El cifrado generalizado de las comunicaciones por Internet sigue siendo un reto para la interceptación legal y las prácticas de inteligencia, y los investigadores necesitan herramientas y técnicas actualizadas. Al mismo tiempo, las comunicaciones y los servicios han proliferado, especialmente con plataformas de comunicación over-the-top (OTT) como Telegram, Signal, Messenger y WhatsApp. En este entorno, las fuerzas de seguridad no solo son incapaces de leer el contenido de los mensajes, sino que a menudo ni siquiera pueden clasificar el tráfico. En respuesta, se ha vuelto cada vez más crítico desarrollar y utilizar mecanismos para investigar las pruebas que quedan disponibles.
En la práctica, para extraer información de las comunicaciones cifradas es necesario pasar de las cargas útiles de los mensajes a los flujos de tráfico que los rodean. Un análisis de tráfico superior basado en la inspección profunda de paquetes (DPI) puede revelar información que ayude a superar las limitaciones que supone para las fuerzas de seguridad una Internet a oscuras. La plataforma de inteligencia legal SS8 proporciona visibilidad de los flujos de tráfico cifrado mediante el motor de extracción de protocolos mejorado(E-PXE), como qué aplicación y servicio subyacente utiliza un sujeto de interés, cuándo y durante cuánto tiempo. Partiendo de esa base, las capacidades de SS8 permiten identificar a otras partes implicadas, establecer patrones de vida y avanzar en las investigaciones, independientemente del cifrado de los mensajes.
Analizar los flujos de tráfico para obtener información sobre las comunicaciones
SS8 se basa en casi 25 años de experiencia para ampliar el potencial de DPI con el fin de revelar la máxima inteligencia de los flujos de tráfico cifrado. E-PXE investiga más allá de las cabeceras de paquetes IP convencionales utilizadas para el enrutamiento de la red y se adentra en las cabeceras anidadas del tráfico encapsulado. Al analizar esas cabeceras, la DPI permite generar metadatos que pueden analizarse para revelar características a nivel de aplicación de las comunicaciones de las sesiones de datos capturadas.
Después de que un proveedor de servicios de comunicación (CSP) responda a una orden judicial u otra autorización con datos interceptados de un sujeto de interés, E-PXE utiliza DPI mejorada para proporcionar información de paquetes individuales, así como flujos de tráfico más amplios. Además de identificar la aplicación -como WhatsApp-, la plataforma de inteligencia legal Intellego XT también puede utilizar esta información para identificar la modalidad de comunicación específica, como texto, voz o vídeo, así como los dispositivos y direcciones IP relacionados con cada flujo de datos.
Los metadatos que la plataforma SS8 captura y adjunta a los flujos de tráfico permiten establecer correspondencias basadas en análisis y firmas digitales entre los flujos de tráfico interceptados y los patrones conocidos. El alcance de las etiquetas de metadatos utilizadas varía en función del tipo de tráfico interceptado, pero capturan información específica de la sesión de comunicación individual, como en los siguientes ejemplos:
- Navegación web: URL, nombres de host
- Mensajería: ID de chat, apodos
- Correo electrónico: ID de inicio de sesión de la cuenta, direcciones de correo electrónico
- Voz y vídeo: 164 números de teléfono internacionales, datos de protocolo de inicio de sesión (SIP)
La plataforma SS8 aplica análisis heurísticos a estos metadatos para obtener conclusiones basadas en probabilidades sobre la naturaleza de las comunicaciones. Las marcas de tiempo derivadas de la información del protocolo y los métodos heurísticos pueden aplicarse a los flujos de tráfico para proporcionar líneas temporales de interacciones específicas. La superposición de esas líneas temporales con el contexto más amplio de un delito puede ayudar a establecer las pautas de vida de un sujeto y determinar si ese individuo estuvo o no implicado en acontecimientos clave. El SS8 mantiene las firmas utilizadas en estos procesos basándose en la evolución de la inteligencia, de forma similar a las firmas de los antivirus.
Identificar y perfilar temas en sus contextos en línea
La creciente prevalencia de las comunicaciones directas entre dispositivos en las aplicaciones OTT añade complejidad al proceso de desarrollo de perspectivas orientadas a protocolos. Por ejemplo, la mayoría de las llamadas de WhatsApp son iniciadas por el servicio, pero se llevan a cabo directamente de un terminal a otro utilizando el protocolo de transporte en tiempo real (RTP) y mecanismos relacionados. Aunque el flujo de comunicaciones no pasa por los servidores de WhatsApp, la información necesaria para iniciar la conexión puede identificar de forma automática y eficiente, por ejemplo, que se produce una videollamada entre dos direcciones IP concretas.
Utilizando esa información, una agencia de seguridad puede trabajar con los proveedores de aplicaciones y los operadores de redes móviles pertinentes para identificar al abonado que tenía asignada esa dirección IP en el momento pertinente. En el caso habitual de que el número de teléfono pertenezca a un teléfono desechable (de pago por uso) que no requiere registro, es posible que la agencia de seguridad no pueda asociarlo a una persona de interés. Intellego XT supera esta limitación, creando un puente hacia una identidad del mundo real basada en la integración de inteligencia de código abierto. Los flujos de trabajo formales y preestablecidos en la plataforma SS8 permiten a los investigadores encontrar heurísticamente esa identidad.
El proceso consiste en rastrear Internet para encontrar asociaciones relevantes entre el número de teléfono y otra información. La investigación puede extenderse también a la web profunda y oscura, para identificar la existencia y naturaleza de posibles actividades ilegales por parte del sujeto, así como si la información de ese individuo está incluida en una violación de datos, por ejemplo. El MetaHub de SS8 ingiere esa información y correlaciona los indicios para plantear la identidad de las partes en la llamada. Además de los detalles sobre la identidad, el contexto sobre las personas de interés y sus asociados que se encuentra a través de este proceso puede ayudar a avanzar en las investigaciones, pasando de retazos de información a una visión clara.
Acerca de David Anstiss
David Anstiss es Director de Ingeniería de Soluciones en SS8 Networks. Trabaja en SS8 desde 2015 y cuenta con una amplia experiencia en tecnología de arquitectura de redes críticas y análisis de datos avanzados. Actualmente trabaja como parte del Grupo Técnico CTO bajo el liderazgo del Dr. Cemal Dikmen y es responsable de liderar el compromiso tanto con las agencias de inteligencia como con los Proveedores de Servicios de Comunicación (CSP) de todo el mundo. Ha desempeñado un papel decisivo a la hora de ayudarles en la transición a la 5G, definiendo los requisitos del sistema para cumplir la normativa. Como miembro del ETSI, representa a SS8 para garantizar que la adopción de infraestructuras nativas de la nube se ajusta a las mejores prácticas del sector y para garantizar que se mantiene el cumplimiento de la interceptación legal. Más información sobre David en su perfil de LinkedIn.
Acerca de Rory Quann
Rory Quann es Jefe de Ventas Internacionales de SS8 Networks y aporta más de 10 años de experiencia en el sector de la interceptación legal y el análisis de datos. Antes de unirse a SS8 en 2013, Rory trabajó para BAE System Applied Intelligence, donde se centró en despliegues gubernamentales a gran escala de soluciones de inteligencia. Rory ha ocupado varios puestos en el espacio de Inteligencia Legal que van desde Ingeniero de Despliegue, Consultor de Sistemas, e Ingeniero de Ventas centrado en despliegues pasivos en todo el país. Rory es Ingeniero Certificado MCSA de Microsoft e Ingeniero Certificado de despliegue de EMC. Puede obtener más información sobre Rory en su perfil de LinkedIn haciendo clic en aquí.
Acerca de SS8 Networks
Como líder en Inteligencia Legal y de Localización, SS8 ayuda a que las sociedades sean más seguras. Nuestro compromiso es extraer, analizar y visualizar la inteligencia crítica que proporciona a los cuerpos de seguridad, agencias de inteligencia y servicios de emergencia la información en tiempo real que ayuda a salvar vidas. Nuestras soluciones de alto rendimiento, flexibles y preparadas para el futuro también permiten a los operadores de redes móviles cumplir la normativa con un mínimo de interrupciones, tiempo y costes. Las mayores agencias gubernamentales, proveedores de comunicaciones e integradores de sistemas de todo el mundo confían en SS8.
La cartera de productos de supervisión y análisis de datos Intellego® XT está optimizada para que las fuerzas de seguridad capturen, analicen y visualicen conjuntos de datos complejos para obtener inteligencia de investigación en tiempo real.
LocationWise ofrece la mayor precisión auditada de localización de redes en todo el mundo, proporcionando inteligencia de localización activa y pasiva para servicios de emergencia, fuerzas de seguridad y operadores de redes móviles.
La plataforma de mediación Xcipio® satisface las exigencias de la interceptación legal en cualquier tipo de red y ofrece la posibilidad de transcodificar (convertir) entre versiones de traspaso de interceptación legal y familias estándar.
Para más información, Contacto en info@ss8.com.
