Las actividades cibercriminales han necesitado siempre del uso de herramientas y servicios online legales. Ejemplos de estas actividades se dan de muchas formas y se pueden encontrar en todas partes; desde la utilización de vulnerabilidades en el software, sitios web y aplicaciones web como vectores de ataque, hasta albergar componentes maliciosos en servicios en la nube, para aprovechar los mensajes que se usan como cebo en enlaces y posts en los sitios de redes sociales con el fin de atraer a los usuarios desafortunados para que caigan en sus redes. No importa qué tipo de tecnología o servicio se despliegue en el futuro; siempre habrá espacio para el abuso.
Trend Micro ha realizado una investigación sobre el cibercrimen y, durante el curso de la misma, ha descubierto que un grupo concreto parece compartir el mismo nivel de conocimiento y destreza que los cibercriminales al usar y abusar los servicios legales: los grupos terroristas, que pueden ser considerados como cibercriminales por derecho propio, ya que sus actividades online también entran en conflicto con la ley. Los dos grupos tienen diferentes motivaciones: los delincuentes se orientan hacia la obtención de beneficios económicos, mientras que los terroristas tienen como objetivo difundir propaganda en lugar de malware.
Esta investigación de Trend Micro se centra en cómo ciberdelincuentes y terroristas se solapan en el abuso de plataformas tecnológicas online en beneficio de su causa. Trend Micro se enfoca en sus metodologías, los servicios que utilizan y las herramientas de domésticas que tienen para agilizar y fomentar dicho mal uso, de forma que sus seguidores pueden ejecutar sus actividades con mucha mayor facilidad.
Mantener el anonimato
Ambos grupos son conocidos por abusar de las herramientas y servicios que se han desarrollado para ayudar a aquellos que tienen una razón justificada y verdadera para ocultar sus identidades.
Obviamente, debido a la naturaleza ilegal de sus objetivos, los delincuentes y los terroristas comparten la necesidad de permanecer en el anonimato y ser invisibles en el mundo online. Ambos grupos conocen las herramientas y servicios que han creado para ayudar a aquellos que tienen una razón evidente para ocultar su identidad (por ejemplo periodistas, denunciantes o informantes de buena fe, y activistas). Algunos ejemplos de estas herramientas incluyen programas de anonimato como TOR, y ciertos instrumentos de cifrado que se encuentran en la denominada Deep Web.
Otro ejemplo de un servicio web del que el equipo de investigación de Trend Micro ha detectado que se abusa es el servicio de mitigación de DDoS1, Cloudflare. Un servicio legítimo diseñado para proporcionar un espejo del trabajo, tanto para sitios web que están experimentando un tráfico denso o están siendo sometidos a ataques de denegación de servicio, Cloudflare se utiliza para ocultar la verdadera dirección IP alojada de la página web. Trend Micro ha visto que los ciberdelincuentes realizan este mal uso una y otra vez, que buscan distraer o ralentizar a las autoridades en los trabajos de rastreo de la localización de los servidores en los que están alojados. Los investigadores de la compañía también han observado que los terroristas han comenzado a adoptar Cloudflare para dar otro nivel de anonimato a sus webs de propaganda.
Además de esto, Trend Micro también ha descubierto que los terroristas adoptan y distribuyen guías para el “anonimato”. Originariamente destinadas a activistas y periodistas, estas guías están siendo distribuidas a sus seguidores, evidentemente para enseñar a los nuevos miembros o a los no iniciados las formas de evitar ser espiados. Algunas de estas guías incluso mencionan a la Agencia de Seguridad Nacional (NSA) de Estados Unidos y la forma de evitar su vigilancia:
Incluso van tan lejos como para obligar al lector a desactivar sus cuentas en redes sociales para mantener el anonimato. Las diferencias en las estrategias que los grupos terroristas y los ciberdelincuentes comunes aplican para permanecer en el anonimato son otro ejemplo del contraste entre las dos partes y sus distintos objetivos. Una de las hipótesis que podemos extraer es que las consecuencias de ser atrapados son diferentes para los dos grupos: los cibercriminales sólo tienen que preocuparse de pasar un tiempo de cárcel, mientras que los terroristas tendrían que hacer frente a las acciones de lucha contra el terrorismo, que en última instancia pueden conducir a largas sentencias de prisión o incluso a la muerte.
Formas de comunicación
Los terroristas y los cibercriminales comparten métodos comunes de comunicación. Estos son algunos de los medios que utilizan los ciberdelincuentes de todo el mundo, según la investigación de Trend Micro, The Many Faces of Cybercrime:
• Servicios de correo electrónico seguro: los ciberdelincuentes japoneses en particular utilizan servicios como “Safe-Mail” para ponerse en contacto e intercambiar información entre ellos a través de correo electrónico seguro e indetectable.
• Deep Web / foros clandestinos: en casi todas las comunidades clandestinas de ciberdelincuentes hemos observado que se utilizaban foros clandestinos -no sólo para anunciar sus productos y servicios, sino también para discutir nuevas técnicas y compartir información. Estos foros son generalmente accesibles sólo a través de TOR, aunque algunos requieren ciertas comprobaciones para poder entrar.
• Redes sociales (Twitter, Facebook): los ciberdelincuentes brasileños utilizan los medios sociales no solo para mantenerse en contacto entre sí, sino también para presumir de los ingresos de sus actividades.
Trend Micro explica que los terroristas usan estos mismos medios, pero para diferentes propósitos. La utilización de los métodos anteriores se centra más en la comunicación, la coordinación y el intercambio de propaganda (especialmente con los medios de comunicación social) en comparación con el precio-regateo / abuso relacionado con el cibercrimen. Los servicios de correo electrónico seguro son muy utilizados por los terroristas, con servicios tales como SIGAINT, Ruggedinbox y Mail2Tor, que son muy recomendados entre los de su clase.
La mensajería instantánea es también otro método de comunicación que ciberdelincuentes y terroristas tienen en común, pero que se utiliza más para la comunicación y la coordinación en lugar de para robar información o para propagar enlaces maliciosos. Trend Micro estudió 2.301 cuentas que apoyan abiertamente a grupos terroristas y encontró que el servicio de mensajería instantánea Telegram es el más elegido entre los terroristas, con un 34% que mantiene la información de contactos en él. Wickr, SureSpot, Signal y Threema representan al resto, junto con WhatsApp y otras aplicaciones de mensajería. WhatsApp anteriormente se utilizó mucho más del 15% que vemos de hoy en día; esta reducción en su uso puede tener su origen en las recientes detenciones de terroristas realizadas a través del uso de la aplicación de mensajería.
Los cibercriminales y los terroristas también comparten el uso de servicios de alojamiento y compartición de archivos. Estos servicios son utilizados principalmente por los terroristas para enviar y difundir propaganda a grandes medios de comunicación digital. Ejemplos de tales servicios utilizados de esta manera incluyen top4top.net, Sendspace, y Securedrop. Algo que debemos tener en cuenta aquí es la tendencia que se está dando entre los grupos terroristas, que prefieren que los servicios de alojamiento de archivos estén ubicados en regiones como Oriente Medio, presumiblemente otra respuesta a la amenaza a las plataformas de comunicaciones, que están sometidas a una gran vigilancia de los gobiernos de los países occidentales, como EE.UU.
Por último, Trend Micro concluye esta sección con una nota sobre una plataforma de comunicaciones que es única para las operaciones de terroristas: los teléfonos móviles. Esto merece ser mencionado debido al hecho de que, a diferencia de los ciberdelincuentes cuyas actividades generalmente se limitan al ciberespacio, los grupos terroristas operan en todo en el mundo real y utilizan los medios digitales para comunicarse. Pero aunque este medio de comunicación en particular esté ganando terreno, numerosos foros terroristas clandestinos recomiendan permanecer al margen de los teléfonos inteligentes debido a su falta de seguridad. Las dos plataformas móviles más populares (iOS y Android) se consideran indeseables en los foros.
Difusión de propaganda
Una de las diferencias más claras entre delincuentes y terroristas es su deseo de difundir propaganda. Si el principal objetivo de los ciberdelincuentes es cometer el delito cibernético y permanecer ocultos mientras lo hacen, los terroristas pretenden que su contenido sea viral, para ser visto y consumido no sólo por sus seguidores, sino también por un público mucho más amplio. Al mismo tiempo, los grupos terroristas también hacen todo lo posible para no ser prohibidos o censurados por los canales que utilizan para difundir su propaganda, o tener su identidad en la vida real rastreada y detectada mientras lo hacen.
¿Cómo difunden su propaganda?
• Sitios Web: los grupos terroristas utilizan sitios web tanto en la web abierta como en la más opaca (Dark Web) para albergar la propaganda y los materiales relacionados como artículos, noticias, publicaciones, documentos y otras herramientas de comunicación como vídeos e imágenes.
• Medios sociales: los terroristas y sus partidarios usan Twitter y Facebook no solo para extender la propaganda, sino también para comunicarse entre sí y con los posibles conversos. En particular, Twitter está tomando intensas medidas contra las cuentas que apoyan abiertamente la propaganda terrorista prohibiéndolas directamente. Eso ha obligado a titulares de las cuentas a empezar de cero.
• Medios: vídeos, fotos y materiales promocionales que representan a los grupos terroristas de forma positiva, son desarrollados y producidos con calidad profesional con el fin de captar la atención de tantos espectadores como sea posible. Estos también pueden venir en forma de anuncios que destacan las victorias del grupo y, en algunos casos, pueden incluso ser utilizados para ‘vender’ rehenes.
• Medios de almacenamiento físico: a los grupos terroristas también se les ha encontrado difundiendo propaganda y otra información a través de la distribución de tarjetas SIM y dispositivos USB como una alternativa que escapa al control. Esto les permite continuar difundiendo su ideología sin temor a ser detectados o vigilados.
Herramientas personalizadas y a medida para terroristas
A partir del establecimiento de las similitudes y diferencias que tienen los cibercriminales y los terroristas en cuando a las tecnologías y métodos de comunicación que utilizan, Trend Micro también se ha centrado en este análisis en las tecnologías que son específicas para este último grupo: los terroristas. Así, los investigadores de la compañía han descubierto ciertas aplicaciones domésticas que han sido desarrolladas por grupos terroristas para ayudar a los miembros que no son tan competentes técnicamente a conservar sus anonimatos y a asegurar sus líneas de comunicación. Estas son las seis herramientas más populares y de uso común, basadas en las observaciones online de Trend Micro:
• Mojahedeen Secrets: lanzada en 2007 como una alternativa a PGP, Mojahedeen Secrets se considera que es la primera aplicación de cifrado desarrollada “profesionalmente” para el correo electrónico. Esta aplicación cifra el correo electrónico y la transferencia de archivos utilizando los sistemas de cifrado RSA público / privado. Además de permitir a los usuarios crear claves privadas para enviar mensajes de correo electrónico, la aplicación también es compatible con la mensajería y cuenta con una función de destrucción de archivos para eliminarlos de forma segura.
• Tashfeer al-Jawwal: considerada una de las primeras aplicaciones de cifrado para móviles, esta aplicación fue desarrollada por Global Islamic Media Front (GIMF) y lanzada en 2013. La aplicación en sí actúa como un programa de cifrado móvil.
• Asrar al-Dardashah: lanzado en 2013, este plugin fue desarrollado para la aplicación de mensajería instantánea Pidgin. Fácil de instalar, esta herramienta lo que hace es añadir cifrado para las funciones de mensajería instantánea, asegurándola con sólo pulsar un botón.
• Amn al-Mujahed: un programa de cifrado de software desarrollado por Al-Fajr Technical Committee (ATC). Lanzado en 2013, este software actualmente se encuentra en la versión 1.1 y se está desarrollando activamente. Cifra los mensajes para su uso con múltiples plataformas de mensajería, tales como el correo electrónico, SMS y mensajería instantánea.
• Alemarah: esta nueva aplicación para Android sirve para distribuir noticias para las acciones relacionadas con el terrorismo. En ella se enumeran las fuentes de noticias, sitios web y calendarios que contienen información relacionada con las operaciones en curso.
• Amaq v 1.1: Amaq es una aplicación para Android conocida por ser utilizada por las organizaciones terroristas para difundir información. La app, ampliamente distribuida y con gran difusión, ha pasado por varias versiones. La última, Amaq 2.1, utiliza un archivo de configuración que permite al distribuidor de la app cambiar fácilmente la URL donde se aloja la app en caso de que cualquiera de sus sitios web se caiga, una técnica también utilizada por los cibercriminales para gestionar el malware de URL.
• Herramientas DDoS: durante el curso de la investigación de las herramientas utilizadas por organizaciones terroristas, Trend Micro también se ha encontrado con una que dice ser una herramienta DDoS, creada por un individuo que parece ser un simpatizante de una determinada organización terrorista. Inicialmente se pensó que era una aplicación falsa y que era improbable que causara problemas. Sin embargo, las pruebas confirmaron que era capaz de realizar ataques de negación de servicio de alcance limitado a través de la técnica SYN Flood. Si bien esta aplicación no está particularmente avanzada, hay indicios que muestran que se está investigando activamente en esta disruptiva tecnología.
Conclusión
Trend Micro, al haber sido capaz de obtener un nivel de visibilidad de las actividades online de terroristas y cibercriminales, ve una gran cantidad de diferencias y similitudes en sus técnicas y métodos. Mientras que ambos grupos tienen especial interés en mantener su anonimato online, la forma utilizada en la divulgación de la información relacionada con sus intereses es bastante diferente. Así, la compañía revela que los cibercriminales están más dispuestos a comprometerse con contactos limitados, y ponen el peso sobre la reputación online de los individuos. Por el contrario, las organizaciones terroristas centran sus esfuerzos en hacer llegar su propaganda a un público más amplio con la esperanza de encontrar potenciales simpatizantes.
Motivaciones al margen, hay una gran cantidad de coincidencias en cuanto a la presencia en Internet de las organizaciones terroristas y los cibercriminales. Ambos se comunican a través de los mismos canales y utilizan las mismas tecnologías, haciendo que la tarea de seguimiento de los terroristas sea tan difícil como lo es la de rastrear a los ciberdelincuentes, si no lo es más. Sin embargo, conocer los canales y tecnologías que utilizan es un primer paso crítico para comprender mejor cómo funcionan estos grupos y, en última instancia, puede ayudar a proporcionar formas o vías para detener sus actividades.
