De Ransomeware y otros similares. El futuro de los delitos es hoy

La educación superior no garantiza necesariamente una virtud superior o una superior sabiduría política. - Aldous Huxley

Este artículo está traducido y extractado del siguiente, para la conclusión final que creo que es interesante aportar: https://www.csoonline.com/article/3651670/how-blockchain-investigations-work.html

El Golpe a Colonial Pipeline

Cuando Colonial Pipeline fue golpeado por ransomware el 7 de mayo de 2021, pagó 75 bitcoins para restaurar sus sistemas. Pero el dinero no se perdió por completo. El FBI pudo rastrear cómo saltó de una billetera digital a otra. En un momento dado, el 27 de mayo, 63.7 de los bitcoins fueron transferidos a una dirección y dejaron de moverse. El FBI obtuvo la clave privada para desbloquear esa billetera bitcoin y pudo recuperar los fondos. La incautación fue una gran victoria para Estados Unidos. El grupo de trabajo de ransomware del Departamento de Justicia, dedicado a investigar e interrumpir las bandas o grupos de ciberdelincuentes. Fueron desbaratados más de un tercio de organizaciones de todo el mundo en un solo año, y dos tercios de las víctimas reportó una pérdida significativa de ingresos.

Los pagos superan los $600 millones en total en 2021, según un informe reciente de la plataforma de datos blockchain Cainalástica. Si bien el FBI dijo poco sobre cómo obtuvo la clave privada y cómo ayudó a Colonial Pipeline a recuperar parte del rescate, el seguimiento de las transacciones en la cadena de bloques se está convirtiendo en una parte esencial de las investigaciones de ciberdelincuentes.

Las agencias de aplicación de la ley a menudo trabajan con compañías de análisis que tienen expertos dedicados u ofrecen herramientas de software diseñadas para tomar datos de blockchain sin procesar y proporcionar información al respecto. "Podemos rastrear y rastrear el flujo de fondos de maneras que nunca fueron posibles", dice Ari Redbord, jefe de asuntos legales y gubernamentales de la compañía de inteligencia de blockchain TRM Labs, que proporciona software para rastrear transacciones de criptomonedas.

Dar sentido a los datos brutos de blockchain puede ayudar a las víctimas de ransomware a recuperar parte de su dinero, pero también puede arrojar luz sobre otros tipos de actividades delictivas, desde la de los actores del estado-nación que operan en la cadena de bloques hasta cualquier fraude financiero o incluso casos de secuestro.

A menudo, las investigaciones requieren semanas de trabajo, conocimiento técnico profundo y algo de creatividad, pero "definitivamente hay una posibilidad no insignificante de recuperar al menos el 25% del dinero", dice Paul Sibenik, gerente principal de casos de la agencia de investigación de blockchain CipherBlade.

Pasos en una investigación de blockchain

La recuperación del rescate del Oleoducto Colonial ocurrió bajo “una circunstancia muy única,” como lo expresa Redbord. Aún así, este éxito del Departamento de Justicia ayudó a las víctimas a aprender que recuperar sus fondos podría ser una posibilidad. Si bien las investigaciones de blockchain pueden tener diferentes longitudes, los pasos involucrados son similares, independientemente del tipo de delito.

Cuando ocurre un ataque, los investigadores tienen la dirección de criptomoneda a la que se realizó el pago. Por lo general, el dinero no se sienta allí mucho tiempo. Se mueve a diferentes direcciones, se divide en diferentes billeteras y se convierte de bitcoin a otra criptomoneda, saltando blockchains. Los hackers mueven fondos para cubrir sus huellas, pero también para pagar a los asociados. Algunos anillos ciberdelincuentes usan lavadores de dinero profesionales. Todas estas transacciones se transmiten a la cadena de bloques.

“Verás hashes de transacciones, verás bitcoin y otras direcciones de criptomonedas, pero no hay una forma real de saber cómo están vinculadas estas direcciones,” dice Phil Larratt, gerente de operaciones del Reino Unido en Chainalysis.

Si bien cualquiera puede acceder al libro mayor público y mirar los datos sin procesar, derivar información tangible de él puede ser un desafío. Una forma de obtener datos valiosos es agrupar las direcciones, con la esperanza de identificar a la entidad que las controla, como individuos, intercambios o grupos de ransomware. Las billeteras individuales, por ejemplo, pueden tener cinco o seis direcciones, mientras que algunos servicios que operan en la cadena de bloques, como los intercambios, pueden permitir que se agrupen millones de direcciones.

Conocer la entidad exacta detrás de un lote de direcciones puede ser crucial, y las compañías de inteligencia de blockchain tienen formas de encontrar eso. Agregan información de múltiples fuentes, a menudo utilizando datos fuera de la cadena para enriquecer su comprensión de las transacciones. Miran foros web oscuros, publicaciones en redes sociales y documentos judiciales, entre otros.

“Puedes estar en Facebook, y ves a [alguien] solicitando fondos en bitcoin y hay una dirección allí,” dice Redbord. Esa dirección se copia y puede asociarse con una red de ciberdelincuentes, una organización terrorista u otras entidades ilícitas, según el caso.

Tales trazas de información son recopiladas por compañías de inteligencia de blockchain y almacenadas para futuras referencias. “Estamos construyendo una lista negra gigante de direcciones de criptomonedas,” agrega Redbord.

Este proceso de categorización de direcciones se realiza en segundo plano. Los investigadores que utilizan el software de inteligencia blockchain simplemente ingresan la dirección correspondiente al pago. Entonces, pueden ver el flujo de dinero digital. Una información valiosa puede ser, por ejemplo, si ha habido otros pagos a esa dirección.

Los ciberdelincuentes mueven repetidamente fondos con la esperanza de perder la pista, pero deben detenerse en algún momento. Dado que solo hay mucho que uno puede hacer con bitcoins, necesitan convertir ese dinero a moneda tradicional, como los dólares de los Estados Unidos. En algunos casos, la policía puede intervenir y confiscar el dinero a medida que ingresa al mundo real, porque la mayoría de los intercambios siguen las reglas y regulaciones.

“La policía puede obtener información sobre quién posee esa dirección de billetera o quién se asoció con esa dirección porque han obtenido información KyC,” Redbord dice. “Eso es un paso importante que la policía puede tomar".

No todos los intercambios cumplen. Algunos, a menudo basados en el extranjero, valoran el dinero más que hacer lo correcto. “Hay muchos dispuestos a facilitar la actividad ilícita o hacer la vista gorda,” Sibenik dice. “No creo que los intercambios se estén volviendo más compatibles".

Recuperar pagos de ransomware

En algunos casos, las organizaciones que pagaron el rescate, pueden recuperar al menos parte de su dinero. “Con crypto, podría decirse que es más fácil seguir el dinero porque cada transacción se produce en un libro público inmutable, donde puedes ver cada transacción y luego rastrear el flujo de fondos", dice  Redbord.

Las posibilidades de recuperar el dinero dependen de varios parámetros, incluido cuánto tiempo ha pasado del pago al rastreo tentativo de los fondos, qué tan rápido los ciberdelincuentes mueven la criptomoneda, qué cadenas de bloques usan o si usan un servicio de mezcla. Cuando se trata de la aplicación de la ley, las posibilidades de éxito tienden a ser mayores. Las compañías de inteligencia Blockchain solo pueden proporcionar información, mientras que las agencias de aplicación de la ley tienen el poder de usar citaciones y otros procesos legales. “Hemos visto muchos éxitos en diferentes áreas,” Larratt dice.

Aún así, cada caso es diferente, y las posibilidades de recuperar el dinero, al menos en parte, pueden variar mucho. Los grupos de ransomware están puliendo constantemente sus habilidades y se han multiplicado en los últimos años. “Cada grupo puede tener su propia forma de lavar el producto del delito,” Larratt dice. “Sin embargo, debido a que estamos a la vanguardia de esta tecnología, somos capaces de soportar algunas de las investigaciones más sofisticadas y complejas en relación con ransomware".

El seguimiento de las transacciones de bitcoin sigue siendo un esfuerzo complejo, y debe ser realizado por expertos. No puede ser hecho por las víctimas internamente, dice Sibenik. “En general, las grandes empresas tienen dificultades para hacer un trabajo de respuesta a incidentes", agrega.

Sólo otro esquema de lavado de dinero

Las empresas que proporcionan análisis de blockchain dicen que están ayudando a crear una capa de confianza para la criptografía, y esto es beneficioso para todos, incluidos los intercambios. Redbord, quien pasó 11 años trabajando como fiscal federal en los Estados Unidos. el Departamento de Justicia y se centró gran parte de ese tiempo en la financiación de amenazas, dice que la confianza debe ser un componente central de cualquier sistema financiero.

“El antilavado de dinero, la gestión de riesgos y la confianza son una infraestructura fundamental,” Redbord dice. “Es muy importante cumplir con las regulaciones, por supuesto, pero en última instancia, puede ser más importante estar construyendo en esa capa de confianza, porque las personas no van a realizar transacciones en un sistema financiero en el que no confían".

Larratt espera, sin embargo, que la industria de la criptomoneda también se vuelva más regulada, lo que podría frenar el delito cibernético. Dado que la introducción de nuevas regulaciones probablemente será un proceso paso a paso, Chainalysis está esforzándose por ajustar su software, con el objetivo de ayudar a los investigadores a hacer todo lo posible teniendo en cuenta las condiciones actuales. “Estamos desarrollando constantemente nuevas técnicas y herramientas para empoderar a los oficiales y garantizar que puedan mantener el mismo tipo de calidad de investigación en relación con estos actores”, dice.

Al final del día, mover criptomonedas a través de diferentes direcciones “no es realmente diferente al lavado de dinero hace 15 y 20 años, en el hecho de que los fondos se enviarían a una cuenta bancaria tradicional, y luego se cobrarían, y luego se enviarían a otra cuenta bancaria, y luego los fondos se enviarían al extranjero, dice Larratt.

Los expertos son optimistas, diciendo que podríamos ver casos más exitosos en el futuro. Más compañías podrían recuperar al menos parte de su dinero, al igual que Colonial Pipeline. “El análisis de Blockchain, creo, es esencial, pero tal vez a veces una táctica infrautilizada para ayudar a investigar este tipo de actividad, dice ” Larratt.

Conclusión

A pesar de la creencia popular de que blockchain garantiza anonimato total, en realidad, las transacciones realizadas en la mayoría de las blockchains públicas, como Bitcoin o Ethereum, son trazables y transparentes. Cada transacción queda registrada en un libro mayor inmutable, lo que permite a los investigadores rastrear el origen y destino de los fondos involucrados en actividades ilícitas. A continuación, se detallan varias conclusiones que explican cómo el blockchain puede facilitar el rastreo de transacciones delictivas:

Inmutabilidad del blockchain: Todas las transacciones quedan registradas permanentemente: Una vez que se registra una transacción en la blockchain, no puede ser alterada ni eliminada. Esto significa que las transacciones delictivas permanecen en la cadena de bloques indefinidamente, proporcionando un rastro claro que puede ser investigado en cualquier momento, incluso muchos años después. Transparencia total en las blockchains públicas: Aunque las identidades de los usuarios están representadas por direcciones alfanuméricas (que proporcionan un cierto grado de anonimato), cada movimiento de fondos es público y puede ser consultado por cualquier persona. Esto significa que las actividades sospechosas pueden ser rastreadas a lo largo del tiempo, vinculando una dirección con una serie de transacciones.

Rastreo de transacciones a través de múltiples saltos: Aunque los delincuentes pueden intentar ocultar sus huellas mediante múltiples transferencias o dividiendo fondos entre varias direcciones, cada transacción sigue siendo trazable. Existen herramientas y algoritmos que permiten a los investigadores seguir el flujo de criptomonedas a través de varias transacciones hasta su origen o destino final. Reutilización de direcciones: En algunos casos, los delincuentes reutilizan las mismas direcciones para múltiples actividades, lo que facilita el rastreo. Si una dirección es vinculada a un delito anterior, los investigadores pueden analizar todas las transacciones relacionadas con esa dirección.

Asociaciones con exchanges centralizados: Los delincuentes a menudo convierten las criptomonedas en fiat (euros o dólares) utilizando exchanges centralizados. Estas plataformas suelen requerir a sus usuarios que pasen por procesos de KYC (Know Your Customer), donde deben proporcionar información personal verificable. Las autoridades pueden solicitar esta información para identificar a los propietarios de las cuentas vinculadas a transacciones sospechosas.

Herramientas de análisis avanzadas: Existen numerosas herramientas especializadas para analizar la blockchain, que permiten a los investigadores trazar transacciones delictivas:Chainalysis: Herramienta ampliamente utilizada para rastrear transacciones en blockchain y visualizar flujos de criptomonedas, permitiendo identificar patrones sospechosos.Elliptic: Plataforma que ayuda a los investigadores a detectar y rastrear actividades ilícitas, como fraudes, lavado de dinero o el financiamiento del terrorismo.CipherTrace: Utilizada por agencias de gobierno y exchanges, proporciona un análisis profundo de transacciones, detectando posibles transacciones ilícitas y rastreando su flujo.Bitcoin Explorer y Ethereum Explorer: Herramientas más básicas que permiten a los usuarios e investigadores rastrear transacciones, direcciones y bloques específicos en las respectivas redes.Bitfury Crystal: Ofrece análisis en profundidad sobre direcciones sospechosas y permite a los usuarios mapear las transacciones en la red Bitcoin.

Agentes de rastreo de patrones en la blockchain: Las herramientas de análisis mencionadas también pueden identificar patrones anormales o técnicas comunes utilizadas por delincuentes (como mixers o tumblers, que intentan ofuscar el origen de las criptomonedas). Los algoritmos modernos son capaces de desenmascarar estas técnicas, permitiendo que los investigadores conecten transacciones dispersas.

Reducción del anonimato en ciertas criptomonedas: Aunque algunas criptomonedas, como Monero o Zcash, tienen características avanzadas para proteger el anonimato, las criptomonedas más populares, como Bitcoin y Ethereum, permiten rastrear las transacciones fácilmente, ya que los datos de las transacciones son transparentes y accesibles.

El mundo cripto, aparte de esclavizarnos a través de ODBC, tampoco permitirá la libertad del dinero físico.