Cada vez que ocurre un incidente de carácter mayor, usualmente sabemos a quién contactar para atender debidamente el problema. Si tienes una situación de salud, acudes a tu médico de cabecera u hospital más cercano. En el caso de un incendio, llamas a los bomberos, mientras que los servicios de asistencia en la carretera son indispensables cuando tu auto se queda varado en la calle.

Sin embargo, si has sido víctima de un ciberataque, en donde un atacante o hacker se apropió de los datos de tu tarjeta de crédito y accediendo a tus cuentas con información sensitiva y privilegiada, por ejemplo, ¿a quién se supone que llames? Puedes contactar a la policía, a tu banco y a las agencias federales pero, ¿de qué manera saber cómo el atacante obtuvo tu información, así como las medidas que debes tomar para evitar que esto se repita? ¿Y qué hacer cuando la víctima es una empresa o una agencia gubernamental?

Es aquí donde entran empresas que investigan este tipo de casos usando técnicas de análisis forense digital y respuesta a incidentes (Digital Forensics and Incident Response, en inglés). A través de un proceso sumamente meticuloso y detallado, estas firmas ayudan a identificar los rastros que ha dejado un hacker y, si se actúa con premura, incluso recuperar los datos afectados o el dinero hurtado.

“Si me roban mis datos, ¿a quién llamo?”, cuestiona Charles Smart, Gerente de Seguridad Informática y auditor e investigador certificado PCI-DSS de GM Sectec, una empresa con sede en Puerto Rico y con operaciones en más de 50 países a nivel mundial, la cual ofrece servicios gestionados de ciberseguridad, gobernabilidad y cumplimiento enfocados con el estándar de seguridad de Payment Card Industry Data Security Standards (PCI DSS, por sus siglas en inglés) a nivel global. “Más allá de llamar a las autoridades, no tenemos páginas amarillas para un especialista forense digital”.

La palabra “forense” suele traer a la mente un patólogo forense quien, con lupa, cámara y otros instrumentos en mano, escudriña y analiza una escena de crimen para encontrar pistas sobre lo ocurrido. “La única diferencia es que la ‘escena’ que estamos investigando y analizando es una máquina, un disco duro, un correo electrónico o un sistema entero que no siente ni padece, pero guarda rastros de lo que pasó, quién lo hizo y cómo”, agrega Smart.

Esto se realiza a través de herramientas especializadas que, más allá de asistir a la búsqueda de datos relacionados a una investigación, mantienen una bitácora detallada del proceso. A su vez, esto ayuda en la preparación de informes que se someten como evidencia en un caso judicial, explica el experto.

“Parte del proceso investigativo forense es el poder seguir un proceso metódico, repetible y preservando la evidencia capturada”, agrega. Los pasos en este tipo de investigación incluyen producir copias múltiples del ordenador o disco duro en cuestión para garantizar la integridad del proceso y un análisis objetivo de los hallazgos, así como técnicas avanzadas para recuperar datos borrados.

“Phishing” representa el mayor riesgo

En la actualidad, la manera preferida para que los hackers se adentren en un sistema es a través del correo electrónico, especialmente cuando una empresa es víctima de un ataque, comparte Smart.

“Hemos visto que los atacantes se hacen pasar por una persona conocida y solicitan algunos ajustes dentro de la cadena de pagos (de una compañía)”, explica. “Por ejemplo, me hago pasar por un ejecutivo de una empresa y le pido al director de compras mediante correo electrónico que me tramite un pago para un suplidor, cuando en verdad ese suplidor soy yo mismo. Le paso una información bancaria falsa para entonces desviar ese pago y yo monetizar ese proceso”.

El presidente de GM Sectec, Héctor Guillermo Martínez, detalla por su parte que este tipo de ataque comúnmente se le llama phishing, del cual existen tres categorías. El primero es el tradicional que muchos conocen, como el correo que le informa a la potencial víctima que se ganó la lotería, pero que primero debe transferir una cantidad pequeña de dinero para poder recibir el premio. “Ese era el phishing de tipo spray and pray (rociar y rezar, en español), donde se tiran muchos correos y esperan a que alguien muerda el anzuelo”, dice Martínez.

Las demás categorías son más avanzadas y tienen más probabilidad de cobrar víctimas. Entre ellas se encuentra el spear phishing, que es un ataque más dirigido hacia una empresa o entidad, y donde el hacker hace una investigación previa de su blanco para mejor enfocar su ataque. Por último, está el whaling o pesca de ballenas, que se asemeja al spear phishing, pero va dirigida a la alta cúpula de ejecutivos dentro de una compañía, sostiene Martínez.

Otra modalidad frecuentemente usada, aunque menos común, es el llamado ransomware, en donde el atacante “secuestra” cifras y datos sensibles y pide a la víctima que le envíe dinero para poder descifrarlos, apunta por su parte Georgie Berríos, Oficial Sénior de Seguridad Informática y AVP en GM Sectec.

“Hay organizaciones definidas y estructuradas para coordinar este tipo de ataques”, subraya Smart. “Hay incluso servicios que se consiguen en la dark web que ofrecen ‘paquetes’ de este tipo de ataque”.

Tales organizaciones se han vuelto tan sofisticadas, revela Smart, que cuentan con garantías de servicio y hasta mesa de apoyo para sus clientes. “Los costos son bajos y accesibles, de $200 a $300 y pico de dólares. Preparan un paquete, lo envían al objetivo y como recompensa, puedo recibir un porcentaje de lo que ellos logran hurtar”.

Laboratorio forense como punta de lanza de la evolución tecnológica

En el caso de GM Sectec, la firma con sede en San Juan, pero con presencia en 50 países, cuenta con peritaje en el campo de tarjetas de crédito, uno de los blancos más frecuentes en este tipo de ataques.

“PCI es un concilio de las cinco compañías principales de tarjetas de pago en el mundo”, expone Martínez. "Nosotros somos una de solamente 23 empresas certificadas y autorizadas con laboratorio propio por PCI para hacer estos trabajos en el mundo entero a nombre de compañías como Visa,

Mastercard, American Express, Discover y JCB (esta última con sede en Japón), así como la única que es propiamente basada en la región de América Latina y Caribe".

El aspecto de análisis forense digital ha adquirido tanta importancia para GM Sectec que la empresa dedicó unas instalaciones secundarias en Santurce solo para ese propósito, aparte de sus oficinas centrales en Río Piedras. Estas instalaciones cuentan con un área estéril, así como medidas estrictas de seguridad, a tono con el aspecto altamente sensible de los datos que se manejan, declara Berríos.

Para Natasha Gitany, Principal Oficial de Información de GM Sectec, la compañía, que este año celebra su 50 aniversario, cuenta con un nivel de experiencia inigualada en el segmento de tarjetas de crédito, habiendo comenzado operaciones en 1970 como General Computer Corporation y luego, para el 1990 como GM Group ofreciendo sistemas de procesamiento de pagos en todo América Latina y el Caribe.

Y a juzgar por la tendencia creciente en ciberataques en todos los niveles, todo apunta a que los analistas forenses de la empresa tendrán taller para buen rato. “Cualquier persona puede ser víctima de un ataque cibernético; lo único que necesitan los atacantes es un sistema digital y una víctima”, concluye Smart.