Las jornadas STIC CCN-CERT / Ciberdefensa ESPDEF-CERT, que se celebraron la pasada semana en Madrid, acogieron una interesante ponencia por parte de Santiago Tellado, titulada 'Bugs y glitches en las investigaciones a nivel internacional'. Tellado es inspector jefe de la Policía Nacional y trabaja como analista sénior en el Centro Europeo de Ciberdelincuencia (EC3) de Europol. También estuvo en Interpol. Lleva desde 2002 investigando ciberdelitos.
Tellado desgranó en su presentación los retos de los policías a la hora de investigar la cibercriminalidad de manera global y presentó casos prácticos de la actuación del EC3 que ahora recogemos en este artículo.
Las Fuerzas y Cuerpos Seguridad del Estados no son proactivas
Relató el experto que las Fuerzas y Cuerpos Seguridad del Estado desempeñan el 99% de su trabajo de manera reactiva: “No somos proactivos a la hora de investigar, pero no es malo. Nuestra función consiste en investigar los delitos, y para ello han debido cometerse. Aunque la prevención tiene su rol también. A nivel proactivo se podría hacer un poco más, necesitamos que las víctimas denuncien. En este sentido, la colaboración pública-privada es muy importante”.
Y puso un ejemplo. Europol tiene abierta una investigación importante sobre un caso de ransomware a nivel internacional. Pues resulta que solo un 30% de las personas infectadas han contactado con los delincuentes para evitar la publicación de datos. El otro 70% de las víctimas o ignoran el ataque o toman sus propias medidas. Y sin apenas denuncias. Tellado explicó que para que se active la cooperación internacional se necesita una chispa que inicie el fuego.
Prioridades y cortoplacismo
Las prioridades de investigación en la Europol no son las mismas que las de otros grupos policiales. Ni las del FBI o la Policía Federal Australiana son las mismas que las de la Policía Nacional o de la Guardia Civil, por ejemplo. La falta de alineación en los objetivos a corto plazo puede resultar un impedimento en la persecución de la cibercriminalidad.
Escasez de recursos
La falta de recursos, tanto humanos como materiales, es evidente, también en la Europol, donde se dedican exclusivamente a la investigación de cibercriminalidad: hacking, malware… En épocas anteriores al COVID-19, tenían aproximadamente unas 3.000 contribuciones anuales, es decir, las informaciones que las distintas policías de los distintos países miembros de Europol facilitaban. En lo que va de 2024 llevan por encima de 6.000, informa Tellado.
Ignorancia y formación
El desconocimiento de la tecnología es un problema del pasado. “Las generaciones vienen más preparadas, los policías nuevos saben informática, muchos son ingenieros o ya tienen una experiencia previa en el sector privado”, detalla el ponente, quien confesó por qué empezó a investigar delitos informáticos en 2002: “Yo estudié Magisterio por Educación Física, pero comencé en esto porque era el único en toda la Comisaría de Alicante que sabía Access. Con Word había gente que se manejaba, pero si dominabas las tabulaciones entonces eras visto como el gurú de la informática. Y como se había marchado el jefe de Delitos Tecnológicos, pues me tocó a mí”.
Descoordinación
Sobre todo se produce descoordinación al comienzo de las investigaciones, una duplicidad de esfuerzos. Una de las funciones básicas de Europol consiste en recibir las contribuciones que envían los países, meterlas en la base de datos y cruzarlas. Así pueden identificar las distintas policías en distintos países que están investigando al mismo grupo criminal, o detectar la misma familia de ransomware. Resulta vital la colaboración entre todos los actores: públicos, privados, institucionales, nacionales o internacionales.
Profesionalización de los delincuentes
Los cibermalos se han especializado y son más profesionales que nunca. También los policías de ahora disponen de más conocimientos técnicos. Los criminales utilizan estrategias de VPNs, hostings, proxies, mixers de crypto… Rememora Tellado el no va más de la investigación allá por 2002: “El mayor reto era obtener la IP en una cabecera técnica de un correo electrónico. Si tenías los conocimientos para hacer eso, te llamaban crack. Porque el problema era que al cambiar con las actualizaciones de los proveedores las opciones también se transformaban”.
Hoy en día, esos proveedores han cambiado para preservar la privacidad de las personas y no aparece el IP del usuario original. “Pero en cualquier caso con una IP no haces nada —sostiene el agente—. El cibercrimen organizado usa dobles VPN. A nivel técnico son muy buenos”.
Cooperación entre distintos organismos
Europol, Interpol, Ameripol contribuyen a la cooperación internacional en la investigación sobre la cibercriminalidad, aunque de alguna manera se crean atascos derivados de los problemas estructurales de estos organismos, que además solo disponen de recursos limitados.
En cuanto a compartir información de las investigaciones, todavía existe cierta desconfianza, asegura Tellado, quien comenta que “hay muchos países que siguen todavía creyendo en la bilateralidad”. “En algunos casos, por asuntos legales o por la sensibilidad de la investigación podría existir cierta cautela, pero el principio de generosidad debería imperar”, apunta.
El tiempo y las reglas
La sensación de Tellado es que una investigación en Europol se resuelve en un par de años, quizás menos. Sin duda la demora se produce por globalización, advierte: “Los servidores de los exchanges están en una jurisdicción, los proveedores electrónicos en otra, los delincuentes en una distinta, las víctimas en muchos países. Por eso la petición y la tramitación de información lleva tiempo. Y luego hay que traducirla”. Europol, Policía Nacional, Guardia Civil tienen que actuar según las reglas, las mismas que los delincuentes se saltan.
¿Se pierde el instinto?
Para Tellado, “se está perdiendo un poco el Sherlock Holmes, el instinto policial, el enfoque”. “No debería bastar con ejecutar este script, analizar la información”, añade. Para ilustrar su opinión contó una anécdota: “Cuando fui a la Interpol, en 2006, la red social Tuenti no existía en España. Al regresar en 2009, tres años después, contaba con 20 millones de usuarios. Las cosas cambian y un policía debe conocer todas las herramientas, lo que requiere un conocimiento constante”. Pero sin perder este instinto.