{"id":6662,"date":"2016-02-10T10:21:25","date_gmt":"2016-02-10T10:21:25","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=6662"},"modified":"2019-11-22T03:02:59","modified_gmt":"2019-11-22T09:02:59","slug":"math-catches-hackers","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/math-catches-hackers\/6662\/","title":{"rendered":"Usar las matem\u00e1ticas para atrapar a un cibercriminal"},"content":{"rendered":"<p>Lo creas o no, las matem\u00e1ticas son importantes. Aunque hayamos odiado a nuestros profesores cuando \u00e9ramos ni\u00f1os, el comportamiento humano es bastante predecible y las matem\u00e1ticas nos ayudan con estas predicciones: al menos nuestro comportamiento, el de los seres humanos, puede describirse a trav\u00e9s de las matem\u00e1ticas. La buena noticia es que, las matem\u00e1ticas tambi\u00e9n se pueden utilizar en el caso de los cibercriminales.<\/p>\n<p>Los hackers y otros criminales que utilizan Internet para \u201ctrabajar\u201d (como los traficantes de armas o de drogas), trabajan duro para permanecer en el anonimato: utilizan Tor para conectarse a la red, cambian sus <em>handles<\/em> (alias utilizados en los foros del submundo cibern\u00e9tico) y usan herramientas especiales para mantener el anonimato.<\/p>\n<p>Sin embargo, los cibercriminales son seres humanos y, como tales, est\u00e1n limitados por sus h\u00e1bitos sociales y su entorno. Celebran el A\u00f1o Nuevo, duermen por la noche y van al trabajo. Adem\u00e1s, no pueden postear desde varias cuentas <em>simult\u00e1neamente<\/em>. En teor\u00eda, se podr\u00eda crear un bot que publique algo al mismo tiempo que lo hace el hacker, pero esta es otra historia.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">RT <a href=\"https:\/\/twitter.com\/chthierry?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@chthierry<\/a>: How <a href=\"https:\/\/twitter.com\/hashtag\/BigData?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#BigData<\/a> helps to catch criminals: <a href=\"https:\/\/t.co\/nIu1L9sd4S\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/nIu1L9sd4S<\/a> via <a href=\"https:\/\/twitter.com\/kaspersky?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@kaspersky<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/684487957928132608?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">January 5, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Toda actividad<em> online<\/em> crea unos datos, y cuando se tienen suficientes datos para analizar, es m\u00e1s f\u00e1cil atrapar a un criminal. <a href=\"https:\/\/latam.kaspersky.com\/blog\/el-big-data-ayuda-a-capturar-a-los-criminales\/5339\/\" target=\"_blank\" rel=\"noopener\">Muchas compa\u00f1\u00edas anal\u00edticas<\/a> llevan a cabo investigaciones forenses para los organismos policiales. Una de estas empresas es <em>Recorded Future<\/em>. En el <a href=\"https:\/\/latam.kaspersky.com\/blog\/?s=summit+2016&amp;submit=Search\" target=\"_blank\" rel=\"noopener\">Security Analyst Summit 2016<\/a>, el director ejecutivo de la compa\u00f1\u00eda, <a href=\"https:\/\/twitter.com\/cahlberg\" target=\"_blank\" rel=\"noopener nofollow\">Christopher Ahlberg<\/a>, cont\u00f3 c\u00f3mo utilizaban las matem\u00e1ticas para atrapar a los cibercriminales.<\/p>\n<p>La compa\u00f1\u00eda automatiz\u00f3 el proceso de almacenamiento de informaci\u00f3n para recopilar datos de m\u00e1s de los 500 foros m\u00e1s conocidos entre los cibercriminales. Estos datos se han ido recopilando durante m\u00e1s de cuatro a\u00f1os y en siete idiomas diferentes, y con ello, <em>Recorded Future<\/em> descubri\u00f3 varios datos de inter\u00e9s.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Non-Impervious: <a href=\"https:\/\/twitter.com\/hashtag\/cybercriminals?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#cybercriminals<\/a> make mistakes too: <a href=\"https:\/\/t.co\/WC8392Uwh3\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/WC8392Uwh3<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/571418391443083266?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 27, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Curiosamente, al parecer, los cibercriminales no suelen reutilizar los <em>handles<\/em>. <em>Recorded Future <\/em>registr\u00f3 m\u00e1s de 742,000 alias, de los cuales, el 98.8 % eran \u00fanicos. Sin embargo, los an\u00e1lisis pueden detectar, qu\u00e9 apodos utiliza un mismo criminal. Es muy sencillo cambiar de <em>handle<\/em>, pero cambiar el comportamiento es mucho m\u00e1s dif\u00edcil.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">RT <a href=\"https:\/\/twitter.com\/chthierry?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@chthierry<\/a>: How <a href=\"https:\/\/twitter.com\/hashtag\/BigData?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#BigData<\/a> helps to catch criminals: <a href=\"https:\/\/t.co\/nIu1L9sd4S\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/nIu1L9sd4S<\/a> via <a href=\"https:\/\/twitter.com\/kaspersky?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@kaspersky<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/684487957928132608?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">January 5, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Analizando los horarios de actividad y los patrones de voz, se pueden encontrar ciertas conexiones entre las diferentes cuentas que, en un principio, no tienen relaci\u00f3n alguna. Lo que m\u00e1s llama la atenci\u00f3n son los horarios de actividad en la red. Si hay varias cuentas diferentes que se conectan a Internet una seguida de la otra, como vagones de tren, lo m\u00e1s probable es que pertenezcan a la misma persona.<\/p>\n<p><img decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/02\/05195147\/image00.png\" alt=\"\" width=\"956\" height=\"529\"><\/p>\n<p>Como se puede ver en la imagen que aparece arriba, en cuanto se desconecta el usuario \u201cHassan20\u201d, el usuario \u201cCrisis\u201d inicia su sesi\u00f3n. Es muy probable que estas cuentas pertenezcan a la misma persona. Tambi\u00e9n se puede usar este m\u00e9todo para identificar a los miembros de una banda, ya que, se conectar\u00e1n al mismo tiempo durante un periodo determinado para coordinar sus acciones.<\/p>\n<p>Si los miembros de un grupo est\u00e1n conectados a la red durante todo el d\u00eda, lo m\u00e1s probable es que vivan en diferentes zonas horarias o est\u00e9n intentando crear esa impresi\u00f3n.<\/p>\n<p><img decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/02\/05195146\/image03.png\" alt=\"\" width=\"941\" height=\"536\"><\/p>\n<p>Al analizar los d\u00edas libres y de los hackers y sus per\u00edodos con mayor carga de trabajo, se puede averiguar su nacionalidad. Por ejemplo, lo m\u00e1s probable es que los criminales de pa\u00edses isl\u00e1micos est\u00e9n activos durante el Ramad\u00e1n. Si no eres religioso, no tendr\u00e1s mucho que hacer aparte de \u201ctrabajar\u201d durante estos d\u00edas, \u00bfno? Adem\u00e1s, tambi\u00e9n est\u00e1n muy activos durante la celebraci\u00f3n del aniversario de la Revoluci\u00f3n Isl\u00e1mica. En el caso de los hackers rusos, trabajan mucho m\u00e1s durante la \u00faltima semana de diciembre. Esto es muy interesante, ya que todo el mundo celebra A\u00f1o Nuevo, incluso los cibercriminales.<\/p>\n<p><img decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/02\/05195146\/image02.png\" alt=\"\" width=\"933\" height=\"493\"><\/p>\n<p>Tambi\u00e9n se pueden distinguir otras caracter\u00edsticas y rasgos m\u00e1s espec\u00edficos analizando los h\u00e1bitos que tienen los usuarios en la red \u201clegal\u201d. Los criminales tambi\u00e9n tienen hobbies, como nosotros. Utilizan las redes sociales, se van de vacaciones, ven pel\u00edculas y leen libros utilizando diferentes servicios web\u2026 Al contrario que Tor, estos servicios ofrecen muchas posibilidades para averiguar sus identidades, y, al final, poder arrestarles.<\/p>\n<p><img decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/02\/05195145\/image01.png\" alt=\"\" width=\"952\" height=\"538\"><\/p>\n<p>Analizando los horarios de actividad de una p\u00e1gina londinense que vende drogas, se puede ver que el usuario \u201cAbraxas\u201d es el administrador de este recurso.<em> Bueno, \u00bfqu\u00e9 pruebas tenemos?<\/em> Al parecer se ausent\u00f3 durante dos d\u00edas, lo que provoc\u00f3 que los traficantes de drogas perdieran dinero. \u00bfSe fue de vacaciones? \u00bfO tal vez se puso enfermo? Cuando las agencias forenses tienen suficientes datos de este tipo, es posible encontrar a la persona en la vida real.<\/p>\n<p>Sin embargo, no hace falta conformarse con la observaci\u00f3n pasiva. En algunos casos, es mucho mejor hacerles cambiar sus patrones de comportamiento provoc\u00e1ndoles para que traicionen sus instintos. Christopher afirma conocer varias investigaciones en las que se han usado estos trucos con buenos resultados, aunque, por seguridad, no puede revelar m\u00e1s detalles. As\u00ed que, analizaremos este m\u00e9todo utilizando un ejemplo muy conocido.<\/p>\n<p>Los expertos en ciberseguridad son conscientes del siguiente principio: en cuanto un desarrollador lanza un parche, alguien r\u00e1pidamente crea un <em>exploit<\/em> utilizando ingenier\u00eda inversa. Muchas personas no se instalan las actualizaciones del sistema en el momento en que las lanzan, por lo que se convierten en el blanco f\u00e1cil de los cibercriminales. Microsoft ten\u00eda la costumbre de lanzar sus parches los martes, por lo que apareci\u00f3 el dicho de: \u201c<a href=\"https:\/\/en.wikipedia.org\/wiki\/Patch_Tuesday#Exploit_Wednesday\" target=\"_blank\" rel=\"noopener nofollow\">martes de parches, mi\u00e9rcoles de<\/a> <em>exploits<\/em>\u201c. Este es un claro ejemplo de lo que ya hemos mencionado.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Patch Tuesday created exploit Wednesday <a href=\"https:\/\/twitter.com\/cahlberg?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@cahlberg<\/a> at <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2016?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2016<\/a> <a href=\"https:\/\/t.co\/RevqYIPagT\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/RevqYIPagT<\/a><\/p>\n<p>\u2014 Eugene Kaspersky (@e_kaspersky) <a href=\"https:\/\/twitter.com\/e_kaspersky\/status\/696730907143770113?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 8, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Los parches se han convertido en un arma de doble filo. Por un lado, protegen a las personas; por el otro, literalmente, ofrecen a los hackers la oportunidad perfecta para localizar a los usuarios m\u00e1s descuidados. Adem\u00e1s, los martes de parches hacen a los hackers trabajar duro durante los siguientes d\u00edas de su lanzamiento.<\/p>\n<p>Por lo tanto, Microsoft trastoc\u00f3 los planes de los hackers para el segundo y el cuarto mi\u00e9rcoles de cada mes. Los especialistas en seguridad pueden hacer lo mismo para hacer que los hackers se delaten a trav\u00e9s campa\u00f1as elaboradas. Y eso es precisamente lo que hacen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Al observar el comportamiento de los cibercriminales, podemos observar ciertos patrones persistentes que pueden llevarnos a conocer la identidad real del criminal<\/p>\n","protected":false},"author":522,"featured_media":6663,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,3144],"tags":[1772,99,2339,38,2344],"class_list":{"0":"post-6662","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-special-projects","9":"tag-analiticas","10":"tag-cibercriminales","11":"tag-sas-2016","12":"tag-seguridad","13":"tag-thesas2016"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/math-catches-hackers\/6662\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/math-catches-hackers\/6674\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/math-catches-hackers\/6749\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/math-catches-hackers\/7717\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/math-catches-hackers\/7457\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/math-catches-hackers\/10822\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/math-catches-hackers\/11274\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/math-catches-hackers\/6006\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/math-catches-hackers\/6975\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/math-catches-hackers\/10374\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/math-catches-hackers\/10822\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/math-catches-hackers\/11274\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/math-catches-hackers\/11274\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/analiticas\/","name":"anal\u00edticas"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6662","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/522"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=6662"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6662\/revisions"}],"predecessor-version":[{"id":16116,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6662\/revisions\/16116"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/6663"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=6662"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=6662"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=6662"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}