Talos es el equipo de 'espías' de Cisco. Su misión: navegar por la Deep Web para infiltrarse en foros de cibercriminales, entender cómo operan y frenar sus ataques.
"Muchos de nuestros investigadores pasan tiempo en sitios onion (a los que sólo se puede acceder con programas que ocultan la dirección IP), por ejemplo, sitios de mercado ilegales", explicó en entrevista Jaeson Schultz, técnico a la cabeza del equipo de investigación y seguridad inteligente de Talos.
"Realmente puedes levantar mucha de la información sólo al visitar estos foros, por ejemplo, cuál es el precio por el número robado de una tarjeta de crédito o de una contraseña robada de una cuenta de redes sociales".
De acuerdo con el especialista, de esta forma pueden llegar a identificar a los actores que buscan hacer dinero con estas actividades ilícitas, las cuales suelen ser pagadas con Bitcoins.
En una operación que aún está en marcha, el equipo usó Bitcoins para realizar compras y luego buscar el camino dejado por las monedas encriptadas.
75% es Deep Web. Incluye bases de datos, páginas protegidas con contraseñas y a las cuales no llegan los buscadores, dentro de éstas se ubican también páginas no indexadas aprovechadas por delincuentes.
"Es muy difícil, se convierte en un juego de escudos desde la perspectiva de los atacantes, pero (con el tiempo) sale el elemento humano, la gente se vuelve floja; los criminales quizás usen el mismo mail para registrar 50 carteras más en el sistema, y si podemos identificar una, entonces podemos identificar las otras 49 porque todas tienen la misma cuenta de correo", explicó Schultz.
Según el especialista, de esta manera pueden hallar a las personas detrás de las transacciones y asociarlas a otras actividades ilícitas que quizás estén realizando.
Schultz menciona que los cibercriminales usan foros en la Deep Web para navegar de forma anónima y entablar comunicación con otros delincuentes especializados en diversas acciones.
Por ejemplo, un individuo podría comprar en estos foros una botnet (red de programas que imitan el comportamiento humano) y luego usarla para ofrecer a otros un servicio de envío masivo de correos con virus.
"Si estas especializado en enviar correos no necesariamente implica que generas el contenido; tu contrato con otros criminales es solamente para distribuir el ransomeware u otro mail malicioso", comentó el especialista.
Hace tiempo, Talos realizó una operación en la que compró una lista robada de correos electrónicos con sus claves de acceso.
"Navegamos a través de la lista de correos y encontramos que los nombres de dominio que había ahí, la administración de dominios se había caducado, entonces pudimos volver a registrar algunos de esos nombres de dominio y transformarlos en trampas de spam", mencionó.
De esta manera, se aseguraron de que si alguien más compraba esa lista sólo pudiera enviar correo spam, lo que hace mucho más difícil que se concrete la infección de los usuarios.
Otra de sus operaciones, estuvo enfocada en el mercado ilegal de fármacos.
"Compramos diversas drogas en internet y nos fueron entregadas. Las evaluamos en un laboratorio y era fascinante porque en ningún momento conseguimos lo que se suponía que íbamos a conseguir, quizás la droga era diferente o la dosis era diferente, pero nunca fue la orden que hicimos", narró Schultz.
De acuerdo con el especialista, esto los sorprendió debido al tamaño del mercado ilegal de fármacos que florece en línea.