Los investigadores de Recorded Future aseguran haber podido identificar a algunas personas que tienen cuentas en sitios de la darknet para compartir material de abuso sexual infantil (CSAM), desenmascarándolas a partir de información robada por ciberdelincuentes.
Según han explicado han dado con estos individuos basándose en credenciales obtenidas por infostealers o ladrones de información, un tipo de malware que suele robar credenciales de inicio de sesión para servicios bancarios, las cuales son explotadas a posteriori por estafadores financieros.
Sin embargo, además de los datos de acceso a las apps bancarias existen otras credenciales, incluyendo las de páginas web .onion conocidas por contener material de abuso sexual infantil.
Suele ocurrir que estos sitios, que operan bajo la red Tor, anonimizan a sus usuarios retransmitiendo cada conexión a través de varios saltos en una red cifrada. Pero los registros individuales del infostealer contienen credenciales para otros servicios usados por la persona infectada.
Dichos registros vinculan a esos usuarios anónimos de sitios web de CSAM con cuentas en plataformas web transparentes, como Facebook, en las cuales han usado sus nombres reales. Esto brindaría a las agencias policiales la oportunidad de investigar a estos pederastas y proteger a los niños en riesgo.
“Los ladrones de información son un tipo de malware que roba datos de los dispositivos infectados. Puede ser cualquier cosa, desde credenciales de inicio de sesión hasta información del sistema operativo o direcciones de criptomonedas, una amplia gama de datos que estos actores luego publican, comparten o venden en fuentes de la web oscura”, ha explicado Hande Guven, investigador de delitos cibernéticos en Recorded Future.
La información contenida en cada registro individual de los infostealers es “inmensa”, ha insistito Guven. “Se puede ver una gran cantidad de credenciales de inicio de sesión, incluyendo sus contraseñas para varias webs, básicamente todas las rutas, todos los sitios web en los que se han conectado durante ese tiempo o que están guardados en su keychain", añade.
En manos de las autoridades
Recorded Future asegura haber compartido todos sus hallazgos con las autoridades policiales en EE.UU, incluyendo datos sin procesar que no forman parte del informe público.
En tres estudios de caso basados en el análisis de registros de infostealers incluidos en el anuncio de prueba de concepto, los investigadores pudieron identificar dos individuos del mundo real “que probablemente hayan cometido o puedan cometer delitos contra niños”.
En uno el individuo había sido condenado previamente por explotación infantil y fue “arrestado en una operación encubierta en la que intentó reunirse con una menor con 'fines lascivos'”.
Además, en otro caso los datos de autocompletar del navegador del usuario les permitieron localizar su nombre completo, dirección física y varios números de teléfono, lo que llevó a los investigadores a identificar un obituario reciente del individuo que afirmaba que había sido un voluntario activo en hospitales infantiles de su comunidad.
Esta persona no contaba con antecedentes, pero tenía cuentas en nueve sitios web que albergaban material de abuso sexual infantil.
“Incluso dentro del alcance de nuestra investigación, se trata de una gran cantidad de cuentas. Por lo tanto, se trata de alguien que, prácticamente hablando, pasó desapercibido toda su vida y estuvo en contacto diario con niños”, concluye Guven.