Las comunicaciones han pasado de las tradicionales (voz, correo electrónico y SMS ofrecidos por los operadores de telecomunicaciones) a las aplicaciones cifradas over-the-top (OTT). Lamentablemente, esto hace que las fuerzas y cuerpos de seguridad de todo el mundo pierdan información vital para sus investigaciones. Además, dado que las normas de privacidad de las aplicaciones OTT se rigen por su país de origen asociado, el acceso puede ser lento o incluso bloqueado (en casi todos los casos). Esto impide a las fuerzas de seguridad acceder a las comunicaciones almacenadas o a la información de los abonados. Por otra parte, con el lanzamiento de las comunicaciones 5G y la disponibilidad de Internet a velocidad de fibra óptica, las fuerzas y cuerpos de seguridad se enfrentan a un reto cada vez mayor de volúmenes de datos que oscilan entre los cientos de gigabits y los terabits.
Entonces, ¿cómo pueden los analistas de las fuerzas de seguridad obtener la información que necesitan de las aplicaciones y comunicaciones cifradas?
Una respuesta es Internet Communication Records (ICR). Los ICR proporcionan información detallada a nivel de aplicación sobre cada paquete y cada flujo. Los ICR pueden generarse a partir de paquetes sin procesar, como parte de comunicaciones interceptadas, o pueden generarse en tiempo real a partir de enlaces de Internet que funcionan a gigabits o terabits. Incluso cuando las comunicaciones están cifradas, los ICR proporcionan información mucho más relevante a nivel de investigación que los simples registros de flujo. Los investigadores que utilizan ICR obtienen una mayor eficacia al analizar las comunicaciones de Internet capturadas. Incluso con una red más amplia, pueden proporcionar información sobre la planificación, el reclutamiento y la jerarquía de las organizaciones.
Los ICR ofrecen cuatro elementos diferenciadores muy singulares y potentes:
- 1) reducir los registros manteniendo la fidelidad mediante el resumen
- 2) asociar todos los flujos de un servicio al servicio
- 3) detección de dispositivos y servicios encriptados
- 4) identificación de los servicios utilizados en los canales de comunicación
Resumen
Los sitios web modernos y las aplicaciones OTT implican un gran número de flujos de comunicación. Por ejemplo, una visita a CNN.com da lugar a más de 300 flujos únicos. Casi todos estos flujos son asociaciones con servicios de redes sociales, motores de búsqueda, análisis web, redes de distribución de contenidos y herramientas de marketing. Presentados individualmente, consumirían el tiempo de un analista y ocuparían espacio en la base de datos, espacio en la pantalla y entorpecerían la indexación con poco o ningún valor forense. CNN.com no es un caso único en cuanto al número de flujos: es típico de casi todos los sitios de noticias, búsquedas, venta al por menor o entretenimiento.
La plataforma de interceptación ideal aprendería y conocería los sitios de Internet modernos y las aplicaciones OTT y sería capaz de optimizar la salida para obtener la máxima fidelidad forense y valor de investigación. Como resultado, los resultados de la sesión se encuentran en un único y potente registro de alta definición que proporciona al investigador lo que necesita y da cuenta de todos los paquetes a través de todos los flujos. Aunque la presencia de cifrado puede afectar al número de registros resultante, la asociación (que se describe a continuación) ayuda a resolver este problema.
Asociación
Como ya se ha mencionado, una aplicación OTT o un sitio web moderno pueden dar lugar a cientos de flujos individuales. Además, el usuario típico de un smartphone o de un ordenador de sobremesa tiene varias aplicaciones o páginas abiertas al mismo tiempo. Identificar qué flujos están asociados a qué aplicación es fundamental para una contabilidad e investigación adecuadas.
Es decir, la plataforma de interceptación ideal no sólo aprendería y conocería los sitios de Internet modernos y las aplicaciones OTT, sino que sería capaz de asociar la aplicación padre con los flujos hijos adecuados. La asociación puede utilizarse en aplicaciones como Facebook, Google Search, MSN Search, Yahoo Search, Skype, Gmail, WhatsApp, Twitter, YouTube, Instagram, LinkedIn, Pinterest, Reddit, Flickr, Apple iMessage, Apple iCloud y otras. La funcionalidad de asociación es un gran beneficio para los analistas de LEA que determinan el uso de aplicaciones y sus actividades relacionadas.
Detección de eventos encriptados
En el mundo actual, se supone que gran parte de la comunicación relevante está cifrada. Una vez completados los certificados iniciales y los intercambios de claves, los flujos siguientes están completamente cifrados. Sin embargo, a pesar del uso del cifrado y de los mejores esfuerzos de los desarrolladores, todavía se puede proporcionar cierta información crítica a las fuerzas de seguridad. El motor ideal de la plataforma de interceptación aprovecha la información aún disponible para enriquecer la inteligencia extraída de los flujos cifrados. También es capaz de detectar y enriquecer los registros derivados de los flujos cifrados, creando registros de alta definición. La extracción enriquecida da lugar a nuevos conocimientos sobre las actividades de un usuario, sus canales de comunicación y sus pautas de vida.
Identificación del servicio
Por tanto, incluso a pesar del uso del cifrado en muchas aplicaciones OTT, se puede aprender mucho de los flujos de paquetes. Combinando ese conocimiento con la heurística del propio flujo, es posible identificar el tipo de información utilizada por la aplicación. Por ejemplo, las siguientes son comunicaciones cifradas identificables:
- Tweets/emails/mensajes directos a través de Apple iMessage, Skype, Twitter, WhatsApp, Signal, WeChat, QQ Chat, SnapChat, Viber, Line, Telegram, Gmail y Facebook.
- Subidas a Pinterest, YouTube, Instagram y Flickr
- Transferencias de archivos (hacia arriba o hacia abajo) mediante Dropbox, iDrive, GoogleDrive, OneDrive
- Publicaciones/comentarios en LinkedIn, Pinterest, Instagram y Reddit
- Una llamada utilizando Apple Facetime, Google Voice, Skype y WhatsApp con diferenciación entre una llamada de voz y una videollamada.
Así pues, aunque la comunicación haya cambiado de tradicional a OTT y cifrada, las últimas plataformas de interceptación pueden seguir proporcionando a las fuerzas de seguridad información sucinta y vital para las investigaciones criminales. Aprovechar las metodologías de ingeniería que permiten a la tecnología "aprender" y "tomar conciencia" ofrece una imagen más completa de cómo un usuario pasa de una aplicación a otra y de lo que hace dentro de esa aplicación.
Acerca del Dr. Keith Bhatia
Como consejero delegado de SS8, Keith combina sus amplios conocimientos técnicos y de mercado para hacer avanzar el futuro de la inteligencia legal. Durante su mandato, ha posicionado a SS8 como líder en un mundo conectado por 5G y moldeado por la creciente digitalización y automatización. A Keith le apasiona mostrar cómo la tecnología puede tener un impacto positivo en nuestro mundo.
Acerca de SS8 Networks
SS8 proporciona plataformas de inteligencia legal. Trabajan en estrecha colaboración con los principales organismos de inteligencia, proveedores de comunicaciones, fuerzas y cuerpos de seguridad y organismos de normalización, y su tecnología incorpora las metodologías comentadas en este blog. Xcipio® ya ha demostrado su capacidad para satisfacer las elevadísimas exigencias de la 5G y ofrece la posibilidad de transcodificar (convertir) entre versiones de traspaso de interceptación legal y familias estándar. Intellego® X T admite de forma nativa traspasos ETSI, 3GPP y CALEA, así como variantes nacionales. El componente MetaHub de Intellego XT es la mejor herramienta de análisis de datos de su clase. Ambas carteras de productos se utilizan en todo el mundo para la captura, el análisis y la entrega de datos con fines de investigación criminal.
