La hiperconectividad que ha generado internet en todo el mundo ha sido una oportunidad única para dar pasos hacia la evolución tecnológica. Sin embargo, los usuarios se enfrentan a un importante reto: la información generada por cada uno en las diferentes plataformas y redes sociales. Estas son un agujero negro que crece cuando a diario los usuarios alimentan las plataformas con información personal que puede ser utilizada para diferentes actos ilícitos.
Cada internauta genera algo conocido como “perfil digital” cuando navega en internet, el cual no se centraliza en una sola página o plataforma en específico. Este perfil es la recopilación y procesamiento de datos de todos los recursos que diariamente el usuario emplea.
Según cifras de Data Never Sleeps, para el año 2020 cada persona generaría alrededor de 1.7 MB de información cada segundo, teniendo en cuenta que de media, una persona cuenta con al menos cuatro plataformas de interacción como pueden ser Facebook, WhatsApp, Instagram o Twitter.
Los cibercriminales se han adaptado al estilo de vida digital de los usuarios, conociendo los patrones de
comportamiento de las personas en la red. Son capaces de identificar cuáles son los vectores de ataque más efectivos para cada tipo de perfil digital gracias la información se comparte de manera inconsciente.
La inteligencia en fuentes abiertas es un tipo de inteligencia destinada a la recopilación de información
pública para su posterior correlación, procesamiento y análisis. Este tipo de inteligencia, empleada por
los cibercriminales, les confiere la capacidad de detectar patrones de comportamiento; estos realizarán acciones maliciosas sobre la identidad digital de un usuario afectando a la privacidad e integridad de
la información o recursos asociados a internet.

Si bien es cierto que este tipo de inteligencia no es empleada exclusivamente por los cibercriminales. En la actualidad las compañías hacen uso del OSINT y otras disciplinas similares para realizar perfilados de personas que sean de interés. Esto generalmente se hace para apoyar a diversos procesos de una compañía, ya sea para un proceso de contratación o una revisión del nivel de satisfacción con la empresa.
En la actualidad la información sobre los usuarios es algo muy valioso para los cibercriminales; por medio
de diferentes motores de búsqueda en internet pueden obtener casi cualquier dato personal en un tiempo bastante reducido.
Para emplear técnicas de OSINT es necesario tener un dispositivo que permita navegar en internet y realizar búsquedas en fuentes abiertas y páginas de la deep web o darknet. Aunque pueda dar la falsa sensación de que para esta técnica solo es necesario saber realizar búsquedas, es necesario tener un pensamiento crítico, seleccionar aquella información de fuentes confiables y, cuando se habla de búsquedas en la red oscura, es necesario tener conocimientos técnicos para hacerlo de manera segura.
Cualquier información que se encuentre publicada puede ser recopilada por un analista OSINT, posteriormente será procesado por el mismo y se verificará la confiabilidad de la fuente en conjunto con otros parámetros que son determinantes para que estos datos sean convertidos en información relevante y segura.

Cada investigación que se realiza a través de estas técnicas es diferente, por lo que el analista puede enfrentarse a nuevos retos que ponen a prueba las capacidades de cada uno para que la investigación sea exitosa. En este sentido, existen diversos factores que pueden influenciar los resultados, y es en este
punto donde se presentan limitaciones del OSINT.
Una persona podría manipular a voluntad determinada información o generar información falsa, de esta manera se obtiene una ventaja significativa debido a que, si no se realiza un buen procesamiento de la información, los resultados del análisis son ineficientes.
El primer pilar para tener buenos resultados es el uso de fuentes de información confiables y verificadas.
Sitios como foros, redes sociales u otras plataformas que permiten al usuario subir su propia información, será generalmente información manipulada o sesgada.
Las técnicas de OSINT son certeras hasta cierto punto, factores como el tipo de información que se requiere, el nivel de exposición del objetivo, los medios que utilice el investigador para recopilar y el grado de exigencia o importancia del caso, tendrán su impacto respectivo.
Las investigaciones más completas y relevantes involucran el uso de búsquedas en la deep web y darknet, lo que involucra una mayor complejidad para encontrar información o datos que sean
relacionados directamente con el caso en desarrollo.
Una persona que no desee ser encontrada fácilmente y con nociones sobre funcionamiento de las redes oscuras puede mantener un bajo perfil; navega en foros de idiomas poco comunes como el ruso y se comunica por chats tales como el IRC, cerrando bastante las posibilidades de ser detectado de manera fácil. El uso de una VPN para mantener el anonimato en la geolocalización y el uso de nombres falsos, disuaden la capacidad de los analistas de obtener información del objetivo principal.
Las aplicaciones que tiene el OSINT van más allá de la recopilación de datos para obtener información veraz y relevante. Si se combina de manera adecuada con otras disciplinas, se puede tener una fusión de metodologías que permiten descubrir un perfil completo no solo a nivel digital, sino a nivel de comportamiento, pensamiento y psicología del objetivo.
Algunas compañías utilizan el OSINT junto al HUMINT (o inteligencia a través de fuentes humanas) para analizar el comportamiento de un empleado desde dos perspectivas diferentes que funcionan de manera complementaria. Las redes sociales arrojan información acerca del estado de la persona y sus pensamientos, pudiendo detectarse si el sujeto se encuentra inconforme con su trabajo, relación, o vida
social.
Los procesos de generación de inteligencia ayudan a las compañías con gestiones más allá de recursos
humanos para la contratación y monitoreo de personal. La investigación en fuentes abiertas ayuda a determinar el nivel de impacto de la reputación mediante publicaciones de empleados y exempleados.
Con el auge de las redes sociales es relativamente sencillo que un solo usuario a través de un comentario o publicación genere un movimiento a favor o en contra de un objetivo específico.
Además, la inteligencia también puede ser empleada para realizar estudios estratégicos, bien sea para
la apertura de nuevos negocios o sobre la competencia (inteligencia competitiva) para mejorar el posicionamiento de la entidad con respecto a su sector o territorio de operación. Se puede concluir entonces que la inteligencia con fuentes abiertas puede ser utilizada tanto para buenos fines como paso previo para realizar acciones ilícitas por parte de los cibercriminales. Por otra parte, representa un complemento para el mundo de la ciberseguridad ya que permite la prevención de sucesos asociados directamente a la información o datos que son expuestos por los usuarios de la red entre otras cosas.
La problemática de la generación de datos sin control seguirá creciendo de manera acelerada mientras la digitalización y las nuevas tecnologías continúen favoreciendo el uso de plataformas como las redes sociales. Una de las formas más eficientes que hay para combatirlo es aplicando la concienciación y diferentes disciplinas que nos den una visión amplia del tratamiento que se le puede dar a nuestra información.

En la actualidad el ser humano se desenvuelve en un mundo donde la tecnología, la conectividad, la digitalización, las fuentes de información y un sinnúmero de variables permite hacer la vida más fácil en muchos aspectos, siendo uno de estos el ámbito académico. Esto trae consigo un factor relevante al que se debe prestar atención: la seguridad en la navegación por internet del colectivo niños, niñas y adolescentes (NNA). Los cambios en las tecnologías y en el acceso a la información, generan una transformación en la vida de los NNA y sus oportunidades en el futuro, lo que hace abogar por acciones rápidas y efectivas que minimicen los daños que eventualmente puedan llegar a sufrir a través de comportamientos de terceros que buscan su explotación, abuso y demás amenazas para su bienestar.
Los NNA son susceptibles a los peligros que ofrece la conectividad, eso incluye la pérdida de la privacidad, con una menor capacidad de comprender potenciales daños y, por ende, los riesgos pasan a convertirse en latentes peligros, los cuales se pueden ver reflejados en aspectos como:

• El fácil acceso a contenidos
• La existencia de perfiles falsos en redes sociales (engaños de delincuentes)
• La publicidad engañosa
• Los correos y accesos maliciosos

Es preciso contemplar estos aspectos en toda su complejidad, pues todos los NNA con acceso a internet
son vulnerables, aunque para gran parte de ellos no deja de ser solo una posibilidad. Es crucial que ellos comprendan el límite entre el riesgo y el peligro para tomar las medidas inmediatas de protección y que
puedan continuar accediendo a las bondades de un mundo tecnológico.

Con la llegada de la pandemia provocada por el COVID-19, la población académica especialmente los NNA, han sufrido un cambio abrupto en sus costumbres de aprendizaje, pasando de un ambiente presencial a vivir una enseñanza a través de la intermediación tecnológica, que muchas veces se limita a un espacio digital, a un solo dispositivo o a una pantalla.
Esto ha llevado a poner en segundo plano la interacción personal, dedicando el tiempo libre a la computadora accediendo a vídeos con contenidos difíciles de controlar, juegos, la generación de consultas y la permanente atracción por la información desbocada que generan las redes sociales.

Es de vital importancia tener en cuenta dos paralelos. Por un lado, el comportamiento de los NNA a la hora de consultar y de hacer uso del internet y de las tecnologías de la información, donde tienen la
posibilidad de fortalecer sus relaciones sociales y familiares, utilizar las herramientas digitales en pro de una adecuada preparación académica, obteniendo una mayor cobertura educomunicativa.

Por otra parte, los NNA pueden tener tendencia a permanecer solitarios, con baja atención o algún otro aspecto negativo que los hace ser más susceptibles en su seguridad puesto que el internet es una fuente de escape al encontrar contactos y fuentes de información de apoyo, incrementando el riesgo de sufrir daños en su seguridad.

Hoy día no hay un acuerdo claro entre lo que se puede considerar como uso moderado o excesivo de
las computadoras, no obstante, dependerá del entorno personal y la edad del NNA. Sin embargo, más allá de ese cuestionamiento, el real enfoque que se debe hacer es que la restricción del uso del internet no es una solución. Lo recomendable es realizar un acompañamiento y mediación para que los tengan el máximo acceso a la tecnología con los mínimos riesgos. En ese sentido deberá prestarse más atención en los contenidos, consumos de información y experiencias en la web.
No es solo responsabilidad de los padres y docentes generar medidas que menoscaben
significativamente los riesgos de los NNA, también es responsabilidad expresa de los entes gubernamentales en el sentido de brindar los canales de comunicación de denuncias, políticas y medidas de prevención e iniciativas de sensibilización.

Así mismo la corresponsabilidad parte también de las plataformas de redes sociales y aplicaciones en
la mejora de las medidas de seguridad y protección, instrumentos de aprendizaje de fácil manejo para
todos, la intervención de los centros educativos ajustadas a políticas de protección y promover los buenos comportamientos y asesoría constante. Es claro entonces que el uso de la tecnología es imprescindible y básica para el apoyo de la educación y formación de los NNA, más aún cuando atravesamos momentos de cambios en costumbres y formas de vida a raíz de la pandemia mundial y en medio de la evolución tecnológica.
A diario, se conocen nuevos casos de vulneración de derechos al patrimonio, integridad, dignidad,
libertad, entre otros, cuyas víctimas resultan ser adultos que por diferentes motivos acceden a las intenciones de la delincuencia cibernética. Los menores por tanto se ven expuestos en mayor medida.
Los riesgos en seguridad en ellos se multiplican debido a la inocencia.

“Teprotego11” es un programa de canalización y análisis de denuncias de delitos asociados al uso del Internet para la protección de la infancia y adolescencia y el fortalecimiento de capacidades de los corresponsables. Ahí se informa de que durante al año 2020 se reportaron 86,308 casos de los cuales el 56% han sido canalizados a las autoridades respectivas y un 87.8% contiene materia de explotación sexual, un 4.4 % ciberacoso.
Para mantener una navegación segura por parte de los NNA a continuación se facilitan algunas medidas a tener en
cuenta:

•  Estar informados de las modalidades delincuenciales.
• Instruir y educar a los NNA sobre los riesgos en internet, en una pedagogía adecuada a su edad.
• Generar la cultura de nunca otorgar información personal a personas o portales desconocidos.
• Educar y enseñar a los NNA a denunciar situaciones de peligro.
• Saber diferenciar entre amigos y contactos de internet.
• Verificar la calidad de contenidos y consumos de los menores en las redes y la web en general

La suplantación de sitios web es una de las ciberamenazas más comúnmente identificadas. Las prácticas más empleadas en relación a esta ciberamenaza son el Spoofing y el Pharming. Ambas técnicas son usadas por los ciberdelincuentes que buscan engañar a los usuarios de internet para quedarse con información personal y datos bancarios.

El spoofing, es conocido por ser una falsificación de la página web por medio de diferentes técnicas. Existen numerosos tipos de spoofing, de entre los que se pueden destacar, en primer lugar, aquel donde los atacantes falsifican la ventana donde el usuario tiene que ingresar sus datos personales, para luego quedarse con esa información. En segundo lugar, destaca la falsificación de la dirección de correo del remitente para simular que un mensaje ha sido enviado por alguna cuenta oficial o conocida. Para llevar a cabo este tipo de ataques, se pueden usar distintas técnicas para conseguir atraer la atención del usuario a la web falsa:

• El atacante puede poner un enlace a la web falsa en una web conocida.
• Si conoce el correo electrónico del usuario, es posible enviar un correo que incluya el enlace a la web falsa.
• Técnicas más sofisticadas, como la ejecución de código javascript o la instalación de plug-ins.

Cuando el usuario ha accedido a la web falsa a través de alguna de las opciones anteriores, aparece una ventana del navegador web en la pantalla que simula alguno de los navegadores más conocidos. Después, todo el tráfico de las páginas visitadas que tenga lugar en la ventana infectada se envía a través de un servidor malicioso, permitiendo a este interceptar la información enviada.

La página web falsa actúa a modo de proxy, solicitando la información requerida por la víctima a cada servidor original. Es posible entonces, conseguir contraseñas, nombres de usuarios o cualquier otro tipo de datos sensibles. Mientras el usuario siga usando dicho navegador falso, toda la información pasará a través del servidor malicioso, sin que el usuario atacado sea capaz de identificar que está siendo atacado.

Este tipo de ataque funciona, incluso, cuando el usuario solicita una conexión segura mediante protocolos SSL/TLS, ya que se salta dicha protección. La víctima habrá establecido una conexión segura con el servidor del atacante en vez de con la web deseada, incluso el navegador verificará que dicha conexión es segura (aparecerá el icono del candado).

Las prácticas de suplantación de sitios web para capturar datos personales ha crecido considerablemente en los últimos años. Durante el 2020, se convirtió en el delito más denunciado en Colombia, con más de 5.440 casos, según datos de la Cámara Colombiana de Informática y Telecomunicaciones.

Esto demuestra cómo los atacantes han ido refinando sus técnicas para engañar a los

usuarios y hacerles creer que están en una página confiable. Para esto, han hecho uso de uno de los elementos que los compradores en línea tienen en cuenta para realizar una transacción y es el certificado oficial que se le da a un sitio web y que es representado por el candado de seguridad, que además indica que se está realizando una conexión segura.

No obstante, es importante tener en cuenta que el candado cumple con dos funciones.

Una es darle el certificado a la página, que equivale casi como a una cédula de ciudadanía y el cual es otorgado, únicamente, por certificadoras que hacen la validación e indican si el sitio es el que se menciona en el enlace. Y la otra es que se garantiza que el tráfico entre los servidores esté cifrado y en consecuencia, no esté expuesto a los atacantes.

La estrategia consiste en que los delincuentes crean el dominio de una página web, luego compran un certificado que garantice que el sitio es auténtico. Acceder al certificado es fácil, y hay certificadores que incluso permiten sacarlo de forma gratuita.

Una vez logrado este objetivo, el atacante lo que hace es agregarle al enlace una serie de caracteres y palabras al lado izquierdo de este, en donde utilizan el nombre de plataformas de compra en línea reconocidas, por lo que la URL luce como el de la página oficial.

Por otro lado, el pharming, consiste en un ataque en el que se redirige una página web a una dirección IP distinta de la original. Todo esto con el fin de que el usuario llegue a un sitio falso, pese a ingresar a la URL correcta. Esta modalidad es muy usada por los criminales para poder interceptar los computadores de las empresas y los ciudadanos, lanzando ataques por medio de correo electrónico y las aplicaciones de mensajería.

La redirección de la solicitud del usuario se realiza manipulando el protocolo DNS. El protocolo convierte el nombre de host (dirección URL) en una dirección IP numérica. Este proceso de conversión ofrece a los delincuentes dos puntos de ataque para desviar la asignación.

Ataque al archivo hosts

Al realizar una solicitud a un sitio web, el ordenador llama primero al archivo de host local para comprobar si ya se ha visitado el sitio alguna vez y si ya se conoce la dirección IP correspondiente. Los atacantes usan esta consulta para instalar malware mediante archivos adjuntos de correo electrónico o mediante troyanos en sitios web. Estos manipulan las direcciones IP almacenadas para redirigir las peticiones al sitio fraudulento deseado.

Ataque al servidor DNS

Otro método más elaborado infecta directamente el servidor DNS donde se consulta la dirección IP, después de que un usuario haya introducido una dirección URL. Aunque no se instale malware en el ordenador, técnicamente el ataque tiene lugar a través de la llamada inundación DNS. Aquí se le sugiere al servidor una resolución de dirección, incluso antes de que pueda hacer la asignación correcta.

Recomendaciones

En base a la información anterior, los usuarios deben tener en cuenta lo siguiente:

• Dar clic al certificado. Se desplegará un mensaje en donde el usuario podrá encontrar en detalle la información de este, como cuál fue la compañía que lo emitió, desde que periodos de tiempo es válido y a quién fue emitido. Este es el punto clave, ya que esto le permitirá identificar a la persona el nombre de la URL original.

• Revisar en detalle la URL de la página, que no tenga caracteres distintos o que algunas letras estén cambiadas por números, ya que esta es la forma en la que el atacante intenta engañar y hacer parecer al dominio como la página original. En su defecto, escribir la url de la web por uno mismo.
• No dar clic sobre las URLs y/o descargar archivos adjuntos de correos sospechosos.
• Utilizar software antivirus y antimalware que se actualice diariamente para detectar las amenazas actuales en los correos electrónicos y en los sitios web que podrían infectar el archivo de host.
• Por último, activar el doble factor de autenticación en todos los servicios digitales que sean posibles. Con esto, si un ciberdelincuente accede a los datos de acceso de una cuenta, necesitará un código de seguridad adicional, el cual le llegará al usuario por correo electrónico o mensaje de texto.

Durante el tiempo de confinamiento del mes de abril, los delitos cibernéticos se han disparado de manera considerable en Colombia. La sombra tras la que se oculta todo este tipo de delitos está relacionada en su gran mayoría con la pandemia o temas relacionados con asistencias humanitarias, auxilios económicos o cualquier otro proceso que sea de necesidad primaria por parte de los ciudadanos.
Según el centro cibernético de la policía nacional, a corte del 18 de abril ya se habían deshabilitado 159 portales que contenían malware, phishing y spam, lo que daba un corte bien significativo de lo que podría ser este mes a nivel de riesgos cibernéticos.
Dentro de este mismo mes SOC MNEMO Colombia alertó a los organismos de control de seguridad de la capital acerca de la aparición de un fraude digital que invitaba a los ciudadanos a inscribirse en un portal web para poder recibir auxilios económicos por parte del estado.
El hallazgo fue relevante debido a que Sisbén es el programa de apoyo gubernamental en Colombia y permite a los sectores más vulnerables recibir auxilios o beneficios. Por lo tanto, en tiempos de pandemia un grupo importante de la población podría requerir de dichos auxilios económicos.
Una vez nuestro servicio de vigilancia digital detectó este sitio fraudulento reportó a la secretaria de seguridad de la capital quien a su vez realizo el debido reporte a la policía nacional para el tratamiento y ejecución de los protocolos propios de estos temas.
Nuestro equipo de Vigilancia Digital-SOC encontró publicaciones donde se realizan ofertas de métodos para la ejecución de delitos informáticos, dicho descubrimiento fue obtenido a través de grupos de mensajería dedicados a divulgar información en la Deep web.
Este tipo de comportamientos, aunque no afecta directamente a ninguno de los clientes de MNEMO, son reportados a la policía nacional por medio de su programa CAI Virtual, colaborando de esta manera a la ciberseguridad nacional.
Por el momento crítico a nivel de salud mundial que se está viviendo y la necesidad constante de mantener la información, diferentes entidades han lanzado aplicaciones, portales y demás medios de recolección de información para conocer el comportamiento demográfico con el COVID-19. El aislamiento en Colombia lleva poco más de un mes y desde ese momento se generó un nuevo ambiente informativo donde se busca conocer el avance de los casos, ubicación de personas con mayor riesgo de infección por su edad o aglomeración, y otros que buscan recolectar información de los ciudadanos para reportar síntomas que puedan tener relacionados con el Covid-19.
Dentro del ciclo de desarrollo de aplicaciones es bien conocido la necesidad de hacer los diferentes análisis de seguridad tanto de manera estática, dinámica y funcional. Sin sobrar aspectos de auditoria como pruebas de estrés, intentos de explotación y cualquier otra técnica que genere tranquilidad al respecto de su uso. La duda está en si dentro de un solo mes se puede cumplir cabalmente con estas disposiciones técnicas.
Dentro de este marco de análisis de seguridad, quizás el más percibidle es el del manejo de la información, por esto durante este mes a nivel local la fundación Karisma realizo análisis de las aplicaciones CoronApp –Colombia y CaliValle Corona, y el formulario web Medellín me cuida.
El resumen de dicho análisis sobre todas las aplicaciones dio como común denominador la falta de claridad en los términos de uso de la información recolectada y los procesos internos de permisos que realizan las aplicaciones dentro de los dispositivos donde se instalan.
Luego de este análisis varias aplicaciones han sido actualizadas poniendo solución a varias brechas reportadas, sin embargo, permaneció en línea un tiempo importante de días con las falencias descubiertas.
La ley 1581 de 2012 de protección de datos personales en Colombia determina que se debe ser muy claro en relación con la información recolectada de los usuarios y el estudio arrojo que no se cumple del todo con dichas medidas.
Es muy importante valorar el estado de seguridad de las aplicaciones durante y después de esta fase epidemiológica ya que nos demuestra que detrás del miedo y la inmediatez también existen los riesgos cibernéticos.

Figura elaborada por el autor tomada del Whitepaper “Los CERT´s, CSIRT´s y FC como Ejes esenciales en una Estrategia Nacional de Ciberseguridad (Preprint)

Los ejes esenciales de intercambio de información fortalecen cada vez más los espacios de ayuda y de “resiliencia“, permitiendo con esto, aportar de manera eficaz a las actividades del ciclo de la gestión de crisis cibernética; del mismo modo, aportando las herramientas tácticas, operativas y estratégicas esenciales para poder facilitar información pertinente y oportuna a las partes interesadas y componentes de infraestructuras críticas esenciales.