Delitos informáticos: identificación e investigación
La aparición de la ciberdelincuencia debido al desarrollo de las tecnologías informáticas se ha convertido en un problema importante en los últimos años. La ciberdelincuencia es un tipo de comportamiento ilícito que se comete mediante el uso de dispositivos digitales y redes informáticas (Johansen, 2020). Las instancias de ciberdelincuencia implican privar a las personas de información confidencial para beneficio personal o distribuir software malicioso que daña los sistemas informáticos. Como tal, un tipo de actividad cibernética criminal es el uso de dispositivos electrónicos como medio para obtener acceso a información ilegal o prohibida (Johansen, 2020). Un ejemplo perfecto de este comportamiento es cuando los hackers utilizan las redes de Internet para almacenar y dispersar datos prohibidos; esta información a menudo incluye pornografía infantil, mensajes terroristas y materiales de acoso.
Otro tipo distinto de delito cibernético implica el robo de información digital perteneciente a otras personas o entidades. Como resultado de un ataque cibernético, numerosas personas o instituciones pueden perder datos únicos que los identifican, proporcionan ingresos o poseen un valor inherente específico (Johansen, 2020). Por ejemplo, los hackers pueden obtener dicha información evitando las medidas de seguridad cibernética de una corporación, robando documentos valiosos y distribuyéndolos a través de Internet. En este sentido, el cibercrimen puede ser extremadamente dañino para la sociedad, privándolos de información personal y finanzas, e incurriendo en daños físicos y psicológicos.
La ciberdelincuencia a menudo se divide en seis categorías distintas para obtener mejores resultados de investigación y prevención. Un tipo distinguido es el uso de malware para obtener acceso a datos únicos almacenados en el dispositivo (Johansen, 2020). Al distribuir software malicioso o atacar puntos no protegidos en los sistemas operativos de la computadora, los ciberdelincuentes pueden infiltrarse en el dispositivo y amenazar al usuario, pidiéndoles que paguen una suma específica para restaurar la seguridad de los datos. Un evento reciente involucró a Colonial Pipeline, la organización de oleoductos de combustible más grande de los Estados Unidos (Turton & Mehrotra, 2021). Durante el ataque, los piratas informáticos adquirieron acceso ilegítimo a la red Colonial Pipeline; más tarde, los delincuentes enviaron a la corporación una nota de rescate y requirieron el pago (Turton & Mehrotra, 2021). Una categoría similar de ciberdelincuencia es la piratería, que también busca comprometer el software digital. la piratería incluye intentos maliciosos dirigidos a las debilidades de los sistemas informáticos realizados para obtener acceso a dichos dispositivos o redes (Johansen, 2020). Un ejemplo destacado es el caso de BitMart, un servicio de intercambio de criptomonedas que recientemente perdió aproximadamente $ 150 millones a delincuentes desconocidos (Sigalos, 2021). Se especula que la inseguridad del sistema se utilizó para adquirir acceso ilegítimo para retirar activos de las cuentas de BitMart.
La ingeniería social es otra forma de ciberataque que utiliza sistemas informáticos para obtener influencia sobre las personas. Los intentos de ingeniería social incluyen acciones destinadas a ganar la confianza de un individuo, lo que permite a los hackers manipular a los usuarios para su beneficio (Johansen, 2020). En 2019, la corporación Toyota fue atacada por piratas informáticos, que enviaron un correo electrónico comprometido a algunos de los empleados de Toyota, pidiéndoles que transfirieran fondos a una cuenta bancaria de terceros (Lindsey, 2019). Como el individuo se hizo pasar por el socio comercial de Toyota, pudieron adquirir la confianza de los miembros de la compañía, lo que resultó en la pérdida de $ 37 millones (Lindsey, 2019). Desde esta perspectiva, la ingeniería social puede ser especialmente peligrosa debido a la utilización de las vulnerabilidades humanas como un medio para llevar a cabo la delincuencia.
Comprometer a las entidades comerciales también es posible a través de ataques web y actividades de delitos digitales centradas en la extracción de datos de sitios web. Los hackers suelen explotar las vulnerabilidades presentes en las páginas web para robar información de los usuarios o documentos de la empresa que podrían usarse para beneficio personal (Johansen, 2020). Un ataque masivo al sitio web se realizó en 2016, durante el cual el sitio web propiedad de Brian Krebs, un conocido experto en seguridad cibernética, perdió su funcionalidad durante varias horas (BBC News, 2016). El intento utilizó la vulnerabilidad de la fuente y extrajo una cantidad significativa de información, lo que también provocó una gran cantidad de problemas tecnológicos para Krebs (BBC News, 2016a). Los métodos de ataque web se pueden usar como base para realizar una interrupción de denegación de servicio distribuida (DDoS), durante la cual el sitio web se vuelve inaccesible debido a la mayor cantidad de tráfico (Johansen, 2020). La BBC experimentó un ataque DDoS en 2016 cuando el grupo New World Hacking bombardeó la página web de la corporación con un tremendo flujo de tráfico para demostrar sus capacidades de cibercrimen (BBC News, 2016b). Como resultado, numerosos espectadores y empleados de la BBC no pudieron acceder al sitio web durante varias horas.
El compromiso de credenciales es otro tipo de delito cibernético que está profundamente conectado con otras categorías de delitos en línea. Este ataque utiliza los datos adquiridos a través de ingeniería social, malware o piratería, y permite al hacker ingresar cuentas personales (Johansen, 2020). Recientemente, un cibercriminal robó 500000 credenciales de inicio de sesión de la compañía Fortinet VPN, supuestamente utilizando la piratería como el principal método para adquirir los datos (Hope, 2021). Como las credenciales filtradas seguían siendo válidas, las cuentas personales de múltiples clientes de Fortinet VPN se vieron comprometidas y otras personas pudieron acceder a ellas.
Para investigar el crimen, es posible confiar en el título 18 del Código de los Estados Unidos sección 1028 (a). Esta legislación es parte de la Ley de robo de identidad y disuasión del engaño de 1998, que se centra en el robo de identidad y describe ocho tipos de conducta que están relacionados con el acto de robar información de identificación (Oficina de Educación Legal para Abogados de los Estados Unidos, 2010). Además, es posible utilizar la sección 1028A de la Ley de promulgación de sanciones por robo de identidad de 2004, que se refiere al robo de identidad agravado cometido con dispositivos informáticos (Oficina de Educación Legal para Abogados de los Estados Unidos, 2010). Teniendo en cuenta que el autor en el caso discutido utilizó información personal para identificarse como otra persona y se accedió a la información digitalmente, ambas leyes federales se aplican a la situación.
Para obtener las órdenes pertinentes, es necesario solicitar una orden a través de un tribunal federal. Si se encuentra una causa probable, el juez federal emitirá una orden de registro, un tipo de orden que permite a la persona investigar una ubicación física o digital para obtener evidencia de delito (Blanco, 2017). En el caso presentado, el juez puede emitir una orden de registro de cuenta de correo electrónico; si se encuentran datos comprometedores, se puede solicitar una orden de arresto.
Un investigador forense digital puede ser requerido para localizar y examinar la información digital obtenida durante la búsqueda. Dado que los registros de registro de vehículos fueron pirateados en tres estados diferentes, es posible que el perpetrador haya utilizado una variedad de dispositivos y métodos, lo que requiere la creación de un equipo de investigación forense digital. Los miembros de este grupo deben identificar los dispositivos y redes utilizados para el robo de identidad, así como analizar los datos digitales para establecer la identidad del delincuente y las vulnerabilidades explotadas (Goodison et al., 2015). Además, para acceder a la ubicación del crimen, los detectives que trabajan en el caso deben recopilar datos adicionales sobre el sospechoso y el medio ambiente.
Para realizar una investigación adecuada de los datos forenses, dispositivos como una computadora portátil y un disco duro serán especialmente útiles. Una computadora portátil se puede conectar fácilmente a los dispositivos utilizados para realizar el robo de identidad digital, lo que permite al investigador realizar un análisis manual de los datos disponibles (Goodison et al., 2015). Además, como la mayoría de las pruebas podrían requerir un análisis automático en un laboratorio forense, se necesitará un disco duro para transferir los datos originales (Goodison et al., 2015). Dependiendo de la cantidad de información, puede ser transferida in situ o en el laboratorio.
La investigación de una escena del crimen electrónico es muy distinta del examen del sitio físico. Como tal, después de asegurar la escena, es imperativo identificar los dispositivos electrónicos utilizados para almacenar y distribuir información, a saber, sistemas informáticos y dispositivos de almacenamiento, de mano y periféricos (Angelopoulou et al., 2016). Además, es fundamental determinar si se utilizaron redes informáticas para difundir los datos. Después de eso, la escena puede documentarse y puede comenzar el procedimiento de recolección de evidencia (Angelopoulou et al., 2016). El conocimiento relevante a menudo incluye compras en línea, software bancario, registros de actividad de Internet, recibos de transferencia de dinero y las credenciales de inicio de sesión de las víctimas (Angelopoulou et al., 2016). Los datos seleccionados deben recuperarse de forma segura, asegurando que la información no se corrompa en el proceso. Finalmente, los sistemas de almacenamiento de evidencia digital deben ser empaquetados y transportados, minimizando la posibilidad de daño físico.
La extracción de información incriminatoria puede ser muy complicada, lo que significa que se debe implementar un procedimiento sistemático. El Esquema de Extracción de Evidencia Digital puede ser especialmente útil en este esfuerzo. En primer lugar, el investigador debe intentar extraer manualmente los datos utilizando las entradas estándar del dispositivo; teclados y pantallas táctiles se utilizan normalmente durante esta fase (Goodison et al., 2015). Después de eso, se pueden implementar equipos informáticos externos para realizar la extracción lógica, lo que permite al examinador controlar el sistema informático (Goodison et al., 2015). Después de esta etapa, las técnicas de extracción física podrían ser beneficiosas para localizar la evidencia eliminada (Goodison et al., 2015). Finalmente, para acceder a los archivos ocultos, el investigador forense podría usar métodos de chip-off y micro-lectura, recuperando la información directamente del chip de memoria.