Solo una pequeña parte de las transacciones de criptomonedas están relacionadas con actividades delictivas, pero siguen siendo un mecanismo fundamental para el pago asociado a delitos que van desde el tráfico de personas y drogas hasta el terrorismo y el ransomware. Las transacciones de criptodivisas asociadas a actividades delictivas representaron unos 10.000 millones de dólares en 2020, incluidos 2.600 millones de dólares perdidos por los consumidores en estafas relacionadas con criptodivisas. Seguir el dinero como principal herramienta de investigación exige rastrear los movimientos de la criptomoneda, lo que requiere nuevas herramientas y técnicas.
El poder de detectar, interrumpir y neutralizar actividades delictivas mediante el seguimiento de los movimientos de criptomonedas ha demostrado ser una capacidad fundamental para las fuerzas del orden, como han puesto de relieve los recientes éxitos de gran repercusión:
- En junio de 2021, el Departamento de Justicia de Estados Unidos se incautó de 2,3 millones de dólares en criptomoneda, recuperando en poco menos de un mes el pago realizado a los ciberdelincuentes que atacaron Colonial Pipeline con un ransomware.
- En agosto de 2021, la policía de Victoria (Australia) se incautó de una cantidad récord de 8,5 millones de dólares australianos (aproximadamente 6,2 millones de dólares estadounidenses) relacionados con el tráfico de drogas en la dark web.
Aun así, el seguimiento de los movimientos de criptomoneda sigue siendo complejo, sobre todo cuando múltiples saltos a través de muchas jurisdicciones oscurecen la ruta de un monedero a otro. Las fuerzas y cuerpos de seguridad (LEA) y otros organismos que investigan este tipo de transacciones no suelen poder ir más allá del primer o segundo salto, lo que dificulta la recopilación de información. Mientras tanto, el interés por rastrear las transacciones de criptomoneda se está ampliando más allá de los usos tradicionales de las fuerzas de seguridad.
Reducir la complejidad del seguimiento de las transacciones de criptomoneda
Aunque criptomonedas como Bitcoin, Ethereum, Litecoin y otras fueron diseñadas explícitamente para la privacidad, fuera del alcance de los gobiernos, las transacciones se producen paradójicamente en su mayor parte a través de plataformas abiertas y se registran en libros de contabilidad públicos. Esa realidad significa que, a medida que la criptodivisa se mueve en una serie de interacciones de máquina a máquina, crea un libro de contabilidad con una huella digital que puede ser reconocida y recopilada como prueba. La mayoría de las transacciones de criptomoneda pueden supervisarse libremente; el reto de la recopilación de inteligencia reside en identificar las transacciones de interés, así como la atribución a estas transacciones.
Los indicadores de que una transacción puede requerir investigación pueden ser tan simples como un punto final de transacción en una geografía prohibida o dentro de una zona específica conocida de la dark web. También pueden ser tan complejos como las relaciones multidimensionales entre eventos o las anomalías sutiles en el movimiento de datos que se detectan utilizando análisis avanzados. Una vez que se determina que una transacción tiene valor para la investigación, su ruta debe reensamblarse a partir de múltiples sistemas, incluyendo información como la dirección IP, la marca de tiempo y la ubicación geográfica de los puntos de origen y finalización de la transacción, así como de cada salto intermedio.
La identificación de transacciones de criptomoneda de interés para los investigadores de las fuerzas de seguridad tiene similitudes con las prácticas de detección de anomalías utilizadas en la caza de amenazas de ciberseguridad. Por ejemplo, los modelos de aprendizaje automático pueden entrenarse para reconocer la actividad típica de las transacciones en los mercados de criptomonedas, así como las desviaciones de esas normas que indican transacciones de interés. Medidas como la correlación de eventos contextualizados y el análisis de patrones en el tráfico monitorizado de máquina a máquina pueden configurarse para escuchar y llamar la atención sobre transacciones potencialmente ilícitas. Los patrones pueden identificarse y refinarse para informar la detección mediante aprendizaje automático de actividades delictivas específicas, como el blanqueo de capitales, el terrorismo financiero, el tráfico de drogas, la extorsión y otras. Estos análisis permiten extraer el significado de un conjunto de datos sobre transacciones que, de otro modo, sería abrumadoramente vasto, de modo que las fuerzas y cuerpos de seguridad y otras instancias puedan hacer uso de él.
Iluminar las actividades relacionadas con las criptomonedas depende tanto de la visibilidad de las transacciones de extremo a extremo como de extraer conclusiones a partir de esa información. Las plataformas de inteligencia legal SS8 permiten rastrear las rutas de los datos de las transacciones y, al mismo tiempo, hacen que esos datos estén disponibles y sean fáciles de consumir en las herramientas de supervisión. Esta trazabilidad permite a las fuerzas de seguridad realizar consultas específicas, visualizaciones y otros análisis de los datos para ayudar a construir casos. El trabajo de investigación manual debe realizarse junto con procesos automatizados, como la detección de criptografía dentro de un caso de investigación concreto.
Detección de la criptominería no autorizada
Los ciberataques que instalan ilícitamente malware de minería de criptomonedas que desvía la potencia de cálculo de las víctimas siguen siendo rentables para los autores, creando una amenaza constante para las organizaciones de TI de todo tipo y tamaño. Estos ataques, denominados "crypto-jacking", cuestan dinero a los operadores de centros de datos, ya que aumentan el consumo de energía y provocan un desgaste del sistema que puede acortar la vida útil de los equipos informáticos. También pueden existir amenazas internas, en las que un administrador de sistemas malintencionado, por ejemplo, podría instalar subrepticiamente software de minería de criptomonedas en sistemas cliente o servidor para su beneficio personal. Algunas jurisdicciones también prohíben la minería de criptomonedas debido a preocupaciones medioambientales relacionadas con el consumo masivo de energía de esta práctica. En todos estos ejemplos, cada transacción de criptomoneda representa un motivo de preocupación por derecho propio, independientemente de la asociación con otras actividades.
La identificación de paquetes de red asociados a operaciones no autorizadas de minería de criptomonedas es un uso sencillo para las plataformas SS8. La habilitación continua de las herramientas de extracción de SS8 proporciona visibilidad de los flujos de tráfico empresariales y de otro tipo asociados a las transacciones de criptomoneda, incluida información como los puntos finales de la transacción, los saltos intermedios, las direcciones IP y los detalles geográficos. Este conjunto de capacidades se basa en las más de dos décadas de trabajo de SS8 en la captura de información oculta a partir de datos de comunicación.
SS8 está trabajando con el ecosistema más amplio de proveedores de soluciones para que esta información esté ampliamente disponible dentro de los flujos de trabajo de las operaciones de TI empresariales, complementando la observabilidad, la gestión de eventos y las herramientas y funciones de ciberseguridad. La usabilidad desempeña un papel fundamental en esta habilitación, ayudando a que capacidades como la creación de marcos de supervisión automatizados sean accesibles a los operadores de primera línea, acelerando la adopción y el tiempo de obtención de valor. Estos esfuerzos también incluyen la búsqueda de soluciones para el seguimiento de criptomonedas en múltiples jurisdicciones y marcos reguladores internacionales y regionales, lo que refleja la naturaleza verdaderamente global de estas transacciones.
SS8 amplía las capacidades de análisis y visualización relacionadas con la criptomoneda a todas las topologías a las que tienen acceso las plataformas, incluidas las redes empresariales internas y la infraestructura pública de telecomunicaciones. A medida que la parte de las finanzas mundiales representada por la criptomoneda siga creciendo, la capacidad de detectar y comprender las transacciones será cada vez más importante.
Para obtener más información sobre una potente solución de análisis de comunicaciones digitales, visite el sitio web de SS8.
Sobre el Dr. Cemal Dikmen
Como director de tecnología de SS8, Cemal desempeña un papel esencial en la dirección estratégica, el desarrollo y el crecimiento futuro de la empresa. Experto de renombre y líder de opinión en el ámbito del cumplimiento de la legislación y el análisis de las comunicaciones, ha sido ponente habitual en diversas conferencias del sector durante los últimos 10 años. Cemal es licenciado, máster y doctor en Ingeniería Eléctrica. Puede obtener más información sobre Cemal en su perfil de LinkedIn haciendo clic aquí.
Acerca de SS8 Networks
SS8 proporciona plataformas de inteligencia legal. Trabajan en estrecha colaboración con los principales organismos de inteligencia, proveedores de comunicaciones, fuerzas y cuerpos de seguridad y organismos de normalización, y su tecnología incorpora las metodologías comentadas en este blog. Xcipio® ya ha demostrado su capacidad para satisfacer las elevadísimas exigencias de la 5G y ofrece la posibilidad de transcodificar (convertir) entre versiones de traspaso de interceptación legal y familias estándar. Intellego® X T admite de forma nativa traspasos ETSI, 3GPP y CALEA, así como variantes nacionales. El componente MetaHub de Intellego XT es la mejor herramienta de análisis de datos de su clase. Ambas carteras de productos se utilizan en todo el mundo para la captura, el análisis y la entrega de datos con fines de investigación criminal.
