Cifrado y criptomonedas: la nueva lucha anticrimen, delincuentes se especializan tecnológicamente
JACK NICAS Y MICHAEL S. SCHMIDT
Desde los mafiosos de hace un siglo que escapaban a bordo de un auto veloz hasta los terroristas y los hackers de décadas recientes que protegen sus comunicaciones por medio de aplicaciones de mensajería cifrada, los delincuentes siempre han explotado la tecnología para estar un paso adelante de las fuerzas de seguridad.
El Buró Federal de Investigaciones (FBI, por su sigla en inglés) contratacó la semana pasada con un par de victorias: la incautación de la mayor parte de un rescate de 4 millones de dólares en bitcoines que hackers rusos consiguieron al extorsionar a un operador de oleoductos estadounidense y la develación de una operación encubierta que duró años en la que miles de sospechosos fueron engañados para usar una aplicación de mensajería controlada por las autoridades. Más de 800 personas fueron detenidas en más de una docena de países.
Estos avances se dieron en parte gracias a que los funcionarios de seguridad aprendieron a aprovechar dos tecnologías de rápido progreso —el cifrado y las criptomonedas— que antes habían sido una ventaja para los criminales.
Sin embargo, estos eventos hicieron poco para cambiar los elementos fundamentales de los desafíos que enfrentan las autoridades en un mundo cada vez más digital, según exelementos de las fuerzas de seguridad, fiscales, historiadores y expertos en tecnología. Es muy poco probable que la operación encubierta global impida que los delincuentes usen el cifrado y podría motivarlos a ocultarse aún más, opinaron los expertos. Además, si bien el FBI ha demostrado que puede recuperar criptomonedas robadas, hacerlo requiere recursos que la mayoría de las agencias de seguridad no tienen a la mano.
A fin de cuentas, los casos fueron la iteración más reciente de un estira y afloja que se viene jugando desde hace décadas entre los malhechores y el FBI, en el que ambos lados han aprovechado los avances tecnológicos: por un lado, los delincuentes se ocultan detrás de cifrados y, por otro, los investigadores utilizan reconocimiento facial, drones y otros mecanismos.
“Si unos consiguen una espada más afilada, los otros obtienen un escudo más resistente. La avaricia de los malos siempre es más fuerte que la capacidad de los buenos”, dijo Tim Weiner, autor de “Enemies: A History of the FBI”. “Esa no es solo la historia del FBI, sino que ha sido una realidad a lo largo de la historia de los conflictos armados”.
Ahora, las agencias de seguridad están buscando tener un mayor acceso a dispositivos digitales, por lo que a veces compran herramientas de hackeo del sector privado e instan a los legisladores a darles más poder para rastrear a los sospechosos.
“Este no es el fin del debate del cifrado”, afirmó Joseph DeMarco, exfiscal federal en Manhattan que pasó años trabajando con delitos cibernéticos. “Solo demuestra que las fuerzas de seguridad están dispuestas a diseñar estrategias complementarias para sortear los obstáculos del cifrado. Pero el debate sobre si esos métodos alternativos son adecuados continuará”.
LAS VICTORIAS DE LAS FUERZAS DE SEGURIDAD
La tecnología no siempre ha sido mala para la policía. Más allá del reconocimiento facial y los drones, las autoridades en Estados Unidos usan detectores de disparos y dispositivos que simulan ser torres celulares para conectarse en secreto a los teléfonos de personas sospechosas y acceder a su ubicación.
Las fuerzas de seguridad también tienen una ventaja cuando localizan dispositivos digitales. Pese a las afirmaciones de Apple, Google e incluso del Departamento de Justicia de que los teléfonos inteligentes son impenetrables en gran medida, miles de agencias de seguridad tienen herramientas que pueden infiltrarse en los celulares más nuevos para extraer datos.
“En la actualidad, la policía está enfrentando un contexto de explosión de datos”, comentó Yossi Carmil, director ejecutivo de Cellebrite, una empresa israelí que ha vendido herramientas de extracción de datos a más de 5 mil agencias de seguridad, incluyendo cientos de pequeños departamentos de policía en todo Estados Unidos. “Las soluciones están ahí. En realidad, no es un desafío acceder a los datos”.
Para la policía también es más fácil conseguir los datos almacenados en la nube. Las empresas tecnológicas como Apple, Google y Microsoft suelen entregar los datos personales de sus clientes, como fotografías, correos electrónicos, contactos y mensajes de texto, a las autoridades que los solicitan con una orden judicial.
EL RETO DEL CIFRADO
No obstante, interceptar las comunicaciones sigue siendo un problema molesto para la policía. Aunque los delincuentes antes solían hablar por canales que eran relativamente fáciles de intervenir —como teléfonos, correos electrónicos y mensajes de texto básicos— la mayoría ahora usa mensajes cifrados, que no lo son.
Dos de los servicios de mensajería más populares del mundo, iMessage de Apple y WhatsApp de Facebook, utilizan el llamado cifrado de extremo a extremo, lo que significa que solo el emisor y el receptor pueden ver los mensajes. Ni siquiera las empresas tienen acceso a sus contenidos, lo cual les da a Apple y a Facebook un argumento para no entregarles esa información a las fuerzas de seguridad.
La frustración de las autoridades las ha llevado a centrarse en aplicaciones de mensajería cifrada más pequeñas que los criminales suelen usar. En julio, la policía en Europa dijo que hackeó una llamada EncroChat, lo cual derivó en cientos de arrestos.
Eso hizo que varios delincuentes migraran a un nuevo servicio, Anom. Tuvieron que comprar nuevos celulares especializados con pocas funciones, además de una aplicación disfrazada de calculadora. Con un código, esta se convertiría en una aplicación de mensajería, Anom, que aseguraba estar cifrada.
En realidad, el FBI creó Anom. El buró y la policía australiana comenzaron el operativo al convencer a un informante de que distribuyera los dispositivos entre redes delictivas, para que luego se promocionaran de boca en boca. Tres años después, Anom tenía más de 12 mil usuarios.
Los delincuentes se sentían tan cómodos con el servicio que dejaron de usar lenguaje en clave, empezaron a enviar fotografías de cocaína traficada y a planear asesinatos abiertamente, según dijo la policía. Una vez que las autoridades obtuvieron la aprobación del tribunal para vigilar a los usuarios de Anom, pudieron monitorear sus mensajes con facilidad.
Sin embargo, cuando la policía realizó cientos de arrestos y detalló el plan ante las cámaras de los noticieros la semana pasada, el ardid se acabó. Las autoridades de nuevo se quedaron a ciegas.
UNA HERRAMIENTA ATRACTIVA PARA LOS DELINCUENTES
Durante años, el bitcoin y otras monedas digitales fueron la divisa preferida para los grupos delictivos internacionales. Las cualidades que hacen atractivas a las criptomonedas —la descentralización y el anonimato— las hacen ideales para robos, pago de rescates y venta de drogas.
Recibir pagos solía ser la parte más difícil de secuestrar a alguien o algo, explicó Ross Anderson, investigador de ciberseguridad en la Universidad de Cambridge que estudia cómo la policía y los delincuentes usan la tecnología.
“Es fácil capturar a la heredera o a su perro, pero luego el problema es que cuando amenazaste con cortarle la oreja y le pediste al señor Rockefeller que te enviara un enorme maletín lleno de billetes, la policía lo acompañó o puso un radiotransmisor dentro del portafolio”, describió. “Con el bitcóin, puedes obtener sumas de extorsión bastante cuantiosas, como de siete u ocho cifras, que pueden enviarse de manera instantánea a Rusia o Corea del Norte o a donde sea”.
Ese nuevo modelo detonó una ola de cibersecuestros de datos, en los que los hackers toman el control de las computadoras de una empresa y exigen que se pague un rescate. Recorded Future, una empresa de seguridad que rastrea este tipo de ataques, estimó que el año pasado, ocurrió un ataque cada ocho minutos.
En últimas fechas, los cibersecuestros de datos han afectado a hospitales, empacadoras de carne, equipos de ligas menores de béisbol y los ferris de Martha’s Vineyard. Muchas empresas pagan los rescates porque es más fácil que las soluciones alternativas, aunque esto también les da más incentivos a los hackers.
No obstante, el caso de Colonial Pipeline demostró que la policía también podía usar criptomonedas a su favor. Todas las transacciones se registran en un libro de contabilidad público, lo cual permite localizar los fondos mientras viajan de una cuenta anónima a otra. Eso significa que las fuerzas de seguridad con suficiente dinero y conocimientos pueden hackear una cuenta y recuperar los fondos.
Sin embargo, el hackeo puede ser costoso y tardado, por lo que pocas agencias, además del FBI, pueden hacerlo.
LA BATALLA DEL SIGLO XXI
Hoy en día, la urgencia de las fuerzas de seguridad por ponerse al corriente ha dado lugar a una industria de rápido crecimiento dedicada a extraer los datos de comunicación de sospechosos. Cellebrite, la empresa israelí, afirmó que sus ventas aumentaron un 38 por ciento a 53 millones de dólares en el primer trimestre del año, pues más departamentos de policía compraron sus herramientas para hackear teléfonos de personas sospechosas.
Al menos 2 mil agencias de seguridad en los 50 estados del país tienen estas herramientas, incluidos 49 de los 50 departamentos de policía más grandes de Estados Unidos, según Upturn, una organización sin fines de lucro de Washington que investiga cómo la policía usa la tecnología.
Aun así, algunos de los principales funcionarios de seguridad de la nación han pedido más apoyo de las empresas tecnológicas y los legisladores. Cyrus Vance Jr., el fiscal de distrito de Manhattan, le dijo al Congreso en 2019 que las herramientas de extracción de datos eran costosas y poco confiables. A veces pueden tardar semanas o incluso años en intervenir un teléfono, afirmó.
“Hay muchos casos graves en los que no podemos acceder al dispositivo en el periodo más importante para nosotros”, relató Vance ante los legisladores.
Apple dijo que los investigadores de seguridad coincidían en que el iPhone es el dispositivo más seguro del mercado. Google se rehusó a hacer comentarios. c.2021 The New York Times Company