Usuario de ordenadores
Un usuario frente a su ordenador. WILI HYBRID

Incidente de seguridad. Una gran empresa va a realizar un proceso de promoción interna, pero antes de llevarlo a cabo detecta un acceso no autorizado a la información sobre las pruebas que realizará a sus empleados. El principal sospechoso de la acción estaba de vacaciones cuando la intrusión tuvo lugar, ¿cómo lo ha conseguido? Los servicios de cotraespionaje informático de la empresa española S21Sec , que trabaja para cerca del 90% de las entidades financieras españolas, se ponen manos a la obra para descubrirlo.

Los ataques puntuales de carácter grave suelen proceder de empleados descontentos

La unidad de eCrime de S21Sec viene funcionando desde hace un año, aunque existe formalmente desde enero de este año. Realiza tareas de lucha contra el fraude online, vigilancia digital e inteligencia.

Sus clientes; empresas u organismos públicos que quieren defender infraestructuras críticas, propiedad intelectual o imagen de marca. Los atacantes, de lo más variado. "Hay mucho delincuente y bandas de delincuentes conocidas", explica David Barroso, director de esta unidad. "Existen tres núcleos principales: Europa del Este, China y Brasil. También vemos lazos de unión entre ellos en determinadas acciones".

Cuando los ataques son genéricos y forman parte de ofensivas masivas e indiscriminada suelen proceder de alguno de estos tres lugares del globo, señala Barroso. Pero cuando se trata de ataques puntuales y graves, "suelen proceder de empleados o ex empleados, de quienes tienen más posibilidad de usar información privilegiada". Como en el caso que abre este artículo.

"Fuimos a investigar un incidente en el que se había producido un robo de información muy sensible, a la que sólo tenían acceso dos personas durante dos días. Al analizar un ordenador en la empresa, descubrimos que una persona que estaba de vacaciones había accedido desde fuera de la oficina a su ordenador. Comprobamos que utilizaba un software que permite realizar trabajos de virtualización, con el que había abierto un segundo sistema operativo. Desde él accedió a los datos sensibles". Lo borró e intentó camuflar su acción, pero no fue suficiente par borrar sus huellas.

Estudiar a los zombis para adelantarse al ataque

"En el caso de la protección de marca se vigila dónde se habla de ella, y si en algunos casos se hace un uso indebido de ella, si se están vendiendo falsificaciones, se difama a sus directivos o se utiliza su eslógan para confundir al consumidor", según Barroso.

Debemos explicar al juez qué es lo que ha pasado con palabras comunes para que lo entienda
También combaten los ataques masivos desde redes de ordenadores esclavos (también conocidos como zombis o bots). Para detectar por adelantado estos ataques, S21Sec tiene ordenadores infectados para actuar también como esclavos. "Estudiando su funcionamiento podemos detectar ataques de forma temprana".

Cuando el ataque se produce, se asesora al cliente para que mitigue sus efectos. Es muy complicado combatirlos en el origen, los ataques distribuidos se combaten "trabajando con los operadores que dan servicio que dan servicio al nuestro cliente para que detenga el flujo de datos", evitando así el bloqueo buscado por el atacante. En muchos casos, el atacante exige algún tipo de recompensa a cambio de detener la acción de los bots, pero "lo más recomendable es no hacer caso a la solicitud de negociación", según Barroso.

Finalmente, si se llega a juicio, es necesario probar las intrusiones no autorizadas, los ataques de denegación de servicio o los delitos de falsificación. Y para lograr una condena es necesario realizar cierto trabajo didáctico con la judicatura. "No sólo buscamos pruebas forenses, también debemos explicar al juez qué es lo que ha pasado con palabras comunes para que pueda entenderlo".