Tecnología 30/11/2019

Ciberinteligencia privada: ex agentes, patrullaje de la dark web, operaciones encubiertas, soplones y mucha ingeniería

Por Roberto H. Iglesias

Robert Villanueva integró el servicio secreto estadounidense y ahora es vicepresidente de Q6 Cyber, empresa integrada por ex agentes que trabaja en la prevención de ataques y fraudes digitales; el drástico aumento del malware y el papel de Rusia

Ciberinteligencia privada: ex agentes, patrullaje de la dark web, operaciones encubiertas, soplones y mucha ingeniería

Robert Villanueva, estadounidense de origen latino, fue jefe de inteligencia cibernética del servicio secreto de su país (el US Secret Service) y ahora es vicepresidente de la empresa de ciberseguridad Q6 Cyber. Es una persona de lo más amable y cordial pero las actividades de su compañía son cosa seria: busca evitar los fraudes o delitos que se cometen a través de Internet contra sus clientes, en lo posible antes que se produzcan.

Además de rastrear la web (incluso la dark web) usando una combinación de monitoreo y tecnología, la empresa puede recurrir a fuentes humanas que actúen como informantes. Esto se realiza en forma abierta o con operaciones encubiertas (“covert”) e implica, en ocasiones, estar en contacto —como deben hacer los periodistas de investigación— con personas absolutamente impresentables, por decir lo menos.

Bienvenidos al mundo de la ciberinteligencia privada.

Por supuesto, estas actividades tienen lugar dentro de las normas legales, aunque en el mundo global de Internet a veces las jurisdicciones son confusas y, por lo demás, hay actividades que están penadas en algunos países y en otros no (por ejemplo, algunas formas de espionaje industrial).

Villanueva nos habla de los bad guys que ofrecen artículos ilegales, que hackean sitios bancarios para vaciar cuentas o que venden desde claves de Netflix o tarjetas de crédito hasta códigos para acceder a sustancias radioactivas. Estos temas fueron los tópicos de su reciente presentación en Buenos Aires, en el contexto del II Taller internacional de Lucha contra el Ciberdelito realizado en la capital argentina.

Si por un lado estas tareas de inteligencia privada consiguen evitar fraudes y robos, a la vez que sirven para combatir a cibermafias globales, algunos pueden sentirse inseguros acerca de que los “buenos muchachos” no cometan abusos en su lucha contra quienes efectivamente son los “chicos malos” (¿nombres que quizás deban cambiarse en esta época de lenguaje inclusivo?).

Villanueva asegura que Q6 Cyber nunca comete hackeos ni intrusiones; por el contrario, evitan que se produzcan. Uno de los objetivos de la empresa, actuar antes de que los hechos ilícitos ocurran, puede conceptuarse como una medida elemental de prevención. Pero no faltarán quienes lo vean como una reminiscencia de Minority Report: aquella película de Steven Spielberg que anticipaba que en 2054 una unidad  de PreCrimen —cibernética— combatirá el delito antes de que se produjera.

En diálogo con Villanueva hablamos acerca de las actividades de la compañía y del concepto general de ciberseguridad. También de cómo él y la empresa ven la inteligencia no gubernamental aplicada al mundo de Internet.

-¿Qué características tiene la empresa y en que aspectos de la ciberseguridad se concentran?

-La empresa se llama Q6 y estamos basados en Miami. Allí está nuestra sede principal. Somos una compañía estadounidense pero de actuación global. Nuestra segunda sede es en Israel, en Tel Aviv. En la compañía somos todos jubilados de los gobiernos [norte]americano o israelí.

-Por ejemplo, ¿estuviste en el US Secret Service [el Servicio Secreto de los Estados Unidos, la agencia encargada de proteger al presidente y a funcionarios federales]?

-Yo estuve en el Servicio Secreto de los Estados Unidos por 25 años. Era el jefe de inteligencia cibernética. Fundé la sección de Análisis y Operaciones sobre Delitos Cibernéticos Mundiales del Servicio Secreto, en Washington DC.

En la compañía somos ingenieros [de computadoras] o analistas. Nuestro jefe de  tecnología trabajaba antes con la NSA, la Agencia Nacional de Seguridad [repartición del gobierno de los Estados Unidos dedicada a la intercepción de comunicaciones con fines de inteligencia —SIGINT—, supuestamente con orden judicial cuando se trata de ciudadanos o presuntos ciudadanos estadounidenses y sin esa orden en casos de objetivos extranjeros; algunas de estas actividades cobraron relieve mundial al ser reveladas por el exempleado Edward Snowden].

La mayoría del equipo de ingeniería es de allí [la NSA]. Y con bastantes compañeros míos antes trabajamos juntos [en el gobierno]. Son todos jubilados como yo o que terminaron de trabajar temprano. Nuestra misión se relaciona con tecnología que nos permita recopilar información de sitios maliciosos, globalmente.

¿Qué son sitios maliciosos? Conocemos y trabajamos esos sitios desde hace años y ya sabemos ya cuáles son los sitios “serios”, no amateur, no artesanales, los sitios que son “profesionales”…

“Son todos jubilados [de agencias gubernamentales] como yo o que terminaron de trabajar temprano. Nuestra misión se relaciona con tecnología que nos permita recopilar información de sitios maliciosos, globalmente”

-Sitios “serios” o “profesionales”, pero del ‘mal’, digamos…

Correcto. Nos concentramos en esos sitios de una forma encubierta para recuperar información de una manera técnica. Aparte de hacerlo de una manera técnica, también podemos recopilar información de manera encubierta, recurriendo a inteligencia de humano a humano [HUMINT]. Nuestros analistas hablan varios idiomas y pueden conversar con otra persona de una manera encubierta, averiguar la información y entregársela al cliente.

-¿Quiénes son los clientes de ustedes?

-Tenemos varios clientes, en todo tipo de sectores, mayormente de lugares financieros. Muchos bancos grandes de los Estados Unidos trabajan con otros. Hay también bancos de Argentina y de otros países de América Latina también. También compañías de telecomunicaciones, aerolíneas, retail [comercio minorista], cualquier sector que maneje información o tenga clientes con cuentas [online] que busque proteger. Más si tiene algún tipo de sitios que se debe hacer log in, como de homebanking. Nosotros estamos vigilando no solo los ‘malos’ y sus foros, sino también su infraestructura criminal. Sabemos cómo muchos de ellos pueden estar robando la información y podemos detectar esa información en tránsito.

-Entonces ustedes tienen gente navegando permanentemente en la web, la dark web [la porción de Internet que no está indexada por buscadores y que por eso es empleada muchas veces para actividades al margen de la ley] y que están evaluando qué amenazas hay…

-Personas, ingenieros y tecnología. Son tres cosas diferentes. La tecnología es 24 horas al día, nunca para. Estamos colaborando como socios con Cytric Solutions, ellos son nuestros representantes en el Cono Sur.

-O sea que ustedes no venden software de seguridad ni nada parecido. Se dedican a  evaluar a través de la web que amenazas hay…

-Evaluamos, interceptamos y recopilamos la información y se la entregamos a nuestros clientes. Nunca tocamos los sistemas de nadie, ni queremos, la red de ellos. No tenemos software, no tenemos nada. Todo es hecho internamente. Buscamos la información y se la entregamos al cliente.

“Nosotros estamos vigilando no solo los ‘malos’ y sus foros, sino también su infraestructura criminal. Sabemos cómo muchos de ellos pueden estar robando la información y podemos detectar esa información en tránsito”

-Entonces, podríamos decir que es una empresa privada de “inteligencia de web”

-Sí.

Analizan y navegan la web para proteger a sus clientes…

.Analizamos y navegamos la web para proteger a nuestros clientes, incluyendo la dark web y usando sistemas como TOR [que mantiene anónimos a usuarios y secretos a los mensajes, el cual sirve para navegar la llamada dark web]. La mayoría de las cosas que hacemos es navegar, interceptar y mirar información de la infraestructura criminal.

Estamos incluso monitoreando posnets [sistemas de pago online de tarjetas de créditos y similares] porque tenemos que saber si están robando información de sistemas y si la van a revender o utilizar. Nosotros lo detectamos antes de que esos datos sean utilizados y muchas veces lo hacemos en tránsito [mientras ocurre] y podemos buscar ese tipo de información, dependiendo de la situación.

-¿Ustedes no llegan a hacer un hackeo de algunos de esos sitios? Supongo que eso no está permitido. No se puede hackear legalmente a nadie aunque sea un delincuente… ¿no es cierto?

-Eso depende de la ley de cada país. Pero nosotros no hacemos eso. No hackeamos a nadie. Nosotros recopilamos la información que está en abierto. Hay que saber dónde buscarla.

-Es como si una empresa se dedicara a mirar diarios de todo el mundo y sacar información. Ustedes hacen eso con sitios de dudosa legalidad o directamente de delincuentes… Pero también pueden a veces comunicarse con esos delincuentes en el marco de una actividad encubierta, como antes me contabas…

-Vemos esos sitios que son utilizados para la ciberdelincuencia. Lo que estamos notando es un aumento drástico de los virus, del malware, que están recopilando información y las credenciales de personas, a nivel mundial: usuario, claves, etc. Uno tiene malware en la computadora, a veces a través del physhing: entra a un sitio donde le pueden usuario y clave y esa información es grabada por el malware y enviada a los maleantes.

Hay un incremento drástico de eso mundialmente, que afecta a millones y millones de cuentas. Nosotros con tecnología podemos adquirir muchas de esas cuentas, detectar [el fraude] y entregarla [al cliente damnificado que contrata a la compañía], antes de que el fraude ocurra.

-Para prevenirlo…

-Imagínate un banco, un sitio de homebanking, con cuentas que se están robando antes que las autoricen.

-Les pueden ahorrar millones de dólares…

-Estamos reduciendo el fraude de los bancos en los Estados Unidos hasta en un 50% en algunos bancos, la mitad.

“Vemos esos sitios que son utilizados para la ciberdelincuencia. Lo que estamos notando es un aumento drástico de los virus, del malware, que están recopilando información y las credenciales de personas, a nivel mundial: usuario, claves, etc”

 

¿Y qué logros podemos atribuirle a Q6 Cyber, los llamados “casos de éxito”? En tu exposición previa con el público vi que describías varios casos, que casi siempre tienen que ver con Rusia o con ciudadanos rusos. ¿No hay norteamericanos? ¿Es una nueva guerra fría o qué? ¿Hay algún sesgo en ese sentido porque ustedes están en los Estados Unidos?

-También hay [norte]americanos y tampoco no todo es Rusia. Es que en muchas de estas actividades se utiliza el idioma ruso. Yo mostré rusos, ucranianos y uno de Belarús [ex Bielorrusia]…

-Todos, justamente, de la ex Unión Soviética…

-Pero no es algo del gobierno de Rusia. Estamos hablando de maleantes que manejan el idioma ruso y están actuando contra las Américas, contra nosotros, en el norte y en el sur…

-Bueno, de todas maneras se supone que el marco legal en Rusia es un poco más “flexible” que en Occidente para algunas cosas ilícitas, por decirlo así.

-Y conocen muy bien las leyes de los países. Por ejemplo, las leyes de Sudamérica no son igual que las de Estados Unidos. Ellos saben eso y van a tratar de enviar gente aquí —las están enviando— personalmente o de están robando las claves de homebanking de ciudadanos de Argentina, para utilizarlas.

-Deben plantearse muchos problemas legales por el tema de las jurisdicciones: es cuando el servidor está en un país, el delincuente está en otro y los efectos de los delitos se producen todavía en una tercera nación. Y entonces se discute bajo las leyes de cada país cae esta actividad.

-Depende y hay que separar: dónde está la persona, dónde ocurre el crimen. Eso lo determina la fiscalía. Nosotros lo consultamos con la policía y con la fiscalía. Pero nuestro mandato principal es inteligencia…

-Cuando ustedes notan actividad ilegal, además de reportarla a sus clientes, en algunos casos harán la denuncia a la justicia.

-Si, depende. Si podemos identificar el sujeto, al criminal, lo reportamos…

-Están obligados a hacerlo…

-Muchas veces también damos apoyo técnico a gobiernos que nos contratan; no muchos gobiernos tienen la capacidad que tenemos nosotros para hacer esto. Pero como te decía, nuestro mandato principal es la inteligencia, buscamos recuperar cuentas robadas antes de que sean utilizadas y entregárselas al cliente. Y yo tengo que actuar de una manera privada porque muchas compañías no quieren que esto se haga público. Trabajamos con ellos en forma confidencial, ponemos esas cuentas en alerta y evitamos el fraude.

-Me imagino que tampoco se pueden revelar todos los casos. Habrá algunos ‘casos de éxito’ que ustedes pueden contar y otros que no.

-Te puedo contar uno o dos aspectos y no te puedo mencionar las compañías. Nosotros trabajamos con bancos muy grandes de los Estados Unidos y mundialmente. Un ejemplo fue la Navidad pasada: pudimos identificar dos cuentas de negocios [hackeadas] de unos clientes de un banco de los Estados Unidos: una cuenta tenía 600.000 dólares y la otra 1,3 millones de dólares.

Ellos [los delincuentes] tenían acceso a la clave, la IP, el web browser, las computadoras de esos negocios —eran de dos negocios diferentes—.  Nosotros recuperamos la información, que identificamos con nuestros analistas, y se la entregamos a nuestro cliente [el banco].

Y el cliente certificó que sí, efectivamente era la clave y llamó a sus clientes [los titulares de las cuentas bancarias], les cerraron las cuentas y se evitaron la pérdida de ese dinero. Y me dijeron del banco: ‘Robert, si no me avisaban, la mitad de ese dinero hubiera salido para Europa del Este antes de que nosotros lográsemos cerrar la cuenta’.

“Muchas veces también damos apoyo técnico a gobiernos que nos contratan; no muchos gobiernos tienen la capacidad que tenemos nosotros para hacer esto”

-Lo que ustedes hacen, ¿desde cuándo se hace en el mundo? ¿Cuándo comenzó esta modalidad de inteligencia?

-Hay compañías que hacen inteligencia parecida, de tarjetas de crédito, mayormente; es un campo más común. Depende de la edad de cada compañía particular, pero podríamos decir que es una actividad más antigua. La importancia y la diferencia de nuestra compañía son las fuentes que tenemos nosotros. Tenemos fuentes de hace muchos años, sabiendo que son criminales “serios”.

-¿Fuentes criminales?

-Estamos en comunicaciones con algunos de ellos… Lo que tenemos nosotros de tecnologías antivirus y de interceptar el home banking, nadie las tiene.

-¿Nadie?

 –Que yo sepa. Mundialmente, nadie las tiene porque nuestra tecnología es propietaria… Ahora, hay personas que ofrecen por Internet cuentas que ya fueron utilizadas o revendidas por un maleante. Esas cuentas son antiguas. La información que nosotros tenemos es fresca. Esa tecnología es exclusiva nuestra: yo la diseñé junto al jefe de tecnología de la compañía.

-Entonces te especializas también en el aspecto informático, más allá de tu pasado como miembro del Servicio Secreto…

-Yo soy el jefe de Operaciones de la compañía. Tengo, obviamente, gerentes y otras personas que trabajan conmigo, pero yo soy el encargado de todas las operaciones.

-No sé si esto me lo podrás decir, pero por ejemplo, ¿ustedes tienen colaboración con la NSA?

-No, nosotros no tenemos ningún contacto. Y si lo tuviéramos no te lo podría decir.

-Pero sí tienen como clientes a organismos de seguridad…

-Sí, tenemos clientes de esos grupos.

“Nosotros estamos reduciendo esas pérdidas y apoyando mundialmente a los bancos con nuestros servicios. En verdad, están atacando más que ningún otro lado a América Latina”

-Me imagino que tendrán entonces algún cliente del Departamento de Homeland Security [el supraorganismo de Estados Unidos creado luego de 2001 que reúne a más de una veintena de agencias de seguridad —Aduanas, Emergencias, Inmigración, Guardacostas, el propio Servicio Secreto—, exceptuando la CIA, el FBI y la NSA]

 –

-Sí, ya sé, si lo tuvieran…

-…no te lo podría decir.

-Claramente esto es un nuevo campo, una disciplina que hace 15 o 20 años quizás no existiría o estaría dando sus primeros pasos…

-Esto es algo nuevo, para formar esta compañía yo previamente me jubilé. La compañía tiene cuatro años de vigencia. Estoy haciendo algo muy parecido a lo que yo hacía para el gobierno de los Estados Unidos, pero lo estoy haciendo para el sector privado.

Es importante que los bancos entiendan que no es un problema los bancos en sí, sino que los clientes están infectados con esos virus. Los hackeos ocurren y pueden pasar hasta en un restaurante, con una tarjeta. Pero afectan más que nada a los bancos, porque en último término las pérdidas las sienten los bancos.

-Los bancos serían el target más lógico para cualquier ciberdelincuente

-Nosotros estamos reduciendo esas pérdidas y apoyando mundialmente a los bancos con nuestros servicios. En verdad, están atacando más que ningún otro lado a América Latina y a mí me interesa ayudar a los bancos latinoamericanos, con la misma tecnología que están usando los bancos [norte]americanos.

-También están las vulnerabilidades que se producen organismos de seguridad latinoamericanos, que a veces no usan intensivamente la tecnología.

-Yo no diría eso…

“Yo sé que aquí la Policía Federal y la Fiscalía tienen muchas capacidades tecnológicas. He trabajado con ellos en el pasado y efectivamente son muy buenos. Con la ciberseguridad, nadie es perfecto”

-Aquí a la propia ministra de Seguridad le hackearon una vez su Twitter, nadie sabe bien cómo…

-Yo sé que aquí la Policía Federal y la Fiscalía tienen muchas capacidades tecnológicas. He trabajado con ellos en el pasado y efectivamente son muy buenos. Con la ciberseguridad, nadie es perfecto.

 –Hay también un director nacional de Ciberseguridad en el Ministerio de Defensa, que nombró  el gobierno actual.

 –En lo que hay que enfocarse, insisto, en los bancos en sí. Los están atacando porque ahí está la plata. [Con la información de Internet] roban dinero de los bancos, de ciudadanos argentinos. Muchos de ellos no recuperan la información robada. Los bancos se tienen que ‘poner las pilas’ como dicen los colombianos…

-Aquí también lo decimos…

-…para poder adquirir inteligencia antes que el fraude ocurra.

-Prevenir el fraude antes de que ocurra…

-Eso es lo importante y eso es lo que yo puedo ofrecer, junto con nuestros socios locales de Cytric Solutions.

-Al ser un campo relativamente nuevo, previsiblemente van tener más competencia en el futuro.

-La competencia siempre es buena, pero nosotros estamos bien establecidos, tenemos nuestros sistemas y tecnología que es propietaria, que está bien avanzada. Yo tengo mucha confianza que nuestro negocio en el sector privado va a ser muy beneficioso. El mercado de Argentina es muy importante para nosotros. Obviamente los bancos de los Estados Unidos son más grandes y tienen más recursos. Pero los bancos pequeños también se pueden beneficiar de nuestros servicios, a precios reducidos.