Un análisis del CEO de Quantum Babylon y alumno del Máster Profesional de Analista de Inteligencia de LISA Institute, Juan Pablo Castillo, sobre cómo Internet ha obligado a revisar cómo abordar ciertos crímenes y nuevos perfiles criminales y cómo se realiza la ciberperfilación en MEDINT.
El crimen es tan antiguo como la convivencia de los seres humanos. La mera interacción diaria hace que en el día a día se puedan producir fricciones y desavenencias en todo tipo de situaciones, desde las más triviales a las más importantes. Ya en su día, un médico italiano llamado Cesare Lombroso, buscó el posible origen del delito explorando incluso la posible vía biológica. Con su obra “Tratado antropológico experimental del hombre delincuente” de 1876, distinguía los diversos tipos de personas que podían llevar actos contrarios a la ley partiendo de unos rasgos físicos y evolutivos distinguibles.
En el texto encontrábamos una variopinta clasificación desde el “Criminal nato” al “loco moral o el pasional” pasando por los “epilépticos” y los “habituales o profesionales”. Unos años después, en 1897 vería la luz la obra denominada L´Uomo Delinquente y Lombroso acabó siendo considerado el padre de la Criminología positivista (la Nuova Scuola) impulsando el nacimiento de una cuestionable y polémica vía tanto científica hasta ética para afrontar la criminalidad desde un punto de vista diferente que planteaba a los criminales como individuos “atávicos” o “primitivos” que debían ser erradicados.
Esta temprana visión o la ausencia de “grupos de control” en su investigación para comparar sus “grupos de delincuentes” con “personas normales” y realizar un análisis crítico de sus hallazgos (pues sin duda se hubiese sorprendido de las similitudes físicas en esas supuestas “personas normales”) sería un tema interesante sobre el que debatir otro día. Pero con todo, Lombroso había dado el pistoletazo de salida a una nueva era donde ofrecía la posibilidad de clasificar de una manera científica a los delincuentes, y, por tanto, poder actuar de una preventiva o detenerlos basándonos en el conocimiento empírico.
En cierta manera, durante un siglo este esquema se ha mantenido casi inmutable evolucionando y perfeccionándose en una misma línea, pero Internet y las tecnologías digitales transnacionales nos obligan ahora a una revisión de cómo abordar ciertos crímenes adaptados a la era de los microchips de una manera completamente diferente.
Cómo el cibercrimen ha cambiado las reglas del juego
Ahora, con el ciberespacio aparece un nuevo tablero donde las reglas establecidas en el plano físico dejan de tener validez. Y es que se entendería como el ámbito informativo fundamental para entender la sociedad en nuestros días. Un lugar donde se crea, se interacciona y se vive independientemente de cómo un individuo pueda ser fuera de la Red, siendo fuente inagotable de ideas para la ciberseguridad y el derecho internacional.
Entendemos “ciberespacio” como un espacio virtual donde poder acceder a una cantidad ingente de información gracias a la interconexión, tanto de redes como de máquinas, que la hacen posible. Podría decirse que dicha zona común afecta a nuestra rutina diaria en prácticamente todos los aspectos, desde el laboral hasta el profesional, incluyendo nuestro lado más íntimo y personal; esto también implica que existen riesgos, y para campos tan específicos como los de la seguridad y la defensa.
La existencia de amenazas, por tanto, son cada vez mayores, y el porcentaje de éxito de estas van en aumento a no ser que se ponga remedio para evitar situaciones no deseadas. Desde la estabilidad económica hasta la política y social de países y organizaciones, como en su día ocurriera con el escándalo de Cambridge Analytica, división liderada por Alexander Nix, quien con su empresa influyó activamente para dirigirlo en una determinada dirección política.
De esta manera, los ataques cibernéticos pueden afectar a infraestructuras críticas, sistemas de información, procesos electorales, datos personales y secretos industriales o militares. Los responsables de dicha perpetración pueden ser estatales o no estatales, y aprovechan la falta de fronteras físicas, normas y atribución en el ciberespacio para avanzar en los intereses del mejor postor. Por ello, es necesario reforzar la ciberseguridad, así como promover la cooperación y la diplomacia en este campo.
Te puede interesar: ¿Es posible saber si un ciberataque está patrocinado por un Estado?
Pero, ¿qué se entiende por ciberperfilación criminal?
Continuando con la vertiente de la averiguación del delito, en la década de los 70 entrarían en escena profesionales de la talla de Robert Ressler y John Douglas, quienes a partir de los comienzos de Howard Tete sentarían las bases de lo que a día de hoy entendemos como perfilación criminal.
De la misma manera que antes, los hechos delictivos cometidos en el plano físico, se trasladan al virtual, por lo que el estudio de los mismos, también tomaría el mismo camino. El concepto de la Ciber Perfilación Criminal (Cyber Criminal Profiling), podría entenderse como el estudio de las motivaciones, acciones y procedimientos del ciberdelincuente encaminado a poder identificar y analizar dicho comportamiento.
En este sentido, figuras como la de Michela Ravarini son esenciales, ya que es una profesional que trabaja dentro de este campo muy estrechamente con la OTAN, donde se demanda una figura interdisciplinar de nuevos profesionales, necesitando además de formación en ciberseguridad, otras como criminología, psicología y lingüística forense. Es necesario establecer una serie de directrices en base a la forma de actuar de los ciberdelincuentes. Aquí habría que fijarse en los modos de actuar atendiendo a diversos aspectos:
Tácticas: se entiende como la elección del objetivo. No todos los grupos atacan a las mismas víctimas. Al fin y al cabo, son los depredadores de la Red.
Procedimientos: para esta acción podría ponerse como ejemplo, como sería el Spearphishing. Un envío ingente de correos electrónicos a las víctimas, facilitándoles una URL en la que poder clicar de cara a visitar dicha dirección web. Así, se podría proceder al robo de datos de la persona.
Técnicas: estas acciones son muy diversas, por lo que vamos a exponer algunas para que pueda verse de forma más sencilla.
- “Trojan.zekapab”: consistiría en un software que además de quedar instalado en el ordenador, podría descargar información de la máquina de forma automática.
- “BackDoor.Zekapab”: este entraría en el sistema de una forma más agresiva de realizar capturas de pantalla, llegando a la acción de lo que se conoce como keylogging de forma que sería posible saber lo que el usuario estaría tecleando.
- “Trojan.Shunnael”: también conocido como X-TUnnel de cara a poder mantener activa la vía de las redes infectadas a partir de un túnel de cifrado.
- “Rookit UEFI”: conocido como Lojax, sería una Interfaz de Firmware Extensible Unificada.
Y, ¿en qué consiste la ciberperfilación medint?
Podría decirse que la ciberperfilación en MEDINT se entendería como el proceso de identificar y analizar las características y el comportamiento de los actores que operan en el ámbito sanitario a través de internet. Como ya hemos descrito anteriormente, pueden trabajar en diferentes campos; como la prevención de amenazas biológicas o químicas, la detección de redes de desinformación o propaganda, la protección de la privacidad y la seguridad de los datos sanitarios, o el apoyo a las operaciones humanitarias o militares en zonas de riesgo.
La ciberperfilación en MEDINT requiere el uso de herramientas y técnicas específicas para recabar, procesar y analizar la información disponible en fuentes abiertas o cerradas, como redes sociales, foros, blogs, bases de datos, informes, etc. También implica el conocimiento de los aspectos legales, éticos y culturales que afectan al ámbito sanitario y a sus actores.
Puede aportar un valor añadido a la Inteligencia sanitaria tradicional, al ofrecer una visión más amplia y profunda de las dinámicas y los intereses que influyen en la salud pública y la seguridad nacional e internacional. Igualmente, puede dotar de una ventaja competitiva a las organizaciones que la practican, ya que les permite anticiparse a posibles escenarios de crisis sanitaria, detectar necesidades y demandas de la población, diseñar estrategias de prevención y respuesta adecuadas y evaluar el impacto de sus acciones.
Te puede interesar: Inteligencia sanitaria o MEDINT, una prioridad ante el aumento de la ciberdelincuencia
En cuanto al estudio de casos de ciberdelincuencia en el sector sanitario, hay que decir que nos encontraríamos al principio del camino, ya que como en muchos otros campos, la problemática habría surgido hace relativamente pocos años en cuanto al volumen de casos que conocemos en la actualidad.
En España, por ejemplo, la acción en la que los Mossos d´Esquadra consiguieron bloquear el acceso a los datos de los pacientes del Hospital Clínic de Barcelona, que fueron previamente robados en un ciberataque, fue un punto de inflexión que quizás plantee el comienzo de una nueva política de contraofensivas para poder plantar cara a este colectivo de usuarios de la Red que realizan acciones contrarias al Derecho. Es muy importante no desistir y levantarse cada vez que nos caemos.
Para terminar y entender la dimensión de lo que hemos narrado, daremos la siguiente cifra: cada uno de los grandes grupos de cibercriminales en la actualidad ya trabajan como grandes empresas con un montante anual de beneficio neto de más de 50 millones de dólares, el cual el 80% se destina a los sueldos de quien perpetra dichas acciones. Los que lleva a pensar que esto ha dejado de ser una amenaza menor para pasar a ser una situación de que empezar a preocuparse si no se hace nada más allá de lo corriente para ponerle remedio.
Más allá de la ciberperfilación: tipos de ciberataques y respuesta
El ciberespacio es el ámbito donde abordamos las amenazas que pueden afectar la seguridad, la privacidad y el funcionamiento de los sistemas informáticos y las redes de personas y entidades soliéndose hacer una clasificación general de las amenazas, pero debemos entender mejor como se estructuran respecto al ámbito concreto analizamos: el sanitario. Veamos pues, como estructurar los ataques comunes:
- Malware: En general comenzamos tratando los ataques basados de forma general en herramientas de software malicioso que se instala en los dispositivos sin el consentimiento o el conocimiento del usuario, el cual puede realizar acciones dañinas como robar información, corromper archivos, espiar actividades o tomar el control del sistema. Sería, pues, un ataque o herramienta básica (pues podríamos considerarlo en ambas vías) para realizar acciones ilícitas dentro de las entidades a analizar.
- Phishing: Este tipo de ataques en sí, los podemos considerar como una herramienta para proceder a ataques más complejos, como por ejemplo los que permiten el uso de ramsonware. Es una técnica de engaño que consiste en enviar correos electrónicos o mensajes falsos que simulan proceder de fuentes legítimas, con el fin de obtener datos de la entidad a atacar, o también personales o financieros del usuario para posteriormente, con ellos acceder a servidores de entidades, cuentas bancarias o sitios web de forma fraudulenta.
- APT (Advanced Persistent Threat) cuando hablamos de ataques a entidades relevantes o críticas, estas probablemente ya sean conscientes de los riesgos y hayan desarrollado avanzados mecanismos de defensa, por lo que se requiere una forma de ciberataque más avanzada para lograr su finalidad y que tiene como objetivo inicial infiltrarse en la red o sistema informático para permanecer oculto durante un largo periodo de tiempo si es necesario para poder cumplir sus metas.
El objetivo de un ataque APT, por tanto, es ambicioso, se requieren muchos recursos y suele buscar robar información sensible, secuestrarla, sabotear infraestructuras críticas o espiar actividades estratégicas. Un ataque APT se caracteriza por ser sofisticado, persistente y dirigido a un objetivo específico por lo que sería el más peligroso si de entidades sanitarias estamos hablando.
Esto significa que los atacantes APT van a ser grupos organizados que cuentan con recursos técnicos y financieros para llevar a cabo sus operaciones durante largos periodos, utilizando múltiples y avanzadas técnicas para evadir la detección y el análisis, como el uso de malware personalizado, el cifrado de la comunicación, el aprovechamiento de vulnerabilidades desconocidas o el robo de credenciales legítimas, para ello se servirán si es necesario de todos los tipos de herramientas descritas en esta sección para lograr sus fines.
- Shadow IT: Si hablamos de ataques complejos, entonces el criminal se valdrá de todo tipo de dispositivos digitales que emplee la víctima, no hablamos solo de ordenadores o smartphones, así estos ataques aprovechan el uso de cualquier dispositivo, aplicación o servicios no autorizados o no controlados por la organización a la que pertenece el usuario para generar vulnerabilidades, conflictos o “puertas traseras” que faciliten información para realizar ataques directos sencillos o más complejos dentro de un plan más ambicioso (ataques APT)
- Ataques de denegación de servicio (DoS – Denial of Service): Consisten en saturar un servidor o una red con una gran cantidad de solicitudes o paquetes de datos, con el fin de impedir su acceso o funcionamiento normal, por lo que suelen estar enmarcados dentro de finalidades más amplias o como contramedida en caso de exposición de información.
Han sido enmarcados por último en esta clasificación porque son unos de los procedimientos clásicos del hacking, lo que les ha llevado a una amplia evolución técnica tanto ofensiva como para prevenirlos. Si analizamos en profundidad ataques APT resultará muy probable que dentro de la diversidad de actuaciones y procedimientos empleados por agresores y defensores aparezcan reflejados.
Te puede interesar: Curso de Experto en Hacking Ético
Para terminar, ante esta nueva realidad también se han desarrollado nuevas herramientas con las que responder. La legislación contra el ciberdelito es un conjunto de normas jurídicas que tienen como objetivo prevenir, investigar y sancionar las conductas ilícitas que se realizan mediante el uso de las tecnologías de la información y la comunicación.
El ciberdelito abarca una variedad de delitos como el fraude, la extorsión, el robo de identidad, el acoso, la pornografía infantil, el terrorismo o el sabotaje informático. La legislación contra estas acciones busca proteger los derechos y bienes de las personas, así como la seguridad nacional y el orden público. Para ello, se establecen medidas de cooperación internacional, asistencia judicial mutua y extradición entre los países que cuentan con este tipo de articulación legislativa.
Para comenzar, se puede acudir a las diversas representaciones gráficas de la Conferencia de las Naciones Unidad sobre el Comercio, la Inversión y el Desarrollo (UNCTAD). En su portal web se encontraría la actual situación de los diversos países legislativa acerca de dicho campo. En cuestión de elaboración legislativa acerca del cibercrimen, 154 países serían los que habrían promulgado documentos al respecto. Aun así, en torno a 30 países no gozan de leyes sobre el ciberdelito, lo que vendría a significar que un 79% de los territorios ya tendrían legislación sobre dicho campo y un 5% se encontraría en proceso de tenerla.
Así pues, en lo que concerniría al continente, sería menester indicar que su proceso de elaboración y promulgación legislativa sería más pausado que asemejado a una reacción rápida, muchas veces debido a los diversos intereses en los diferentes países incluso dentro de las mismas organizaciones supranacionales como la Unión Europea. Repasando de forma cronológica, se podría encontrar lo siguiente:
- La Directiva 2000/31/CE, denominada como “sociedad de la información”, aprobada por el 8 de junio y propia del Parlamento Europeo y del Consejo, vendría a definir los diversos aspectos en consonancia con los servicios de la sociedad de la información, más concretamente con el comercio electrónico en el mercado interior.
- El 23 de noviembre 2001 en Budapest, se firmaría el Convenio de Ciberdelincuencia y con la adhesión de 56 países, que posteriormente alcanzaría un total de 64.
- Protocolo Adicional a la Convención de Ciberdelincuencia realizado en Estrasburgo el 28 de enero de 2003 relativo a la “penalización de actos de índole racista y xenófoba cometidos por medio de sistemas informáticos” sería otra muestra de acción legislativa.
- Reglamento General de Protección de Datos (RGPD) 2016/679 por el Parlamento Europeo y el Consejo de la Unión Europea. La justificación del documento sería la de pretender “contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica”.
La tramitación por parte de la Unión Europea del mecanismo legal de cara a poner determinadas barreras a diversas plataformas digitales contra el monopolio que estarían realizando mediante el ciberespacio como campo de actividades. Sería muy importante atender a esta situación, ya que representaría un nuevo dominio. Constaría de dos textos: la Ley de Servicios Digitales (DSA) y la Ley de Mercados Digitales (DMA), una normativa que busca resolver las lagunas de las actuales leyes que rigen el ciberespacio.
Por último, la Unión Europea está intentando adaptar una nueva estrategia de ciberseguridad para hacer frente a estos retos y garantizar un ciberespacio abierto y seguro para todos los ciudadanos y empresas. En noviembre de 2022, el Parlamento Europeo actualizó la ley de la UE para reforzar la inversión en una ciberseguridad sólida para servicios esenciales e infraestructuras críticas y fortalecer las normas en toda la UE.
Una de las leyes recientes es la Directiva de Seguridad de Redes y Sistemas de Información (NIS2), que introduce nuevas reglas para avanzar en un alto nivel común de ciberseguridad en toda la UE, tanto para empresas como para países. También refuerza los requisitos de ciberseguridad para entidades medianas y grandes que operan y prestan servicios en sectores clave.
Y en lo que concierne a España:
- El Código Penal, (LO 1/2015) de 30 de marzo, tipifica diversos delitos informáticos en sus artículos 197 a 201 bis, 264 a 267 bis, 270 a 277, 286 a 288 y otros.
- La Ley Orgánica 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores, que establece las medidas aplicables a los menores infractores por delitos informáticos.
- La Ley de Enjuiciamiento Criminal, que regula los medios de investigación y prueba en los procesos penales por ciberdelitos.
Te puede interesar:
