|
Trolear a los hackers con
psicología inversa: La nueva táctica policial que está funcionando
Durante años, los ciberdelincuentes rusos han lanzado devastadores
ataques de ransomware contra hospitales, infraestructuras críticas y
empresas, causando miles de millones en pérdidas. Sin embargo, estos
hackers han permanecido casi intocables, fuera del alcance de las
fuerzas de seguridad occidentales y, en gran medida, ignorados por
las autoridades rusas. Aunque la policía ha intentado desconectar
sus servidores y sitios web, los ciberdelincuentes suelen reanudar
sus actividades en cuestión de semanas.
En respuesta a esta situación, los investigadores han añadido una
nueva dimensión a su manual de interrupción: jugar con las mentes de
los ciberdelincuentes, utilizando tácticas de psicología inversa
para erosionar su confianza y generar discordia interna. Este
enfoque innovador ha comenzado a mostrar resultados prometedores.
Jugar con la mente de un hacker
En los últimos meses, las fuerzas de seguridad occidentales han
implementado medidas psicológicas como estrategia para frenar a los
ciberdelincuentes rusos. Estas operaciones incluyen esfuerzos por
erosionar la escasa confianza que los delincuentes tienen entre sí,
abriendo brechas en sus frágiles egos y enviando mensajes
personalizados que les muestran que están siendo vigilados.
Don Smith, vicepresidente de investigación de amenazas de la empresa
de seguridad Secureworks, explica: "Nunca vamos a llegar al núcleo
de estas bandas criminales organizadas, pero si podemos minimizar su
impacto reduciendo su capacidad de escalar, entonces es algo bueno.
Todas estas pequeñas cosas, que en sí mismas pueden no ser un golpe
mortal, añaden fricción. Puedes buscar grietas, amplificarlas y
crear más discordia y desconfianza para frenar lo que están haciendo
los malos".
La operación Cronos
Un ejemplo destacado de estas tácticas es la operación Cronos. En
febrero, una operación global de las fuerzas de seguridad, dirigida
por la National Crime Agency (NCA) del Reino Unido, se infiltró en
el grupo de ransomware LockBit, conocido por haber robado más de 500
millones de dólares a víctimas a través de extorsiones. Los
investigadores rediseñaron el sitio web de
filtraciones de LockBit,
donde el grupo publicaba los datos robados a sus víctimas, y lo
utilizaron para revelar el funcionamiento interno de la
organización.
Las fuerzas de seguridad publicaron imágenes del sistema de
administración de LockBit y conversaciones internas, además de los
nombres de usuario y los datos de
|
|
acceso de
194 miembros "afiliados" al grupo. En mayo, ampliaron esta información para
incluir los apellidos de los miembros.
La policía también anunció que conocía la identidad de "LockBitSupp", el cerebro
del grupo, y afirmó que había estado "colaborando" con las fuerzas del orden. El
ciudadano ruso Dmitry Yuryevich Khoroshev fue acusado de dirigir LockBit en
mayo, tras la publicación de un reloj con una cuenta atrás de varios días en el
sitio web incautado de LockBit y de unos gráficos llamativos en los que se le
identificaba como organizador del grupo.
Paul Foster, director de liderazgo de amenazas de la NCA, comenta: "LockBit se
enorgullecía de su marca y su anonimato. Valoraba estas cosas por encima de
todo. Nuestra operación ha destrozado ese anonimato y ha minado completamente la
marca, alejando a los ciberdelincuentes de utilizar sus servicios". La NCA
estudió detenidamente la operación, ya que sus esfuerzos por reconstruir el
sitio de LockBit provocaron que el grupo fuera objeto de numerosas burlas en
internet y convirtieron su marca en "tóxica" para los ciberdelincuentes que
habían trabajado con él.
Más allá del desmantelamiento de LockBit
En abril, la Policía Metropolitana de Londres desmanteló LabHost, un servicio
que permitía a los estafadores crear sitios web de phishing para engañar a los
usuarios y hacerles entregar sus correos electrónicos y contraseñas. La policía
envió a unos 800 usuarios de LabHost mensajes de vídeo personalizados en los que
se detallaban "todos los datos que tenemos sobre ti", incluidos los países en
los que habían atacado a las víctimas y las direcciones IP que habían utilizado.
"Te hemos estado vigilando cada vez que nos has visitado", dice la voz en off
del video.
Smith de Secureworks señala: "Estos mensajes no son solo para los que ya
participan en el ecosistema delictivo, son mensajes para gente que quizá está a
punto de decidirse a participar". Dentro del extenso ecosistema de la
ciberdelincuencia, no hay mucha confianza entre ladrones que pueden estafarse
mutuamente millones de dólares, pero reforzar y amplificar las divisiones tiene
el potencial de dificultar la organización de empresas delictivas.
Aunque es difícil determinar el impacto exacto de las operaciones psicológicas,
los investigadores afirman que los delincuentes siempre están vigilando. De los
194 afiliados a LockBit, solo 69 han vuelto a la plataforma desde la acción de
las fuerzas de seguridad en febrero, según la NCA. Los hackers leen las noticias
y las investigaciones sobre ciberseguridad, y las comentan en foros de
ciberdelincuentes en lengua rusa, dicen los investigadores. El foro XSS tiene un
hilo llamado "Juicy arrests" que cuenta con más de 1,000 mensajes desde 2017,
dice Victoria Kivilevich, directora de investigación de amenazas en la firma de
seguridad KELA, que monitorea el lado más obscuro de lo cibercriminal.
Opiniones divididas
Las opiniones sobre el derribo de LockBit están divididas entre los usuarios de
XSS, dice Kivilevich. En un post
de febrero, un ciberdelincuente se preguntaba por qué no se había nombrado o
sancionado al líder del grupo. “Si tienen tanta información, deben tener al
menos algo sobre él. O tal vez trabaja con ellos”, dice un post
|
|
traducido. Otro instaba a la gente
a no hacer memes ni bromear sobre la situación. "Comprende que en algún momento
esto puede afectarte a ti también", escribían.
Kivilevich señala otros casos en los que los ciberdelincuentes de los foros se
han desilusionado o disgustado porque las fuerzas de seguridad han puesto en el
punto de mira a algunos miembros. Cuando los miembros de los grupos de
ransomware Conti y Trickbot fueron sancionados en febrero de 2023, LockBitSupp
preguntó dónde estaban las sanciones para el líder de Trickbot "Stern" y otro
actor de alto perfil "Baddie". Como otros 11 miembros de Conti y Trickbot fueron
sancionados en septiembre de 2023, días después de que WIRED nombrara a uno de
los integrantes, un ciberdelincuente se quejó de que algunos de los sancionados
"nunca han tenido perfiles altos", y añadió que hay un sentimiento de
“injusticia”. "Qué sentido tenía añadir a malditos directivos que no decidían
mucho en el negocio".
Consecuencias de la psicología inversa
Andréanne Bergeron, directora de investigación de la empresa de seguridad
GoSecure, especializada en comportamiento delictivo e intervención policial,
afirma que nombrar a unos delincuentes y no a otros puede tener dos
consecuencias. Los que son nombrados pueden "sentir que es injusto ser
castigados mientras otros quedan libres" y, como resultado, pueden acabar
cooperando o colaborando con las fuerzas del orden.
Por otro lado, Bergeron también señala que los hackers malintencionados a menudo
"ansían el reconocimiento" por sus acciones. “Cuando sus colegas reciben todo el
'crédito', incluso si esto implica que serán sancionados, estos individuos sin
nombre pueden sentirse obligados a revelarse para obtener reconocimiento. Este
deseo de reconocimiento puede llevarles a adoptar conductas de riesgo,
exponiéndose potencialmente a las autoridades en su búsqueda de validación”.
Mientras que las fuerzas del orden pueden estar utilizando algunas tácticas
psicológicas junto con las más tradicionales sanciones y retiros técnicos,
también hay investigaciones científicas que analizan las formas en que la
psicología cibernética puede desbaratar a los hackers criminales. La agencia de
investigación de la Comunidad de Inteligencia de Estados Unidos, la Intelligence
Advanced Research Projects Activity (IARPA), ha empezado a trabajar en un
proyecto para crear nuevas defensas de ciberseguridad explotando las debilidades
humanas de los atacantes.
El papel de la psicología en la ciberseguridad
La psicología puede servir para "comprender, anticipar e influir" en el
comportamiento de los ciberatacantes, explica Kimberly Ferguson-Walter,
directora del programa IARPA que dirige el proyecto. La investigación, que se
encuentra en sus primeras fases, pretende crear herramientas y métodos para
aprovechar las debilidades humanas de los ciberdelincuentes basándose en
principios psicológicos establecidos. Por ejemplo, si se puede hacer sentir a un
atacante que está a salvo cuando pone en peligro un sistema, es posible que
adopte un comportamiento más arriesgado y se exponga.
"Si puedes disuadir a alguien de atacar tu red, no hay nada mejor. Creo que
cuanto más asustados o inseguros estén sobre cómo funcionan las defensas,
mejores serán tus probabilidades de hacerlo", afirma Ferguson-Walter.
|
