El lunes de la semana pasada, el periodista Juan Gómez, con el que hecho alguna cosa en el pasado, me pidió una pequeña entrevista de unos 15 minutos para hablar un poco sobre la Deep Web en un podcast de Radio Televisión Española en el que colabora junto con María Paredes, llamado "Terror en Blanco".
Querían hablar conmigo sobre este tema en su programa de divulgación, así que me llamaron, y estuve unos minutos respondiéndole a esas preguntas de la misma forma que lo haría con cualquier persona que me pregunte en la calle. Sin guión ni preparación previa, así que quedó muy casual.
El programa lo publicaron este jueves, y lo tienes ya disponible para escuchar en todas las plataformas habituales, e incluso en la web que el Podcast Terror en Blanco tiene en RTVE, donde tienes todos los programas.
Hoy sábado, os he cortado la parte de la entrevista y la he subido a mi canal Youtube, para conservar la participación en este programa dentro de mi canal, que ya sabéis que intento conservar todo lo que voy haciendo en él.
Y nada más por hoy, que tengáis un feliz 15 de Febrero, que hagáis deporte, y que disfrutéis al máximo del descanso físico y mental. Y de leer cómics si puedes }:)
En este artículo me gustaría contaros una pequeña PoC que hicimos en el equipo de Ideas Locas que teníamos guardada para algún evento de Web3, pero que como tengo ganas de contárosla, he decidido hacerlo desde hoy. No es un estudio completo, ni mucho menos, porque el escenario es enorme, pero se basa en un idea muy sencilla, que es hacer Serverless & Bullet-Proof WebSites, capaces de soportar el intento de bloqueo o censura de cualquier entidad.
Figura 1: Serverless & Bullet-Proof Web Sites (1 de 2)
Esto no es algo nuevo, y la Serverless Web lleva tiempo estudiándose, y trabajándose con diferentes arquitecturas, todas ellas totalmente distribuidas.
Dust-RSS
Uno de esos ejemplos fue un proyecto personal del equipo de Ideas Locas, en aquel entonces en Informática 64, en aquel entonces del año 2010, y que presentamos en la RootedCON de 2011 y se llamó Dust-RSS.
La idea era muy sencilla, evitar la censura de los servidores RSS de los blogs para permitir que cualquiera que tuviera algo que comunicar lo pudiera hacer siempre, y para eso diseñamos una arquitectura muy sencilla, basado en claves PGP y una red P2P para hacer la distribución. Esto hacía que no hubiera un único punto de fallo en el servidor web, ni en el DNS, y que con tener la clave pública PGP del publicador se pudiera buscar por redes P2P las publicaciones.
De esta forma, el publicador lo único que debía conservar era su clave PGP privada para poder poner en la red P2P una nueva publicación. La arquitectura funcionaba, pero se quedó en una PoC que presentamos en DefCON 2012, y que se quedó como un bonito experimento.
OSIRIS SPS
Uno de las arquitecturas que buscaba solucionar estos problemas de censura de servidores Web se trataba de OSIRIS SPS (Serverless Portal System) y su Gateway ISIS, para poder publicar servidores Web que no dependieran de un único punto de fallo. Para ello, la solución era similar a tener a páginas web cacheadas y compartidas por una red P2P.
Figura 4: Foro de Anime publicado en Osiris SPS visible vía Isis Gateway
Las páginas web de los portales que se ven a través de esas URLs realmente no están en ningún servidor web concreto, sino distribuidos por toda la red P2P de Osiris SPS, lo que impediría un bloqueo o censura del sistema. Es perfecto para crear foros y portales de denuncia social que no puedan ser quitados de Internet si no quieren sus usuarios.
DeepWeb: TOR, I2P, FeeNet, Hyperboria, CJDNS
Todas estas soluciones no accesibles a través de los navegadores de "superficie", son consideradas redes de la DeepWeb, no solo porque no son accesibles con las herramientas más comunes de Internet, sino porque además cuentan con herramientas y protecciones contra el control, ya sea cifrados especiales o como hemos visto, para evitar el bloqueo de sus contenidos, como en el caso de OSIRIS SPS o el sistema DUST RSS que utiliza mecanismos P2P para ello. q
Por supuesto, muchas de las funciones de seguridad que se buscan en estas redes, están en las más conocidas de la DeepWeb como son TOR, FreeNET e I2P, donde el cifrado de las comunicaciones es una de las claves en todas ellas.
Pero la búsqueda de arquitecturas distribuidas y seguras ea algo que se ha estudiado mucho, como el caso de CJDNS y su red Hyperboria con conexiones cifradas y certificadas sobre IPv6, GNUNet, Lantern, YaCy para conseguir que no puedan ser accesibles los contenidos por nadie.
Malware en BlockChain
Por supuesto, pensar en arquitecturas Serverless y Distribuidas, es hablar del core de las cadenas de bloques de BlockChain, y utilizar las capacidades que tiene para poder almacenar datos de forma permanente y protegida con la distribución por diseño que tiene esta tecnología.
Figura 7: PoC de C&C con OP_Code en cadena de BitCoin
propuesta por Yaiza Rubio y Felix Brezo en EuskalHack 2017
En la EuskalHack del 2017, Felix Brezo y Yaiza Rubio hacían una demostración de cómo se podrían almacenar comandos de un C&C de una Botnet de malware en el campo OP_CODE la cadena de bloques de BitCoin.
Esto, al precio que está hoy el BitCoin parece un poco caro, pero esta idea de usar la cadena de OP_CODE para hacer servicios no es nueva, y algunos proyectos lo han utilizado en el pasado, aunque co la proliferación de cadenas de bloques a precios mucho más más económicos, hace que ya no sea necesario centrarse en ese campo.
Y como muestra de esto lo hemos tenido con el caso del malware de Etherhiding, donde el binario del malware se han escondido dentro de la cadena de Binance Smart Chain, y ha utilizado SmartContracts para actualizarse.
Redes Sociales Descentralizadas
Por supuesto, la explosión de las cadenas de Blockchain, y otras arquitecturas distribuidas, hayan ido apareciendo en todos los verticales tecnológicos nuevos servicios que pretenden ser más resistentes contra los ataques a servicios descentralizados, como son las Redes Sociales.
Ahí, propuestas como Mastodom, Diaspora, Matrix, Block Square, que son sólo una pequeña muestra, han ido apareciendo por todos los rincones de Internet, y se han convertido en parte de la transformación y disrupción que se está viviendo en este mundo de las redes sociales.
Pero la descentralización de todos los servicios digitales que se están construyendo hoy en día. Algunos que se han hecho piezas fundamentales en las arquitecturas Web3, como el almacenamiento IPFS (Inter Planetary File System) del que ya hablamos.
Y esto nos lleva a nuestra PoC, que es cómo aplicar todas las arquitecturas al servicio fundamental de la web, y que como veremos es rápido y sencillo, pero será en la segunda parte de este artículo.
Figura 1: El 1 de Marzo comienza el Máster en Ciberinteligencia
en el Campus Internacional de Ciberseguridad
Esta es la 7ª Edición de este máster, que tiene un año de duración, se hace un barrido completo por las principales disciplinas de la ciberinteligencia, con un fuerte trabajo en OSINT, SOCMINT y trabajo en la Deep Web, hasta cubrir un total de 10 Módulos, siendo el último el Proyecto Final de Máster. Estos son los módulos:
Además, todos los alumnos reciben Tempos de MyPublicInbox, y libros de 0xWord para completar su formación, que en este caso son los libros de Deep Web y Técnicas OSINT, que sirven para completar la formación de este máster que vas a realizar durante todo un año.
Lo más importante es que, todos los profesores que tienes en este Máster en Ciberinteligencia son profesionales de este campo laboral, así que vas a tener información y conocimiento de primera mano. Así que, si te haces este Máster en Ciberinteligencia es porque vas a tomarte en serio lo de trabajar en esta profesión. Si quieres hacerlo, pide más información en la web del mismo, que las plazas que quedan son muy pocas.
La Impresión 3D ofrece infinidad de posibilidades a la hora de diseñar y crear piezas de todo tipo y para toda clase de aplicaciones, con la llegada de nuevos materiales mas técnicos cada vez es más sencillo crear piezas cada vez mas funcionales y no solo prototipos. En el mundo Maker, nosotros hemos escrito mucho sobre cómo mezclar la Impresión 3D junto con proyectos de Raspberry Pi, Arduino, Micro:Bit o Drones, para hacer proyectos fantásticos. E incluso hay una ONG llamada Ayúdame 3D que se dedica a crear prótesis a personas utilizando 3DPrinting. Pero también tiene usos malos, como puede ser la fabricación de armas de fuego caseras.
Figura 1: Armas de fuego hechas con Impresión 3D: Riesgos y Peligros
Hace apenas unos días pudimos ver en los informativos un caso en el que la policía había desarticulado un taller clandestino ubicado en Tenerife que se dedicaba a la fabricación y tráfico de armas impresas en 3D. Este descubrimiento fue posible gracias a la detención de un simpatizante del movimiento supremacía blanca al que habían descubierto comprando componentes químicos para la fabricación de artefactos explosivos.
Durante la redada en el establecimiento donde el sujeto fabricaba las armas la policía encontró al menos 19 cuerpos de arma corta, varios cargadores y correderas sin número de serie además de algunos accesorios como silenciadores o visores holográficos. En el “taller de armas” también se encontraron varios manuales de guerrilla urbana y fabricación casera de explosivos. Por el momento no se sabe si este sujeto llegó a comercializar alguna de las armas fabricadas.
Figura 3: Cuerpo de pistola glock siendo impreso en una impresora Prusa
Este caso en particular se dio en el mes de septiembre, pero debido a la preocupación de las autoridades se ha mantenido en secreto hasta hace un par de semanas. La Policía Española no dudó en alertar de esta nueva amenaza a otras policías europeas y organismos internacionales como la Interpol o Europol con el fin de coordinar un grupo dedicado a la investigación de este tipo de organizaciones. Durante el próximo otoño España acogerá un congreso europeo sobre la fabricación de armas impresas en 3D para debatir cual es el riesgo real de este tipo de artefactos, como regular su fabricación y cuáles son los mejores métodos para combatir con esta amenaza.
Durante el congreso se harán una serie de demostraciones y pruebas, como la de la impresión de un arma, y la realización de pruebas con la misma en el campo de tiro de la Policía de Canillas. Es importante tener en cuenta que a pesar de que algunos de los diseños que se pueden encontrar en la red sean bastante seguros una mala configuración a la hora de imprimirlo puede suponer un gran riesgo para la integridad estructural del arma pudiendo llegar a herir gravemente a la persona que la utiliza.
Figura 4: Policía desmantela taller clandestino de armas.
Esta no ha sido la primera vez que se ha dado un caso parecido en Europa, hace 3 años un ataque con armas impresas en 3D dejó dos víctimas mortales en una sinagoga de Halle en Alemania. El autor del tiroteo había adquirido una impresora 3D unos meses antes de cometer el atentado y llegó a ensamblar hasta 5 armas completas. Por suerte para el resto de personas que se encontraban en la sinagoga las armas impresas por el sujeto no eran del todo fiables y se encasquillaron en varias ocasiones haciendo que no hubiese más víctimas mortales.
El diseño e impresión de armas con impresoras 3D es una práctica mas habitual de lo que creemos, sobre todo en Estados Unidos, donde hace aproximadamente una década se vio por primera vez la “Liberator”, una pistola capaz de disparar seis veces seguidas y cuyo diseño fue retirado de Internet por las agencias de inteligencia estadounidense en cuanto se supo de su existencia, pero que se puede encontrar en muchos rincones de la DeepWeb.
La Liberator solo necesita una pieza metálica, el percutor, y es totalmente adaptable para utilizarse con munición de distintos calibres. Durante esta década la Impresión 3D ha avanzado a pasos agigantados y ha hecho que hoy en día prácticamente cualquiera pueda acceder a una impresora 3D por menos de 200 € haciendo más fácil que cualquier ciudadano u organización criminal pueda fabricar sus propias armas desde casa.
Otro de los problemas para la policía es detectar este tipo de talleres clandestinos ya que al contrario que los laboratorios o plantaciones de droga el consumo energético de una granja de impresoras 3D no es muy elevado y los materiales necesarios para fabricar este tipo de armamento se puede obtener legalmente y sin llamar la atención.
Figura 6: Pistola Liberator impresa en 3D completamente irrastreable.
En Estados Unidos ya existen leyes que regulan la producción y distribución de este tipo de artefactos, de hecho, allí es totalmente legal que cualquier ciudadano pueda fabricarse un arma en casa, con lo que todos los controles que se realizan en las armerías dejan de ser eficaces, en la única situación en la que se requeriría una licencia especial sería si queremos realizar producción en serie.
Cody Wilson, el creador de la Liberator, que en 2012 fue designado como una de las 15 personas más peligrosas del mundo por la revista Wired, también es el fundador de Defense Distributed, una organización que se dedica al desarrollo y publicación de diseños de armas de fuego de manera gratuita con el fin de que puedan replicarse utilizando impresoras 3D. En 2013 tras hacer público el diseño de la Liberator, Cody aseguró en una entrevista que a pesar de que Estados Unidos sea uno de los países con una legislación muy permisiva para las armas, España había sido el país en el que más veces se había descargado su archivo.
Figura 7: Defcad, el mayor repositorio del mundo dedicado a la impresión de armas 3d.
Antes de fundar su empresa, Cody era un estudiante de segundo curso de derecho en la Universidad de Texas, y a través de Crowdfounding,Wilson logró recaudar más de 20.000 USD con los que pretendía alquilar una impresora 3D de la empresa Stratasys. Tras conocer las intenciones de Defense Distributred Stratasys rescindió el contrato por considerar la fabricación de armas de fuego un acto ilícito. Esto no freno a Cody, que no dudó en acudir a la ATF para informarse acerca de la legislación y regulaciones existentes relacionadas con la fabricación casera de armas. Antes de poner en marcha su proyecto se aseguró de conseguir una Licencia Federal de Armas de Fuego que le permitiese diseñar, fabricar y distribuir sus propios componentes.
Figura 8: Ghost Gunner y algunos de los Starter Packs ofrecidos por DD.
Durante los últimos años Defense Distributed ha diseñado y compartido numerosos archivos para la fabricación de armas de todo tipo, desde pistolas hasta el mecanismo mas resistente impreso en 3D para AR-15 o cargadores para armas como el AR-15 y el AK-47. De hecho, también ha desarrollado su propia máquina CNC y un software propio (Ghost Gunner) con el que optimizar la fabricación de piezas de armamento caseras. En su página web también vende algunas de sus piezas (en formato físico) o kits para principiantes. La empresa de Cody también es la responsable de Defcad, el mayor repositorio del mundo de armas y partes impresas en 3D.
En 2018 un juez de Washington prohibió a Defense Distributed la publicación de sus planos alegando que podían provocar “daños irreparables”. Tras estudiarse de nuevo la legislación acerca de la fabricación y distribución de armas caseras, Cody Wilson ha reabierto su sitio web para que todos aquellos ciudadanos estadounidenses que quieran tengan acceso a estos archivos. La estrategia utilizada para reactivar el sitio web ha sido muy sencilla ya que la justicia ordenó cerrar el sitio web por “distribuir planos de armas de fuego gratuitamente” por lo tanto la orden solo prohíbe la distribución gratuita de los planos, pero no la comercialización de los mismos.
Figura 9: Algunos de los últimos modelos de piezas y armas añadidos tras la vuelta de Defcad.
Con este movimiento, Defense Distributed ha reactivado su página web y ofrece una suscripción anual por 50 USD (únicamente para los residentes en EEUU) con la que se da acceso a lo que su fundador ha denominado “El Netflix de las armas”, donde hay videos, tutoriales e instrucciones para construir cualquier tipo de arma, desde pistolas hasta fusiles automáticos o escopetas, todos ellos sin numero de serie y capaces de pasar por los arcos de seguridad de un aeropuerto sin hacer saltar la alarma. Con esta jugada DD también ha conseguido una gran notoriedad e impulso mediático que llevó a la empresa a recaudar casi 250.000 USD en donaciones solo en la primera semana desde la reapertura del sitio web.
A pesar de que Defcad siga activo, algunos legisladores estadounidenses todavía no se dan por vencido y ahora se acogen a la Ley de Armas de Fuego Indetectables que prohíbe expresamente la fabricación, posesión y venta de armas que no activen detectores de metales. A pesar de que con esta ley se busque frenar la impresión de armas en 3D no existe ninguna otra ley que regule el diseño o la distribución de los planos de las mismas, por lo tanto, a falta de una prohibición directa o una ley que establezca que tipo de contenidos pueden publicarse en la red Defcad no tendrá ninguna traba para continuar ofreciendo su nuevo programa de suscripciones anuales.
Saludos,
Autor: Sergio Sancho, Security Researcher en Ideas Locas.
Figura 1: (DFaaS) DeepFakes as a Service en la DeepWeb:
DeepFakes como Ciberataque y cómo detectar estos APT
En esta noticia se menciona que distintas figuras de las altas esferas del parlamento europeo, incluido Rihard Kols (encargado de asuntos externos de Letonia) o Tom Tugendhat (encargado de asuntos externos de Reino Unido) fueron conducidos hacia videollamadas falsas con miembros del gabinete de Alexei Navalny. El propio Tugendhat culpó en su Twitter al mismo gabinete de Putin de los ataques recibidos.
Figura 2: Tweet de Tom Tugendhat sobre los ataques con DeepFakes
Algunos recordaréis la estafa del CDO con DeepFakes que publicamos hace más de dos años. Mis compañeros del equipo de Ideas Locas, Enrique Blanco y Pablo González presentaron en la RootedCON 2019 como con una GAN y un Neural Text-2-Speech Microsoft, éramos capaces de suplantar a Chema Alonso en un vídeo, diciendo que nos hiciera una transferencia. Y aunque esa transferencia nunca llegó, sirvió para mostrar al mundo de la ciberseguridad que lo que sí que iba a llegar, era el Lobo.
Voy a refrescar un par de cosas de los DeepFakes, y a mostrar algunos avances, para que veáis que esto sigue y seguirá siendo un problema. Pero primero, hablemos de datos. Distintas organizaciones de investigación han querido abordar el problema, primero creando datasets que se puedan tratar y comparar resultados, como los Databases Imagenet o YOLO para tareas como Image Classification o Object Detection. Los datasets de imágenes falsas más conocidos son FaceForensics++, DFD, DFDC y Celeb-DF. Estos intentan proporcionar una gran cantidad de DeepFakes generados con distintos métodos para una representación completa de los DeepFakes in the wild. Os dejo por aquí una comparativa de los distintos datasets más utilizados:
Figura 4: Comparación Datasets de DeepFakes
Por ejemplo, DFDC (Facebook) cogió 4326 sujetos para generar 25TB de raw data, y utilizaron software off-the-shelf como DeepFaceLab con distintos modelos de GANs y Autoencoders. Para que veáis lo sencillo que es generar un DeepFake realista, aquí tenéis un vídeo tutorial para utilizar el software anterior, sin ánimo de que lo utilicéis para fines criminales.
Para la detección de estos vídeos se suelen considerar dos formas analizando los distintos frames y audio de un video: análisis forense de las imágenes y extracción de datos biológicos a partir de imágenes.
En Ideas Locas desarrollamos un plug-in de Chrome para que un usuario pudiera seleccionar un vídeo por Internet y ejecutar distintos algoritmos de detección de DeepFakes, basados en el análisis forense de imágenes. Este plug-in implementaba cutaro investigaciones científicas:
FaceForensics++: Que nos permitirá comprobar DeepFakes en base a un modelo entrenado sobre su propia base de datos, y aumentarla a medida que vayamos procesando nuevos vídeos.
Exposing DeepFake Videos by Detecting Face Warping Artifacts: Dado que los algoritmos de DeepFakes actuales solo pueden generar imágenes de resoluciones limitadas, dejan artefactos distintivos en los vídeos DeepFake. Esta herramienta es capaz de detectarlos con un modelo de CNN.
Exposing Deep Fakes Using Inconsistent Head Poses: Los DeepFakes se realizan con un swap entre una cara original y una cara sintetizada, por lo que esto introduce errores en la detección de la pose de la cabeza en 3D. Con estas incoherencias, y gracias al modelo HopeNet, se hace un estudio estadístico entre los distintos vectores calculados. Aquí podéis ver un ejemplo en el que se ve que esta animación de Chema Alonso hace "cosas raras".
Figura 7: DeepFake de movimiento de una foto.
CNN-generated images are surprisingly easy to spot...for now: Dadas las características especiales de las imágenes creadas por 11 modelos distintos de generadores basados en CNNs, un clasificador de imágenes estándar puede generalizar bien a otras arquitecturas. De esta manera se confirmó que las imágenes actuales generadas por CNN comparten defectos sistemáticos, evitando que logren una síntesis realista.
Como se puede ver en el funcionamiento, el plugin buscaba vídeos en la página actual y, después de consultar si este vídeo ya se encontraba en nuestra base de datos, se realizaba el análisis con los cuatro módulos descritos anteriormente. Aunque esta herramienta se basaba en la detección de imágenes falsas por Internet, sería interesante que los distintos servicios de videollamada lo implementaran también como servicio de ciberseguridad. La arquitectura de los distintos módulos era la siguiente:
Figura 8: Arquitectura API DeepFakes Detection de Ideas Locas
En el caso de Tugendhat, por ejemplo, y utilizando la librería cv2, se procesaría el stream del vídeo y se comprobaría si ese vídeo puede ser fake en el momento en que empieza la transmisión, como si de un factor de autenticación se tratara. También se podrían utilizar herramientas como el face-recognition de pypi, para comprobar inconsistencias en el reconocimiento facial de las personas que aparecen en el vídeo, común en DeepFakes a tiempo real. De las técnicas para detectar vídeos fake basadas en datos biológicos, mis compañeros os hablaron ya, por ejemplo, de la detección de DeepFakes basados en el parpadeo de los vídeos.
Pero en este artículo me voy a centrar en el análisis de las pulsaciones de los individuos que aparecen en el vídeo. Exactamente, monitorizando las constantes vitales del investigado como si se tratara de una película de James Bond. Las dos técnicas más utilizadas para la detección del palpito del corazón son la fotopletismografía en remoto (rPPG) y el balistocardiograma (BCGs). Como no quiero bombardearos con información, me centraré únicamente en la primera. La Plestimografía es una técnica del cálculo del latido del corazón de un individuo a través de los distintos cambios de presión que sufre su piel, y es muchas veces utilizada para monitorizar a un individuo en cuestión.
La Fotoplestimografía en remoto es una técnica de Computer Vision que intenta emular esa técnica utilizando un vídeo del sujeto y, por tanto, calcular los cambios de presión a partir de diferencias de intensidad de píxel en los canales RGB de éste el movimiento de la cabeza y la respiración. Esta técnica tiene muchas desventajas debido a que su precisión está altamente influenciada por parámetros externos, como la luz ambiental, la calidad de la cámara, el color de piel del individuo o la distancia entre la cámara y el sujeto.
En el siguiente vídeo me podréis ver utilizando el siguiente código en C++ que, con una sencilla compilación, permite que calcules tu Beat Rate Per Minute en tiempo real utilizando tu webcam. También podéis encontrar otras implementaciones interesantes, como Pulse, que permite la monitorización con un servicio levantado en uno de los puertos de tu ordenador y con una visualización sencilla de los datos. ¿Os imagináis un detector de mentiras con una ampliación de estos códigos?
Figura 11: Probando el código de rPPG
Aún y las posibles complicaciones en cuanto a precisión de éste tipo de algoritmos, la Universidad Politécnica de Madrid desarrolló una investigación científica con sorprendentes resultados: por encima del 98% de AUC (Area Under the Curve) en dos datasets, DFDC y Celebrity-DF. Se utilizan la consistencia temporal y la coherencia espacial como mecanismos para detectar las frecuencias cardiacas en vídeos faciales, aplicándolo así, en la detección de DeepFakes.
Figura 12: Arquitectura DeepFakesON-Phys
En la imagen anterior aparece la arquitectura del modelo utilizado en DeepFakesON-Phys, que se basa en dos modelos de redes neuronales: Motion Model para la detección de movimiento de la cabeza, y Appearance Model, para la detección de cambios en la densidad de píxel.
Reflexión final
Los DeepFakes, queramos o no, ya son un problema para la sociedad. Ya hemos visto que las técnicas de Inteligencia Artificial y Machine Learning se pueden aplicar a la ciberseguridad, y diversos grupos criminales los están utilizando para intentar desestabilizar relaciones internacionales con ciberataques. Aún y habiendo muchísimas investigaciones publicadas, y otras en curso, no hay un consenso global de que los DeepFakes puedan llegarse a detectar con un grado alto de precisión, y estos métodos de generación no paran de mejorarse con los años.
En la DeepWeb ya se empiezan a ver servicios DeepFake as a Service, por lo que dudo que las consecuencias sociológicas de esta tecnología tarden mucho en verse reflejadas. Pedir un DeepFake a un cibercriminal para chantajear a una persona cercana está al alcance de un par de clics.
Pero con los DeepFakes a tiempo real, como el caso mencionado que abría el artículo, esto ya no es una conversación filosófica, esto empieza a ser real, "Black Mirror Style". Si no nos podemos fiar de lo que vemos, ¿qué nos queda?.
Las criptodivisas están evolucionando como un medio de pago cada vez más utilizado en la red. La falta de control de éstas y su descentralización no ha pasado desapercibida para los delincuentes que han visto en ellas el vehículo perfecto para monetizar sus negocios y canalizar de una forma mucho más compleja de rastrear las operaciones realizadas.
Figura 1: Cómo rastrear la compraventa de exploits pagados con Bitcoins
Utilización de criptodivisas en la compra de exploits: 0day.today
Un mal uso del concepto también puede arrojar más pistas de las necesarias sobre la verdadera identidad de un comprador. Por poner un ejemplo, 0day.today es un sitio web orientado a la compraventa de exploits en la red. Entre los métodos de pago aceptados por la plataforma se encuentra Bitcoin, Litecoin o Dogecoin así como muchos otros métodos de pago convencionales como VISA, Perfect Money, Webmoney o Western Union.
Figura 2: Métodos de pago aceptados por 0day.today para la compra de exploits
Desde el punto de vista de un investigador, conseguir establecer una relación sólida entre una dirección de Bitcoin y un perfil de una red social o de un foro es un elemento de conexión con el mundo físico que puede ser utilizado para enganchar elementos que podrían parecer inconexos. En el transcurso de una investigación, contar con acceso a un monedero (incluso para aquellos que están cifrados y que no se podrían incautar) puede ser suficiente para relacionar a dos personas a partir de las operaciones realizadas entre sus cuentas.
Todas las transacciones realizadas traducen el dinero transferido en 1337day Gold, un token que representa 1 USD y que se puede utilizar dentro de la plataforma para comprar nuevos exploits o para contratar servicios dentro del mismo. El sitio web, que comparte el mismo diseño con otras plataformas orientadas a la filtración de bases de datos, también puede ser accedido a través de un Hidden Service de la TOR. A través de ella, sus usuarios pueden ofrecer exploits locales y remotos de forma gratuita así como ofrecerlos de forma privada a cambio de cantidades de Gold que van desde unas pocas decenas hasta varios miles y realizar el crackeo de passwords.
Figura 3: Vista principal de los exploits ofertados en el sitio web
La plataforma ofrece la posibilidad de contratar sus servicios utilizando diversas criptodivisas entre las que se encuentran Bitcoin, Litecoin o Dogecoin. El hecho de que aparezcan estas criptodivisas es de por sí natural en plataformas de un perfil más underground, pero no tanto el método utilizado por el gestor del mercado para recibir los pagos dado que facilita una única dirección de pago desde la que los centraliza.
Figura 4: Direcciones de Bitcoin y Litecoin anunciadas en 0day.today para adquirir 1337day Gold en la plataforma
La información monetaria que podemos extraer en este sentido puede parecer que no es demasiado importante teniendo en cuenta que el propio administrador expone otra información de contacto más significativa, pero el hecho de que conozcamos la dirección a la que se insta a los compradores a realizar los pagos nos permite rastrear las transacciones mínimamente.
El número de operaciones efectuadas por la dirección de Bitcoin mostrada en la imagen superan las 345, habiéndose enviado cantidades que superan los 500.000 Dólaresal cambio actual. Esta cifra permite realizar una estimación del volumen de negocio del servicio, al menos, del realizado empleando Bitcoins. Por su parte, en el caso de la dirección de Litecoin no hay constancia de ninguna transferencia en la cadena de bloques.
El negocio de los administradores pasa por el cobro de comisiones a la hora de la retirada del 1337day Gold. La comisión actual está fijada en el 10% del Gold a retirar, siendo el mínimo a retirar 2.000 unidades de la divisa (o 2.000 dólares al cambio) por lo que si consideramos como los únicos beneficios de los administradores la comisión cobrada de las retiradas en Bitcoin, estas ya ascenderían a 50.000 dólares, una cantidad todavía importante.
Las buenas prácticas de anonimización van por otro camino
En cualquier caso, entre los códigos de buenas prácticas fomentados por los propios desarrolladores de Bitcoin este tipo de prácticas está completamente desaconsejado desde el punto de vista la privacidad. En primer lugar, porque la reutilización de las direcciones es innecesaria desde el punto de vista técnico ya que la creación de nuevas direcciones es un problema trivial para cualquier cliente de Bitcoin.
Figura 7: Recomendación de crear una nueva dirección para cada pago
Imaginemos un caso en el que Alicia, que tiene 10 Bitcoins, le quiere comprar a Borja un exploit por valor de 4 Bitcoins. Si realizara el pago de 4 Bitcoins y reenviara el resto a su propia dirección, un observador tendría pistas sobre que solamente han sido 4 Bitcoins los que han cambiado de mano. En cambio, si enviara los 6 restantes a una nueva dirección (una nueva dirección de cambio bajo su control) un tercero que estuviera observando la cadena de bloques no sabría si son 6 o 4 Bitcoins los que el pagador ha abonado.
Asimismo, el hecho de facilitar una única dirección de Bitcoin para realizar los pagos tiene otra consecuencia para pagador y receptor: les obliga a ponerse de acuerdo por otra vía sobre los detalles de la transacción enviada. Es decir, quien paga deberá informar al administrador sobre qué transacción es la suya, una circunstancia que no sería necesaria si a cada operación se le facilita una dirección nueva para llevar la cuenta de las operaciones realizadas.
Entonces, ¿por qué lo hacen?
Uno de los motivos que puede estar detrás de esta práctica es precisamente usar las transacciones para avalar la seriedad del sitio ante potenciales interesados que consulten el saldo en la cadena de bloques. El hecho de poder comprobar que otros ya han efectuado pagos puede dar una (relativa) tranquilidad adicional a los compradores. En cualquier caso, la práctica no deja de ser poco recomendable. Si quieres saber más sobre los Bitcoins, puedes ver nuestra charla de la RootedCON "How I met your e-Wallet (Bitcoins)".
Figura 8: How I met your e-Wallet (Bitcoins)
Veremos si en el futuro otras criptodivisas como Monero, que pone el foco más en la privacidad del usuario que el propio Bitcoin y que parece que ha experimentado un repunte últimamente asociada a prácticas de ransomware se unen a la moda. Mientras tanto, para los investigadores esto no deja de ser un quebradero de cabeza adicional.
Desde hoy mismo ya está disponible el nuevo libro de la colección de 0XWord que tiene como objetivo explicar el funcionamiento en detalle de las principales redes de la Deep Web. El libro, que lleva por título "Deep Web: TOR, FreeNET & I2P. Privacidad y Anonimato", se centra en explicar cuál es la tecnología detrás de cada una de las redes que se estudian y cómo se pueden configurar para que los usuarios obtengan con ellas Privacidad y Anonimato.
"La privacidad es un derecho fundamental que se encuentra recogido en la declaración universal de derechos humanos, sin embargo es uno de los más vulnerados por gobiernos y entidades con altos niveles de autoritarismo y fuertes medidas de represión. La libertad de expresión en los tiempos que corren es considerada por muchas entidades como una seria amenaza para el orden público y debido a esto, últimamente se comienza a apreciar un aumento de leyes y regulaciones cuyo principal objetivo es el de controlar qué se puede y qué no se puede hacer o decir en medios como Internet. Esta situación ha dado lugar a grandes controversias y críticas sobre dichas regulaciones y debido a esto, desde hace algunos años se han ido creando y consolidando varios grupos de personas que se dedican a crear herramientas cuya finalidad es la de proteger la privacidad de sus usuarios por medio de mecanismos de anonimato fuertes.
Se trata de herramientas con una finalidad bastante clara y con un nivel tecnológico alto, lo que ha permitido el surgimiento de las "darknets" en las que es posible encontrar personas que comparten información libremente sin ningún tipo de censura, no obstante, como ocurre con cualquier herramienta, pueden ser usadas de forma legitima para ayudar a personas que sufren abusos en zonas conflictivas o por ciberdelincuentes que se dedican a realizar actividades ilegales, valiéndose de los fuertes niveles de anonimato que aportan estas soluciones. En el presente documento encontrarás el funcionamiento de las principales herramientas para proteger tu privacidad y consolidar tu anonimato en entornos como Internet."
Además de las redes TOR, FreeNET e I2P, se explican también el funcionamiento de otras redes de la Deep Web, como el caso de Hyperboria con conexiones cifradas y certificadas sobre IPv6, GNUNet, Lantern, YaCy o de OSIRIS SPS, que utiliza mecanismos P2P como el sistema DUST RSS que creamos nosotros hace tiempo, para conseguir que no puedan ser destruidos los servidores. Para que podáis ver en detalle el contenido del libro, lo he subido a mi cuenta de SlideShare.
Figura 3: Índice del libro Deep Web: TOR, FreeNEt, I2P. Privacidad y Anonimato
Los libros ya están disponibles, y desde este lunes se comenzará la distribución de los mismos de forma individual y dentro del pack de Colección Completa, que consta de 33 libros, y en breve estará disponible también en los distribuidores de latinoamérica que tenéis indicados en la web de 0xWord.
Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso 3DAIS
Chema Alonso en BSKY
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
