuto o TOKES por SMS que te envían la clave mediante celular para cada transacción y también con un tiempo de vida reducido a minutos. Te recomiendo no solicitar la famosa, pero muy riesgosa TARJETA de COORDENADAS.

Las cuentas de consumo podrás utilizarlas para todos los pagos electrónicos por transferencia bancaria e inclusive para pago por tarjeta en comercios o finalmente retiro en efectivo en ATM. Ojo, solo de las cuentas de consumo, NUNCA de las cuentas de ahorro. Carga las cuentas de consumo, según la necesidad. Que el saldo en esas cuentas no tenga duración mayor por ejemplo a una semana.

Con este control y habito bancario, tu exposición a un ladrón digital será lo que haya podido quedar en tu cuenta de consumo. Esta cuenta será la que quede expuesta, deje huella en los comercios, compras por internet y demás consumos. Quizá podrías también adicionar el uso de la Billetera Móvil, pero siempre ligada a la cuenta de consumo únicamente.

La misma lógica se aplica a las tarjetas de crédito. Puedes utilizar una tarjeta para viajes al exterior donde necesitas más fondos y que sea internacional, pero también utilizar tarjetas de créditos prepagas o con limites por debajo de los 1000 dólares. Ten en cuenta que ahora muchas compras por internet se hacen desde la tarjeta de débito, que estaría asociada a tu cuenta de consumo. Debe cuidar de nunca hacerlo desde la cuenta de ahorros.

Para la cuenta de consumo solicita bloqueo regionalizado, es decir tu sabes donde viajas, donde consumes, si solo lo haces en Bolivia, no debería darse transacciones de POS O ATM fuera del país. Las compras por internet son otro tema. Que tu tarjeta tenga bloqueo permanente.

Si te preocupa la privacidad de tus consumos y también la seguridad de ir dejando en todo lado los datos de tu tarjeta, es mejor utilizar medios de pago intermediarios, por ejemplo, PayPal. Gran cantidad de negocios de ventas por internet aceptan esta forma y se encargan de la transacción dejando únicamente los datos de tus tarjetas en PayPal y no en cada negocio donde compras.

Finalmente efectúa tu balance mensual extrayendo los movimientos mensuales de ambas cuentas para revisarlas. Guarda los archivos de manera segura.

PARTE 2: EL EFECTO PARI EN EL CONTROL INTERNO

Guido Rosales 27/11/2017

Bien continuando con el análisis de los efectos que trae consigo esta situación sui generis podemos recapitular las ideas vertidas en el primer artículo de la siguiente forma:

  1. Las políticas, normas y procedimientos ya no pueden ser escritos con el enfoque al pasado. Pensando en que los instrumentos de control son personas con mucha experiencia o criterio. El control interno debe ser diseñado pensando que los tiempos han cambiado y los instrumentos de control deben ser acordes a la magnitud de información e inmediatez propia de las tecnologías de información. Mientras vuelve una ronda de control rutinario, la cantidad de datos e información que se ha generado, procesado y transmitida es inmensa. La brecha generacional tiene que ser reducida de cualquier manera. El mundo de atamos se controla físicamente, el mundo virtual tiene sus propias características.
  2. Los instrumentos de control interno tienen que ser proporcionales al activo protegido. Por un lado, se puede pensar en más personas en tareas de control, pero la posición más acertada será implementar más herramientas automatizadas con controles de detección oportuna ante el cambio de patrones. Ya no se deberá poder priorizar únicamente áreas de negocio donde la inversión esta compensada con la utilidad o retorno. En este caso la inversión en control deberá ser compensada en función del activo que se protege. Y debe ser normativo, no un tema de decisión estratégica del negocio como factor de ventaja competitiva, sino como garantía de brindar seguridad al sistema donde la entidad existe.
  3. El control interno debe estar en el mismo proceso. Se tienen capas de autocontrol, control cruzado, control independiente. Todos estos como complementos a las tareas de auditoria que tiene un nivel mayor, como control independiente, pero puede estar muy alejado del mismo proceso llegando a ser INOPORTUNO.
  4. Los sistemas tendrán que ser implementados con la finalidad de agregar o desagregar la información para los diferentes niveles, operativos, tácticos o estratégicos. Si bien la Dirección no tiene esa capacidad de control sobre temas operativos, deberá instrumentar indicadores para conocer de manera continua como se desarrollan las actividades en el negocio. La ALTA DIRECCION tendrá que inmiscuirse más a fondo en la definición de indicadores de alerta oportuna. Esto tendrá dos sentidos. Grupos de directores con mas conocimiento sobre control Interno o Directores con Asesores especializados en esta disciplina que puedan apoyarles en esta sensible tarea. Sin duda tendremos equipos de Dirección mas técnicos que políticos o solamente de Negocios.
  5. Finalmente, el efecto se verá en las áreas operativas, donde a veces se aceptan tareas por añadidura y se cumple por algún criterio no documentado o formalizado. Se debe lograr la comprensión sobre la responsabilidad por acción u omisión y formalizar la relación en todo sentido.
    1. De arriba abajo, las ordenes deben seguir un conducto regular y estar basadas en políticas, normas, procedimientos formalmente establecidos.
    2. Relación de pares. Este tipo de relación debe ser también formal. Al final el trabajo no es un club de caridad o de amigos donde las relaciones están basadas en el grado de amistad. Los controles de hacen para los cargos y no las personas. Debe primar la relación formal.
    3. De abajo arriba. Igualmente, como el resto de relaciones, debe ser formal. Solicitudes por conductos regulares. Oportunidad y pertinencia en la detección de debilidades de control.

En conclusión, el EFECTO PARI debe ayudarnos a aprender en piel ajena. Es un caso que está generando mucho impacto a todo nivel. Su cobertura mediática hace conocer muchos detalles que siendo una investigación en curso se podrán analizar en algún momento que no perjudique este proceso legal.

Termino con estos pensamientos:

  • El control se hace pensando en los cargos, no en las personas.
  • Esperamos lo mejor, pero nos preparamos para lo peor.
  • Pensar mal para vivir bien.
  • El control es propio de cada tarea y TODOS son responsables.

 

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023