Es muy difícil rastrear a los piratas informáticos. Sin embargo, un error puede conducir a ser atrapado.
Un hacker finlandés de 25 años ha sido arrestado en ausencia bajo sospecha de una violación de datos dirigida a Vastaamo. Se ha emitido una orden de arresto europea contra él. Se trata de Alexander Julius Kivimakique tiene experiencia en ciberataques.
La policía ha revelado información un poco más detallada sobre cómo se localizó al hacker. Experto en seguridad de la información de Check Point Jarno Ahlström los atacantes pueden dejar rastros que se pueden seguir para atraparlos.
– Los rastros que suelen quedar son varias entradas de registro y archivos que se han transferido al servidor de destino. Lo primero que pretende hacer un atacante es eliminarlos. Quiere ocultar sus rastros de lo que se ha hecho con el dispositivo, dice Ahlström.
Sin embargo, según Ahlstöm, un hacker experimentado generalmente sabe cómo cubrir sus huellas, por lo que es muy difícil localizarlo.
– Suele ser bastante fácil encubrir las propias acciones. Sin embargo, dependiendo del método de ataque, las cosas pueden ponerse más difíciles. Si el atacante está instalando, por ejemplo, malware, no puede eliminarlo por sí mismo cuando se elimine. Pueden contener algunas pistas sobre la procedencia del atacante o si los mismos programas se han utilizado en otros lugares. De esa forma, se amplía el campo sobre el que se dirige el ataque.
– Los denominados piratas informáticos aficionados a menudo utilizan mecanismos de ataque ya preparados y métodos creados por otros, que pueden dejar rastros sin limpiar. Así es como suelen ser atrapados.
Ahlström dice que el atacante principalmente quiere cubrir su ubicación.
– Esta es una de las primeras cosas que hace un atacante habilidoso y experimentado cuando prepara un ataque. No toma ninguna conexión de su propia máquina, sino que intenta enrutar la ruta de ataque lo más difícil posible para ser detectado, por ejemplo, a través de la máquina secuestrada de otra persona o redes Tor. Así tratamos de ocultar el punto de partida, es decir, de dónde viene la acción.
¿Cómo atraparon al sospechoso de Vastaamo?
Kivimäki, sospechoso del contraataque, ya tiene antecedentes penales relacionados con ciberataques. Según Ahlström, esto probablemente contribuyó al hecho de que lo atraparon.
– La persona ya ha sido atrapada anteriormente, por lo que es muy probable que se haya rastreado el camino dejado por el atacante y se haya averiguado por donde ha llevado a cabo el ataque. Puede ser que haya usado las llamadas máquinas de salto en el camino, que han sido secuestradas o vienen a través de la red Tor. Una probabilidad muy alta de ser atrapado se debe a algo como esto, piensa Ahlström.
Según Ahlström, en el caso de Vastaamo y otros ataques similares a gran escala, el proceso de seguimiento es complicado.
– Como regla general, es difícil intervenir en las acciones de un atacante hábil para atraparlo. En tales casos, a menudo hablamos de ataques continuos y de larga duración, en los que el atacante tiene acceso al sistema durante años, cuando las cosas se pueden hacer lentamente y pasar desapercibidas. El objetivo básico del atacante es que no haya nada a lo que seguir.
Según Ahlström, el hecho de que el caso Vastaamo tuviera muchas víctimas y recibiera mucha atención probablemente tuvo un gran impacto en la investigación. El hecho de que haya muchas víctimas no afecta directamente lo fácil que es rastrear al criminal, pero puede hacer que la investigación sea más eficiente.
– La importancia del caso tiene mucho que ver con la investigación. Si hay muchas víctimas, comienza a interesar al público en general ya la policía. El riesgo de ser descubierto aumenta hasta cierto punto, afirma Ahlström.
En el caso de Vastaamo, Alhström también destaca a los hackers de sombrero blanco que utilizan sus habilidades para el bien.
– El grupo de hackers de sombrero blanco benévolos está en constante crecimiento y están sucediendo muchas cosas allí. Incluso en el caso de Vastaamo, diferentes comunidades de hackers de sombrero blanco comenzaron a averiguar si había algo que atrapar en el caso. Estas historias rara vez llegan al público porque se trata de un trabajo de investigación de fondo. Sin embargo, puede ser valioso para la policía y, en el mejor de los casos, ayuda a atrapar al criminal.
El motivo del sospechoso no está claro.
Según Ahlström, los atacantes tienen diferentes motivos.
– Puede ser puramente bullying por un motivo u otro. Los piratas informáticos también pueden buscar fama y gloria entre otros piratas informáticos en el lado oscuro de Internet. Puramente el dinero también está en la mente de muchos atacantes, afirma Ahlström y continúa:
– Distintos tipos de casos de extorsión han ido en aumento con mucha fuerza. Obtener información y difundirla también son un propósito común para tratar de ganar dinero. Yo diría que el principal motivo de un hacker determinado en este momento es el dinero.
No hay información sobre los motivos de Kivimäki. Es posible que haya buscado atención, pero también ganancias financieras.
– En el caso Vastaamo, es difícil comentar los motivos iniciales del ataque, pero posiblemente, según el dicho, la situación podría haber hecho un ladrón. Después del ataque, la información se compartió en la red Tor, luego de lo cual las víctimas comenzaron a ser chantajeadas financieramente, dice Ahlström.
Corrección 28 de octubre de 2022 a las 12:54 horas: Aclarado el estado procesal penal de un preso que es sospechoso de un delito.
Incluso un pequeño error podría haber llevado a la policía a localizar al hacker. AOP / Roosa Bröijer / captura de pantalla