Saltar al contenido

Estudio de Caso

En casi todos los casos de intervención o apoyo, los profesionales trabajarán directamente con las personas afectadas por un ataque o intento de ataque. Esta puede ser una experiencia estresante que puede causar ansiedad a los afectados, por lo que cada profesional debe saber cómo mitigar esas presiones.

Objetivos

Después de completar este módulo, los profesionales podrán dar apoyo a aquellos que pueden haber recibido o hecho clic en enlaces o correos electrónicos maliciosos.

Los profesionales también deberán ser capaces de:

  • Explicar el alcance del trabajo a realizar y qué información recopilarían.
  • Ofrecer garantías al cliente sobre su seguridad y la de sus datos.
  • Elaborar un acuerdo de confidencialidad simple con un cliente, si es necesario.
  • Hablar sobre la necesidad de realizar un triaje para ayudar a identificar cuándo es necesario profundizar en la investigación y la detección.

Sección Principal

Conocimiento Básico

Security Education Companion ofrece una gran variedad de consejos sobre cómo interactuar como asesor tecnológico de manera ponderada y cuidadosa, con el objetivo de reducir los riesgos Si aún no está familiarizado con este tipo de contenido, le recomendamos que revise el recurso Security Education 101.

Después de leer los recursos anteriores, usted debería poder:

  • Comprender cómo la evaluación de riesgos es importante en cada interacción.
  • Comprender los riesgos de tener contacto con los dispositivos de las personas a las que asiste o tener acceso a sus cuentas.
  • Comprender los riesgos de infundir miedo.
  • Comprender sus propias limitaciones, tanto en términos de capacidad técnica como de su competencia para ofrecer apoyo a una persona o comunidad y los riesgos inherentes al mismo.
  • Evitar influenciar a aquellos a quienes asiste con sus propias preferencias de plataformas, tecnología, código abierto versus código cerrado, etc.

📋Conocimiento específico de la ruta

Una vez que esté familiarizado con los conocimientos básicos anteriores, piense en las habilidades interpersonales específicas que podrían ser necesarias para esta ruta de aprendizaje. Cada ruta y la intervención que requieren son ligeramente diferentes; cada una puede contener diferentes narrativas o plantear a quienes las estudian distintas preocupaciones.

En este módulo, usted debería ser capaz de:

  • Recordar que quienes crean malware no sólo pretenden obtener datos sino también hacer creer a las personas que están siendo vigilados permanentemente. Los ataques de malware dirigidos a la sociedad civil a menudo tienen como propósito no solo recopilar datos sino también intimidar.
  • Reconocer que muchas personas que son blanco de ataques guardan datos confidenciales en sus dispositivos tanto personales como profesionales. La detección e investigación de malware será un proceso estresante para ellos porque, en ambos casos, les preocupará qué información sobre ellos podría haberse filtrado. Otra cosa que podría hacerles sentir aún más vulnerables es que deberán entregar el control de los dispositivos a los protectores digitales que los asisten. Como asesor tecnológico, usted debe estar preparado para informar en detalle sus prácticas de manejo de datos, incluidas las maneras en las que encripta la unidad en la que está realizando la detección y cómo planea manejar y eliminar sus datos una vez que se complete el proceso.
  • Entender que muchas personas que trabajan en organizaciones de la sociedad civil son conscientes de los riesgos que enfrentan a nivel personal. Además se preocupan por sus familiares, amigos y fuentes de información cuyos datos podrían haberse filtrado o que también podrían convertirse en blanco de ataques.
  • Hablar con las personas sobre los riesgos del proceso de detección de malware (podrían perder el acceso a sus dispositivos, los atacantes podrían descubrir que han sido detectados o el proceso podría no arrojar ningún resultado satisfactorio).
  • Comprender que el conocimiento técnico, los niveles de habilidad y los recursos varían ampliamente de una persona a otra. A un grupo de la sociedad civil podría resultarle fácil bloquear dispositivos y reducir las posibilidades de infecciones de malware, mientras que otros podrían tener dificultades incluso para encontrar dispositivos que aún reciban actualizaciones de software.
  • Prepararse para explicar cómo el mismo método de análisis a veces puede producir muchos datos y otras muy pocos; ser capaz de gestionar las expectativas de las personas u organizaciones a las que asiste.
  • Entender que a algunos grupos de la sociedad civil les gustaría firmar un acuerdo de confidencialidad o algo parecido antes de compartir sus datos o dispositivos.

Tenga en cuenta que los otros módulos de esta ruta de aprendizaje también contienen consejos sobre el desarrollo de habilidades interpersonales que son necesarias para proporcionar un apoyo ponderado y que reduzca los daños a la seguridad.

Entender: Reducción de Daños y Seguridad Operativa

Para cuando se haya compartido con usted una muestra de malware, es posible que ya haya causado daño a la persona objeto del ataque. Ademas, es posible que el malware haya capturado datos y la persona objetivo también pueda haberse visto afectada por el impacto psicosocial de haber sido víctima de un ataque o haber sido observada. Es importante ofrecer apoyo a la persona afectada y, al mismo tiempo, evitar causarle más daño durante la interacción activa con el contenido malicioso.

La reducción de daños para la persona víctima de un ataque debe comenzar con la recopilación de información sobre las acciones que tomó y las circunstancias en las que interactuó con sus dispositivos. Usted puede hacerle diferentes preguntas a personas que conoce bien como sus colegas. Algunas preguntas que vale la pena hacer incluyen: ¿Cuál es su modelo de amenaza? ¿Es un bloguero anónimo? ¿Un disidente en el exilio que intenta ocultar su ubicación?

Las respuestas a estas preguntas le ayudarán a proporcionar un apoyo útil a la víctima para reducir los daños y además le ayudarán en sus investigaciones. A medida que avance en el análisis y la comprensión del contenido malicioso, actualice a la persona objetivo, especialmente en lo que respecta a la mitigación de los daños.

Para garantizar la seguridad operativa y protegerse mientras trabaja con correos electrónicos maliciosos, complete el módulo 3 (Manejo Seguro de Enlaces e Infraestructura) de la ruta de aprendizaje sobre la detección, seguimiento e investigación de la infraestructura maliciosa.

Entender: Detección, Hallazgos Negativos y Paranoia

El spyware es un ataque extremadamente invasivo contra individuos, familias, comunidades y movimientos. Tenga en cuenta que la información y el análisis, ya sea positivo o negativo, que proporcione a un cliente puede ser sumamente significativo; en todo momento deberá informar a su cliente sobre las decisiones que toma que podrían implicar riesgos para sus dispositivos. Como tal, es importante tener claro el verdadero alcance y significado de cualquier trabajo de detección y determinación de riesgos usted proporcione.

Fuera de entornos de dispositivos altamente controlados y monitoreados, las plataformas modernas de OS siguen siendo difíciles de evaluar completamente en busca de vulneraciones e infecciones, especialmente en el caso de ataques sofisticados zero-day que podrían ser utilizados. Por lo tanto, nunca podrá hacer una determinación definitiva del 100% sobre la ausencia de malware en un dispositivo. Solo podría afirmar que, utilizando la técnica que ha implementado y con las habilidades que posee, no le fue posible encontrar malware. Esto no significa que no exista , sino que las pruebas utilizadas no lograron identificar su presencia.

Al mismo tiempo, sabemos que la paranoia es un fenómeno común en el que la sensación de sentirse vigilado (justificada o no) es una experiencia mental negativa persistente para activistas, periodistas, líderes sociales u otros clientes con los que pueda estar trabajando. Es necesario lograr un equilibrio entre proporcionar pruebas técnicas útiles para actualizar las hipótesis y probabilidades de que el sujeto esté siendo vigilado, sin dar una sensación de falsa confianza ni un temor infundado.

Hacer un triaje de la situación, así como del dispositivo

El triaje o la clasificación es un paso necesario para recopilar información que le ayudará a decidir cuándo se debe invertir tiempo adicional en realizar una investigación más amplia. Si bien el triaje eficaz se basa en conocimientos técnicos y en el instinto, también requiere de habilidades interpersonales para saber cómo involucrar al cliente en el proceso y hacerlo con empatía, tomando en serio sus inquietudes, escuchándolo activamente y comprendiendo la situación en la que se encuentra.

Durante las conversaciones iniciales, trate de determinar lo siguiente:

  • ¿Existe una razón particular por la que el cliente quiere que se revise su dispositivo, o es un miedo general, curiosidad, suposición o un acto de prudencia?

  • Como asesor tecnológico, las razones y las explicaciones específicas le ayudarán a enfocar su búsqueda, por ejemplo:

    • Cambio en el rendimiento del dispositivo.
    • Un incidente físico, en el que alguien más manipule el dispositivo o que este sea confiscado y devuelto por las autoridades.
    • Un incidente digital, como un software o una aplicación que se está instalando, o se hace clic en un enlace sospechoso.
    • Una advertencia, indicador o alerta de seguridad.

Hay muchas explicaciones alternativas para el rendimiento deficiente del dispositivo, como hardware antiguo o defectuoso, errores de software, falta de actualizaciones y configuraciones no deseadas. Por supuesto, la infección y el vulneración por parte del malware también pueden co-existir junto con estas explicaciones. Así que configuraciones incorrectas, software desactualizado o bajos recursos del dispositivo no son razones suficientes como para rechazar la hipótesis del malware.

Use una combinación de preguntas interpersonales e interacción con su cliente, así como de acceso al dispositivo (cuando sea posible y apropiado) para determinar cuándo es necesario un seguimiento detallado de la situación. Y cuando no sea posible para usted realizar investigaciones por su cuenta debido a una limitación de tiempo, recursos o habilidades, comparta con su cliente recursos que le permita tomar medidas para investigar y asegurar sus dispositivos de manera autónoma.

La configuración exacta que necesita depende de su método de análisis y del sistema operativo del malware que esté analizando. En la mayoría de los casos, puede comenzar con una máquina virtual Linux preconfigurada como REMnux. Consulte el Capítulo 6 de la Guía de Campo para Respuesta a Incidente para la Sociedad Civil y Medios para obtener instrucciones paso a paso sobre cómo realizar la configuración. Para cosas específicas (por ejemplo, análisis dinámico de malware de iOS) necesitará herramientas adicionales (por ejemplo, un iPhone o iPad con jailbreak). En ocasiones, las VM tienen vulnerabilidades que permiten que el software que se ejecuta en la VM ataque el sistema operativo anfitrión (host). La mayoría del malware ni siquiera se acerca a este nivel de sofisticación, pero en caso de duda, lo más seguro es analizarlo en un dispositivo físico separado que se borre posteriormente.

Para configurar REMnux, recomendamos que sigas los pasos descritos en el Capítulo 6 de la Guía de Campo para Respuesta a Incidentes para la Sociedad Civil y Medios y descargues la VM1. Esta es una manera fácil de comenzar porque proporciona un excelente aislamiento entre su sistema anfitrión (host) y el entorno REMnux. Tenga cuidado de no compartir datos confidenciales de su sistema operativo host en la VM. Según las instrucciones presentadas anteriormente, tome un imagen instántanea (snapshot) de su VM una vez que esté configurada y antes de comenzar a trabajar con cualquier malware. Puede utilizar estas imágenes para volver a la máquina virtual que conoce antes de analizar diferentes piezas de malware y aislar diferentes clientes entre sí. Para obtener más información sobre VM snapshots en general, revise este artículo.

Mientras realiza un análisis de malware, es posible que desee utilizar herramientas adicionales en su VM de análisis. Adelante, instálelos y configúrelos, pero tenga presente lo que ha hecho. Después de que haya terminado su análisis, puede subir su snapshot “limpio”, instalar y configurar la herramienta, y luego crear una nueva instantánea “limpia” para su próxima aventura de análisis de malware.

Para mover archivos de malware, la práctica estándar es colocarlos en archivos ZIP cifrados. En este caso, la calidad del cifrado no importa. El objetivo no es tanto mantener en secreto el malware, sino más bien evitar liberarlo involuntariamente en otros sistemas y prevenir que los sistemas antimalware lo detecten o lo eliminen. Tomate la libertad de incluir la contraseña en el nombre del archivo ZIP.

Vídeos de becarios de Infuse

Dos de nuestros becarios de Infuse, LF y Nanbaan, produjeron vídeos que demuestran cómo los protectores digitales pueden ayudar a las demás personas de forma profesional y empática. ¡Recomendamos que los vean!

  • Vídeo de Nanbaan (audio en inglés, subtítulos en inglés, posiblemente traducción automática)
  • Vídeo de LF (audio en español, subtítulos y diapositivas en español, posiblemente traducción automática)
  • Vídeo de LF (audio en español, subtítulos y diapositivas en inglés, posiblemente traducción automática)

Práctica

Reflexione y comparta las siguientes consideraciones con sus compañeros, colegas, amigos/as o un mentor/a. Si está disponible y es apropiado, hable con un cliente con el que hayas trabajado anteriormente para pedirle que comparta su opinión y sus experiencias sobre algunas de estas cuestiones:

  • Describir cómo el hacer contacto y obtener acceso al dispositivo de alguien puede suponer riesgos inesperados.
  • Imaginar que está ayudando a alguien con datos sensibles en su dispositivo. ¿Cómo abordaría una conversación con esta persona sobre su acceso y manejo de datos?
  • ¿Por qué es imposible decir que un dispositivo está libre de malware?
  • ¿Cómo afecta la comprensión del perfil de amenazas específico de una persona en sus esfuerzos de reducción de daños, por ejemplo, si es un bloguero anónimo o un disidente en el exilio?
  • ¿Cómo conduce usted la entrega de pruebas técnicas factuales según su capacidad, al mismo tiempo que equilibra la necesidad de no promover un falso sentido de confianza y ni tampocode paranoia?
  • Describir sus propias habilidades y limitaciones al realizar trabajos de detección de malware. Después de hacer un primer intento de esta descripción, intente agregar más matices y precisión a la misma.
    • ¿Cuáles podrían ser los riesgos si procede sin reconocer sus limitaciones?
  • Represente un escenario en el que informa a un cliente sobre el hallazgo de malware activo en uno de sus dispositivos.

Verificación de habilidades

Con un Mentor/a o Colega

  • Explíquele a su mentor/a, colega o grupo de colegas sus respuestas a las preguntas de la práctica anterior.

  • Represente algunas de las interacciones descritas en las preguntas de la práctica anterior.

    • Discusión inicial con un cliente.
    • Compartir detalles de su modelo de amenaza.
    • Describa un hallazgo negativo (no malware) e incluya una explicación de las limitaciones de la evaluación.
    • Informe sobre el hallazgo de malware.

  • Si es posible, pida a alguien que observe sus interacciones reales y su proceso de respuesta ante incidentes con un cliente, y que le de retroalimentación (feedback) sobre cómo maneja los aspectos interpersonales en la interacción.

Recursos de Aprendizaje

Security Education 101

Gratis

Un recurso comunitario popular sobre cómo enseñar y hablar sobre seguridad digital

Idiomas: Inglés
Visitar el sitio

Notas

  1. REMnux no está disponible en procesadores ARM, como las computadoras Apple Silicon. Aunque es posible virtualizar entre arquitecturas de CPU usando emuladores como QEMU o UTM (VirtualBox no admite actualmente arquitecturas ARM), el rendimiento será lento y no se recomienda. Sería más sensato seleccionar otra distribución de Linux que sea compatible con su hardware e instalar los paquetes de software necesarios para completar las actividades, si no vienen ya con el sistema operativo. Kali Linux es una distribución de Linux popular que incluye o admite muchas herramientas también encontradas en REMnux. Si tiene un dispositivo Apple Silicon, puede usar UTM para ejecutar la imagen del instalador de Kali para Apple Silicon (ARM64). Guías paso a paso están disponibles tanto de UTM como de Kali. En el momento de escribir este texto, un error que afecta el proceso de instalación requiere un paso adicional durante la instalación que consiste en adjuntar una pantalla de terminal serial virtual: ambas guías describen este proceso. También puede obtener una versión ARM de Kali para el Raspberry Pi, con la mayoría de los modelos de Raspberry Pi compatibles. ↩︎