Hacker>Puede que el Día de Acción de Gracias sea festivo para la mayoría de los habitantes de Estados Unidos, pero no es un día de descanso para los hackers. El lunes, las autoridades estadounidenses advirtieron a las empresas y a las autoridades gubernamentales del país que estuvieran muy atentas a los ataques del 25 de noviembre. Invariablemente, algunos ataques de ransomware tendrán éxito y, según Ulisse Dell’Orto, director general para Asia-Pacífico de la empresa de investigación de criptomonedas Chainalysis, hay errores comunes que se cometen al investigar este tipo de ciberdelitos.
Capital.com: ¿Qué tan difíciles son de investigar los ataques de ransomware?
Ulisse Dell’Orto: La transparencia inherente a las cadenas de bloques hace que las investigaciones sobre criptomonedas sean más fáciles para las fuerzas del orden en comparación con las investigaciones financieras que implican moneda fiduciaria. Las cadenas de bloques actúan como un libro de contabilidad permanente y públicamente visible de casi todas las transacciones de criptodivisas, lo que permite a los investigadores rastrear los movimientos de fondos entre las direcciones de criptodivisas, algo que es simplemente imposible con la moneda fiduciaria.
Sin embargo, las direcciones de las criptomonedas son pseudónimas. Los investigadores necesitan datos fiables que atribuyan esas direcciones a servicios y organizaciones para poder extraer información de los registros de transacciones de las cadenas de bloques.
Piensa en la cadena de bloques como un mapa que muestra por dónde se mueve la criptomoneda, proporcionando las etiquetas que permiten a los investigadores entender quién controla los fondos cuando se mueven a una dirección específica. Pero blockchain es también un mapa en el que ninguno de los países está etiquetado. No entender esto puede llevar a los investigadores a conclusiones falsas, lo que se traduce en tiempo y recursos desperdiciados en perseguir pistas inexactas.
CC: ¿Qué papel juegan los mezcladores de monedas en las investigaciones sobre criptomonedas?
UDO: No identificar a los mezcladores de monedas es un error clave cometido por los investigadores de ransomware. Los mezcladores de monedas funcionan «mezclando» todas las monedas de los usuarios en un fondo central y luego devuelven su valor – menos una pequeña cuota a los usuarios – lo que los hace imposibles de rastrear. No es de extrañar que los delincuentes utilicen con frecuencia los mezcladores de monedas para ocultar su rastro, y a pesar de que se enfrentan a un creciente escrutinio por parte de las fuerzas del orden, estos servicios siguen proliferando.
CC: ¿Se pueden rastrear los fondos después de haberlos enviado a través de un mezclador de monedas?
UDO: El hecho de que se haya utilizado un mezclador de monedas no significa que los investigadores no puedan seguir rastreando los fondos, sino que deben utilizar una herramienta de análisis de la cadena de bloques que identifique las direcciones en cuestión como pertenecientes a un mezclador.
Tomemos el ejemplo del ataque a Colonial Pipeline, llevado a cabo por el grupo de hackers DarkSide. En este caso, los investigadores estadounidenses pudieron recuperar una cantidad sustancial del rescate pagado utilizando el tipo de tecnología que acabo de describir.
Poco después del ataque, el administrador movió los fondos a un monedero intermediario etiquetado como «DarkSide Dormant Funds». Los fondos se movieron a un segundo monedero intermediario -llamado DarkSide Consolidation, y aproximadamente una hora después se movieron a un mezclador, cuyo nombre permanece oculto ya que la investigación está en curso.
Si los usuarios intentaran analizar esta transacción utilizando un explorador de bloques público o una herramienta de análisis de blockchain que no haya catalogado la dirección receptora como parte de un mezclador, no podrían saber qué está ocurriendo. En su lugar, verían que los fondos se mueven a varias direcciones diferentes en rápida sucesión, en un patrón que se asemeja a una cadena de peel.
El director gerente de la empresa de investigación de criptomonedas Chainalysis Asia-Pacífico, Ulisse Dell’Orto – Foto: Chainalysis
CC: ¿Qué es una cadena de cáscaras?
UDO: Una cadena de pelado es un patrón de transacción comúnmente visto en el análisis de blockchain, en el que los fondos parecen moverse a través de varias direcciones intermedias. En realidad, esas direcciones intermedias forman parte de un único monedero y se crean automáticamente para recibir el cambio sobrante que resulta de ciertas transacciones.
En el caso de un mezclador de monedas no identificado, las direcciones intermedias forman parte del propio mezclador y no de un monedero, y las nuevas direcciones están hechas para no recibir intercambios, sino que distribuye los fondos a nuevas direcciones que también aloja, desde las que pueden pasar a los usuarios finales.
CC: ¿Las cadenas de cáscaras son utilizadas sólo por los delincuentes?
UDO: Los patrones similares a los de las cadenas peel que se derivan del uso de mezcladores no identificados han contribuido a la creencia de que las cadenas peel son en sí mismas una técnica para que los delincuentes blanqueen criptodivisas. Aunque los ciberdelincuentes suelen aprovechar las cadenas de pelado para ocultar sus ganancias ilícitas, en realidad se trata de patrones que se producen de forma natural y que surgen de la forma en que las carteras de criptomonedas están diseñadas para recoger el cambio de las transacciones.
La falta de comprensión de la ocurrencia natural de las cadenas de cáscaras puede hacer que los equipos policiales pierdan tiempo y recursos siguiendo pistas falsas.
CC: ¿Por qué los ciberdelincuentes utilizan los intercambios?
UDO: Los delincuentes suelen mover criptodivisas a través de carteras intermediarias para despistar a los investigadores. Estas transacciones son relativamente fáciles de rastrear con la mayoría de las herramientas de análisis de la cadena de bloques, ya que los investigadores pueden confiar en la cadena de bloques para mostrar qué nueva dirección recibió los fondos después de cada transacción.
Las investigaciones se vuelven más complicadas cuando los fondos llegan a un servicio como un intercambio, ya que es imposible rastrear dónde se envían los fondos después de que hayan llegado a una dirección de depósito alojada en un servicio. Sin datos de atribución, la cadena de bloques ya no es una fuente fiable de verdad.
Cuando alguien envía criptomoneda a su dirección de depósito en un servicio, la criptomoneda no se queda en esa dirección. Por el contrario, el servicio la mueve internamente, juntándola y mezclándola con los fondos de otros usuarios según sea necesario. Sólo la propia bolsa sabe qué depósitos y retiradas están asociados a clientes concretos, y esa información se guarda en los libros de órdenes de la bolsa, que no son visibles en las cadenas de bloques.
Por supuesto, las cadenas de bloques no saben que los movimientos de fondos internos de los servicios no son transacciones ordinarias, sino que se registran en el libro mayor como cualquier otra transacción. Por lo tanto, no tiene sentido seguir los fondos una vez que se han depositado en un servicio, ya que el propietario de la dirección de depósito no suele ser el que los mueve después de ese momento.
De nuevo, esto puede llevar a los investigadores a perder tiempo y recursos siguiendo pistas erróneas.
CC: ¿Qué son los servicios anidados y los servicios comerciales?
UDO: Los servicios anidados son entidades de criptodivisas que operan utilizando direcciones alojadas en bolsas más grandes para aprovechar la liquidez y los pares de negociación de esas bolsas. Los clientes de los proveedores de servicios comerciales operan de forma similar.
Los proveedores de servicios comerciales permiten a las empresas convencionales aceptar criptodivisas como pago de productos y servicios, al igual que los procesadores de pagos en el mundo fiat. Las empresas que utilizan los proveedores de servicios comerciales son análogas a los servicios anidados, ya que reciben criptodivisas utilizando direcciones alojadas por otra empresa.
Esto significa que los investigadores pueden sacar conclusiones falsas si rastrean los fondos hasta una dirección que no está debidamente etiquetada como perteneciente a un servicio anidado o a un proveedor de servicios comerciales.
CC: ¿Cuándo los servicios comerciales han engañado a los investigadores de la ciberdelincuencia?
UDO: En junio de 2021, algunos medios de comunicación informaron de que las direcciones asociadas a la cepa de ransomware Ever101 enviaban fondos a una dirección perteneciente a RubRatings, un sitio web para adultos que aceptaba pagos en criptomoneda. Este hallazgo era falso. De hecho, Ever101 había enviado fondos a una dirección de depósito alojada por un proveedor de servicios comerciales del que RubRatings también era cliente.
Los investigadores fueron llevados por mal camino porque utilizaron una herramienta de análisis de blockchain que etiquetó erróneamente todas las direcciones de los monederos del proveedor de servicios comerciales como pertenecientes a RubRatings, sin darse cuenta de que RubRatings era uno de los muchos clientes que recibían fondos en las direcciones alojadas por el proveedor de servicios comerciales.
Ese error dio lugar a noticias falsas y podría haber llevado a las fuerzas del orden a citar por error a RubRatings en lugar de al proveedor de servicios comerciales, que podría haber proporcionado más información sobre la cuenta que utilizaba la dirección en cuestión.
El seguimiento de los fondos procedentes de los ataques de ransomware no es una tarea sencilla, pero un mayor conocimiento de algunas de las cuestiones que acabamos de comentar significará que los recursos de los investigadores’ se utilizan de forma más eficiente.
