Cómo funcionan las investigaciones con 'blockchain'
Las empresas de inteligencia de 'blockchain' pueden rastrear las transacciones de 'bitcoin' y otras criptomonedas para ayudar a las víctimas de 'ransomware' a entender quién es el atacante y quizás cómo pueden recuperar su dinero.
Cuando Colonial Pipeline se vio afectada por un ransomware el 7 de mayo de 2021, pagó 75 bitcoins para restaurar sus sistemas. Pero el dinero no se perdió del todo. El FBI pudo rastrearlo mientras saltaba de un monedero digital a otro. En un momento dado, el 27 de mayo, 63,7 de los bitcoins fueron transferidos a una dirección y dejaron de moverse. El FBI consiguió la clave privada para desbloquear ese monedero de bitcoins y pudo recuperar los fondos.
La incautación fue una gran victoria para el grupo de trabajo sobre ransomware del Departamento de Justicia de Estados Unidos, dedicado a investigar y desbaratar bandas de ciberdelincuentes. El ransomware paralizó a más de un tercio de las organizaciones de todo el mundo en un solo año, y dos tercios de las víctimas informaron de una importante pérdida de ingresos. Los pagos superan los 600 millones de dólares en total en 2021, según un informe reciente de la plataforma de datos blockchain Chainalysis.
Aunque el FBI dijo poco sobre cómo obtuvo la clave privada y cómo ayudó a Colonial Pipeline a recuperar parte del rescate, el rastreo de las transacciones en la blockchain se está convirtiendo en una parte esencial de las investigaciones de los ciberdelincuentes. Las agencias de aplicación de la ley suelen trabajar con empresas de análisis que tienen expertos dedicados u ofrecen herramientas de software diseñadas para tomar datos crudos de blockchain y proporcionar información sobre ellos.
"Somos capaces de rastrear y seguir el flujo de fondos de maneras que nunca fueron posibles", ha dicho Ari Redbord, jefe de asuntos legales y gubernamentales en la compañía de inteligencia de blockchain TRM Labs, que proporciona software para rastrear las transacciones de criptomonedas.
Dar sentido a los datos brutos de la cadena de bloques puede ayudar a las víctimas de ransomware a recuperar parte de su dinero, pero también puede arrojar luz sobre otros tipos de actividades delictivas, desde las de los actores de los estados nacionales que operan en el blockchain hasta cualquier fraude financiero o incluso casos de secuestro.
A menudo, las investigaciones requieren semanas de trabajo, conocimientos técnicos especializados y algo de creatividad, pero "definitivamente hay una posibilidad nada despreciable de recuperar al menos el 25% (del dinero)", ha dicho Paul Sibenik, director de casos de la agencia de investigación de blockchain CipherBlade.
Pasos en una investigación de blockchain
La recuperación del rescate de Colonial Pipeline se produjo en "una circunstancia muy singular", como dice Redbord. Aun así, este éxito del DOJ ayudó a las víctimas a saber que recuperar sus fondos podría ser una posibilidad. Aunque las investigaciones sobre la cadena de bloques pueden tener distintas duraciones, los pasos que se siguen son similares, independientemente del tipo de delito.
Cuando se produce un ataque, los investigadores tienen la dirección de la criptomoneda a la que se hizo el pago. Normalmente, el dinero no se queda ahí mucho tiempo. Se mueve a diferentes direcciones, se divide en diferentes carteras y se convierte de bitcoin a otra criptodivisa, saltando las cadenas de bloques. Los hackers mueven los fondos para cubrir sus huellas, pero también para pagar a sus socios. Algunas redes de ciberdelincuentes utilizan blanqueadores de dinero profesionales. Todas estas transacciones se transmiten a la blockchain.
"Verás los hashes de las transacciones, verás las direcciones de bitcoins y otras criptomonedas, pero no hay una forma real de saber cómo están vinculadas estas direcciones", dice Phil Larratt, director de operaciones en el Reino Unido de Chainalysis.
Aunque cualquiera puede acceder al libro de contabilidad público y ver los datos en bruto, obtener información tangible de él puede ser un reto. Una forma de obtener datos valiosos es agrupar las direcciones, con la esperanza de identificar la entidad que las controla, como individuos, intercambios o grupos de ransomware. Los monederos individuales, por ejemplo, pueden tener cinco o seis direcciones, mientras que algunos servicios que operan en la cadena de bloques, como los intercambios, pueden permitir la agrupación de millones de direcciones.
Conocer la entidad exacta que está detrás de un lote de direcciones puede ser crucial, y las empresas de inteligencia de blockchain tienen formas de encontrarlo. Agregan información de múltiples fuentes, a menudo utilizando datos fuera de la cadena para enriquecer su comprensión de las transacciones. Buscan en foros de la web oscura, publicaciones en redes sociales y documentos judiciales, entre otros.
"Puedes estar en Facebook y ver a alguien solicitando fondos en bitcoin y hay una dirección allí", dice Redbord. Esa dirección se copia y puede estar asociada a una red de ciberdelincuentes, a una organización terrorista o a otras entidades ilícitas, según el caso.
Esas pepitas de información son recogidas por las empresas de inteligencia de blockchain y almacenadas para futuras referencias. "Estamos construyendo una gigantesca lista negra de direcciones de criptodivisas", añade Redbord.
Este proceso de categorización de direcciones se realiza en segundo plano. Los investigadores que utilizan el software de inteligencia blockchain simplemente introducen la dirección correspondiente al pago. Entonces, pueden ver el flujo de dinero digital. Un dato valioso puede ser, por ejemplo, si ha habido otros pagos a esa dirección.
Los ciberdelincuentes mueven repetidamente los fondos con la esperanza de perder su pista, pero en algún momento deben detenerse. Como no se puede hacer mucho con los bitcoins, tienen que convertir ese dinero en moneda tradicional, como los dólares estadounidenses. En algunos casos, las fuerzas del orden pueden intervenir y confiscar el dinero cuando entra en el mundo real, porque la mayoría de los intercambios siguen las normas y reglamentos.
"Las fuerzas de seguridad pueden obtener información sobre quién es el propietario de esa dirección de monedero, o quién estaba asociado a esa dirección, porque han conseguido información de "conozca a su cliente"", dice Redbord. "Ese es un paso importante que pueden dar las fuerzas del orden".
No todos los intercambios cumplen. Algunos, a menudo con sede en el extranjero, valoran más el dinero que hacer lo correcto. "Hay muchos dispuestos a facilitar la actividad ilícita o a hacer la vista gorda", dice Sibenik. "No creo que los intercambios sean más cumplidoras".
Recuperar los pagos del ransomware
En algunos casos, las organizaciones que pagaron el rescate pueden recuperar al menos parte de su dinero. "Con las criptomonedas, podría decirse que es más fácil seguir el dinero, porque cada transacción está ocurriendo en un libro mayor público inmutable, donde se puede ver cada transacción y luego rastrear el flujo de fondos", dice Redbord.
Las posibilidades de recuperar el dinero dependen de varios parámetros, como el tiempo transcurrido desde el pago hasta el rastreo tentativo de los fondos, la rapidez con la que los ciberdelincuentes mueven la criptomoneda, qué blockchains utilizan o si utilizan un servicio de mezcla. Cuando las fuerzas del orden están involucradas, las posibilidades de éxito tienden a ser mayores. Las empresas de inteligencia de blockchain solo pueden proporcionar información, mientras que las fuerzas del orden tienen el poder de utilizar citaciones y otros procesos legales. "Hemos visto muchos éxitos en diferentes áreas", dice Larratt.
Aun así, cada caso es diferente y las posibilidades de recuperar el dinero, al menos en parte, pueden variar mucho. Los grupos de ransomware pulen constantemente su habilidad y se han multiplicado en los últimos años. "Cada grupo puede tener su propia forma de blanquear el producto del delito", dice Larratt. "Sin embargo, como estamos a la vanguardia de esta tecnología, podemos apoyar algunas de las investigaciones más sofisticadas y complejas en relación con el ransomware".
El rastreo de las transacciones de bitcoin sigue siendo una tarea compleja, y debe ser realizada por expertos. No pueden hacerlo las víctimas de forma interna, dice Sibenik. "En general, las grandes empresas tienen dificultades para realizar el trabajo de respuesta a incidentes", añade.
Una trama más de blanqueo de dinero
Las empresas que proporcionan análisis de blockchain dicen que están ayudando a crear una capa de confianza para las criptomonedas, y esto es beneficioso para todos, incluidos los intercambios. Redbord, que pasó 11 años trabajando como fiscal federal en el Departamento de Justicia de Estados Unidos y se centró gran parte de ese tiempo en la financiación de amenazas, dice que la confianza debe ser un componente central de cualquier sistema financiero.
"La lucha contra el blanqueo de dinero, la gestión de riesgos y la confianza son infraestructuras fundamentales", afirma Redbord. "Es muy importante cumplir la normativa, por supuesto, pero en última instancia, puede ser más importante construir esa capa de confianza, porque la gente no va a realizar transacciones en un sistema financiero en el que no confía".
Larratt espera, sin embargo, que el sector de las criptomonedas también se regule más, lo que podría frenar la ciberdelincuencia. Dado que la introducción de nuevas regulaciones será probablemente un proceso gradual, Chainalysis se está esforzando en perfeccionar su software, con el objetivo de ayudar a los investigadores a hacer lo mejor posible teniendo en cuenta las condiciones actuales. "Desarrollamos constantemente nuevas técnicas y herramientas para capacitar a los agentes y garantizar que puedan mantener el mismo tipo de calidad de investigación en relación con estos actores", afirma.
A fin de cuentas, el movimiento de criptomonedas a través de diferentes direcciones "no es realmente diferente al blanqueo de dinero de hace 15 y 20 años, en el sentido de que los fondos se enviaban a una cuenta bancaria tradicional, y luego se cobraban, y luego se enviaban a otra cuenta bancaria, y luego los fondos se enviaban al extranjero", dice Larratt.
Los expertos son optimistas y afirman que podríamos ver más casos de éxito en el futuro. Más empresas podrían recuperar al menos parte de su dinero, como hizo Colonial Pipeline. "El análisis de blockchain, creo, es una táctica esencial, pero quizá a veces infrautilizada, para ayudar a investigar este tipo de actividades", dice Larratt.
