Las circunstancias como las actuales provocan que salga lo mejor y lo peor de nosotros.
En la comparecencia del día 21/03/2020 el Presidente del Gobierno expuso que los hechos delictivos habían disminuido cerca de un 50% desde la instauración del Estado de Alarma, pero paralelamente la conectividad a Internet ha aumentado de forma exponencial, donde las grandes telecos informan de incrementos que llegan al 80% en algunos casos, dado que muchas empresas se han visto en la necesidad de implantar y estrenarse en el teletrabajo, también necesitamos rellenar el tiempo que tenemos que estar en casa en cuarentena, donde los medios de comunicación aprovechan el tirón mediático para saciar nuestra la sed de noticias dada la incertidumbre y miedo que se ha instalado en la sociedad, el uso del teléfono móvil y de aplicaciones de mensajería han aumentado hasta en un 600% en el caso de Whatsapp, vemos plataformas de contenidos y navegamos por Internet, y esta situación es conocida y aprovechada por los cibercriminales.
El Estado es consciente de esta circunstancia, y tanto el Centro Nacional de Inteligencia (CNI), mediante su brazo operativo en temas de ciberseguridad el Centro Criptológico Nacional (CCN-CERT) como el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) han focalizado los esfuerzos en las minimizar las incidencias en aspectos como el correo electrónico, videoconferencias o el acceso remoto seguro.
Con el desarrollo de las nuevas aplicaciones y páginas web sobre el coronavirus, también se ha producido un desarrollo paralelo de la actividad criminal, provocando que la criminalidad organizada, también está explotando las oportunidades que ofrece la creciente difusión de contenido relacionado con el covid-19.
Ante estas nuevas ciberamenazas se ha generado la necesidad de creación de nuevas estrategias de seguridad, dichas estrategias en ciberseguridad refuerzan la importancia del ciberespacio como escenario donde hacer frente a los nuevos retos y amenazas.
El ciberespacio está considerado como una nueva dimensión estratégica, un quinto dominio, formado por las TIC, las redes y sistemas de información, así como las infraestructuras que soportan las telecomunicaciones, provocando que ya existan fronteras, propiciando una gran globalización, con sus retos y oportunidades, tanto para instituciones nacionales, internacionales, particulares y multinacionales.
En circunstancias como las actuales la Inteligencia es una herramienta de gran utilidad, ¿pero que entendemos por Inteligencia?
La inteligencia es definida por la RAE como “Capacidad de entender o comprender”, “Capacidad de resolver problemas” y “Conocimiento, comprensión, acto de entender”, entre otras acepciones. Desde estos puntos de vista, se trata de un proceso que permite al ser humano llegar a utilizar su capacidad de razonamiento para entender aquello que le rodea y actuar de la forma más adecuada en cada momento.
Según esta interpretación, Inteligencia podríamos definirla como “Capacidad de entender, asimilar, elaborar información y utilizarla adecuadamente. Es la capacidad de procesar información, estando íntimamente ligada a otras funciones mentales como la percepción, o la capacidad de recibir la citada información, y la memoria, junto la capacidad de almacenarla”, pero resumiéndola más todavía, podemos llegar a definir la Inteligencia como Información procesada con vista a la acción.
El concepto de “ciclo de inteligencia” como tal, es una herramienta de utilidad didáctica para mostrar de manera teórica cómo se desarrolla el trabajo de inteligencia, teniendo la ventaja que hace entendible un fenómeno complejo.
La inteligencia se basa en diferentes fases, en función de la fuente que consultemos podemos hablar de 4, 5 o 6 fases, para el presente artículo utilizaremos el ciclo de inteligencia basado en 6 fases:
 |
| Ciclo de Inteligencia |
Con el presente artículo pretendemos analizar desde un punto de vista de cómo tratar la problemática de la utilización de dominios que utilizan el coronavirus como reclamo con intereses maliciosos, desde el punto de vista de cómo se atacaría desde la ciberinteligencia.
Las fases a seguir son:
- Dirección y planificación
- Recopilación o recolección de datos
- Evaluación de la información
- Transformación e Integración
- Interpretación (Análisis)
- Difusión y evaluación.
1.-Dirección y planificación
En esta fase se deben identificar las necesidades y la información que demandan los destinatarios de la inteligencia.
En el caso presente se decidió identificar y “rastrear” los dominios que pudieran estar siendo creados por ciberdelincuentes con una finalidad delictiva, ya sea para usar en phishing, en la obtención de datos personales, en la propagación de malware o la distribución de aplicaciones móviles delictivas. No solamente se cubrirán los TLDs (Top Level Domain, dominios de primer nivel) más conocidos como .com, .org o .net, sino también otros TLDs relacionados frecuentemente con actividades delictivas tales como .xyz, .site u .online entre otros.
En total se han analizado un total de 900 zonas DNS completas de distintos TLDs con el objetivo de obtener un mayor número de dominios potencialmente fraudulentos que pudieran estar relacionados con actividades de carácter delictivo aprovechando la situación actual de pandemia y la necesidad de información por parte de la población.
Durante estos días también se han detectado y denunciado diversas aplicaciones y webs que, bajo la excusa de la creación de mapas de infección y recolección de datos, nos obligaban a aceptar términos y condiciones que vulneraban nuestra privacidad.
2.-Recopilación o recolección de datos
Esta fase es la encargada de la obtención de los datos, de la información que se precisa para producir la inteligencia necesaria.
En nuestro caso se decide que lo más importante es localizar e identificar las diferentes fuentes de información relevantes y distinguir cuales se van a utilizar y valorar qué volúmenes datos podemos encontrar.
Los medios para su obtención son muy variados, y constituyen los recursos de inteligencia, utilizando diversas disciplinas de recolección de inteligencia como OSINT, en este caso concreto, a través de medios técnicos, y del análisis de la información pública o a través de datos recabados por otros servicios u organismos.
Para nuestra investigación se elige trabajar con los ficheros de zonas DNS completas de un total de 900 dominios de primer nivel, lo cual supone trabajar con alrededor de 200 millones de dominios. Por la extensión del .com (145 millones de dominios registrados) y debido a la limitación de tiempo para la realización de este informe se decide solo contemplar los dominios .com creados durante los últimos días (17 al 22 de marzo). El resto de los TLDs si se procesan completos. Para limitar el alcance, solo se tendrán en cuenta aquellos dominios que presenten los patrones COVID19, COVID-19, CORONAVIRUS y CORONAVID en el nombre del dominio de cualquiera de los TLDs que vamos a procesar. Todos los dominios que no contengan estos patrones estarán fuera del alcance. Sería interesante también la obtención de subdominios que pudieran contener los patrones anteriores en cualquier dominio, pero por limitaciones de tiempo esto queda fuera del alcance. Hay que tener en cuenta que los cibercriminales no siempre van a usar los patrones citados anteriormente en sus campañas e incluso pueden usar dominios que no hacen ninguna referencia a COVID o CORONAVIRUS, pero desde un punto de vista de ingeniera social son más utilizados para engañar a los usuarios y hacerles creer que son dominios legítimos.
También se han buscado los patrones COVID20, COVID-20 pero los resultados positivos han sido residuales, por lo que no se han incluido en el presente informe.
 |
| Alguna de los TDLs usados en la obtención de dominios |
3.-Evaluación de la información
Una vez se ha recopilado la información, se debe iniciar el proceso de evaluación, donde hay que evaluar:
- Uso que puede hacerse de la información.El valor de prueba de la información
- El contenido en sí mismo de la información: la validez de la información y la fuente que a ha facilitado la información.
Las fuentes de información de las que nos hemos nutrido junto a la metodología utilizada facilitaran mucho la categorización y evaluación de los datos obtenidos.
"Se obtuvieron un total de 12325 dominios en todos los TLDs analizados."
El uso de esta información nos permitirá la detección de posibles campañas fraudulentas que se puedan estar realizando actualmente o que puedan activarse en el futuro.
Se pueden detectar posibles campañas similares a las ya detectadas en semanas anteriores tales como el uso de supuestos mapas que permitían la distribución de malware, aplicaciones móviles que ocultaba ransomware o la solicitud de información personal.
 |
| Algunos de los dominios registrados |
 |
| Algunos de los dominios registrados del TLD .app |
Se debe de tener muy en cuenta la rápida creación de estos dominios y su sustitución por otros similares. Es por ello fundamental una monitorización constante y lo más actualizada posible con el fin de poder detectarlos en un tiempo mínimo.
Hay que tener en cuenta que a pesar de que el dominio contenga los patrones anteriormente mencionados, eso no garantiza que el dominio sea malicioso. Existen muchas páginas legítimas que también usarán estos patrones en sus dominios. Esto hará que tengamos que verificar mediante otros mecanismos que el dominio realmente no esta relacionado con el cibercrimen. Es preciso asegurar que cada dominio esta relacionado con la actividades criminal y así evitar falsos positivos, lo cual requiere de una fuerte carga de trabajo.
4.-Transformación e Integración
Una vez hemos seleccionado las fuentes que nos servirán para obtener la totalidad o el máximo posible de información que consideramos que pueden ser de interés para nuestro análisis es necesario realizar un tratamiento. Este tratamiento tendrá como objetivo principal homogeneizar las fuentes y los datos, permitiendo darles un tratamiento que nos ofrecerá la posibilidad de realizar una explotación masiva de los datos para poder representarlas de manera gráfica, dando claridad y descubriendo aspectos que no se habían tenido en cuenta inicialmente.
Para nuestra investigación se obtienen los dominios que pertenecen a cada TLD analizado y se relaciona con su IP/IPs, homogeneizando la información para ser tratada fácilmente. A su vez, se han realizado capturas de cada dominio analizado, así como una copia del código fuente de la página principal que puede ser usado con otros usos en una fase de la investigación posterior. También se hace una recopilación de la información referente a cada certificado SSL con la finalidad de detectar relaciones entre posibles dominios fraudulentos.
 |
| Relación de IP y dominios del TLD .xyz |
 |
| Captura de dominios analizados |
5.-Interpretación (Análisis)
La información que ha sido evaluada no se ha convertido todavía en inteligencia. La información evaluada se convierte en inteligencia únicamente cuando ha sido interpretada en cuanto a su significado.
El alcance del análisis y su credibilidad general dependen del nivel y la precisión de la información adquirida en las fases previas, combinada con la habilidad del analista para interpretarla.
Se suelen utilizar tablas y gráficos para presentar información que muestre al investigador una imagen inicial de relaciones, eventos, actividades, frecuencia, y otros, en función de la necesidad de inteligencia planteada inicialmente.
De un primer análisis temporal, podemos observar un incremento exponencial del registro de dominios que cumplen los requisitos expuestos, aunque debemos señalar que únicamente se pudo extraer información temporal de 7.902 dominios del total analizado.
Durante nuestra investigación se han detectado como una gran cantidad de dominios, hasta miles, todos ellos alojados en unas IP’s muy concretas, así como también se han detectado rangos específicos que agrupan dichas IP’s sospechosas.
Principalmente se detectan dos rangos de IP’s en los que apuntan un alto porcentaje de los dominios analizados.
Destacar el uso de certificados gratuitos y servicios que permiten ocultar la dirección IP real en un porcentaje de los dominios evaluados.
Esta gran concentración de dominios son sospechosos de poder ser utilizados en una actividad delictiva, aunque no nos proporcione una conclusión definitiva, nos señala indicios de que ese agrupamiento de dominios relacionados, recordemos que son dominios que han sido creados utilizando en su denominación alguna de las siguientes estructuras COVID19, COVID-19, CORONAVIRUS o CORONAVID, ya que esta correlación y relación de estos dominios puede señalarnos que detrás exista una posible actividad criminal, ya que no es normal que se registren tantos dominios similares en una IP o rango concreto.
También hemos observado como el mismo dominio está alojado en más de una IP diferente.
 |
| Rangos /24 donde apuntan un mayor número de dominios |
Si analizamos la distribución de dominios observamos que, los 12.325 dominios sospechosos están alojados en 3.007 direcciones de IP. Des análisis de estas 12.325 se han detectado que 10.079 dominios son únicos, la diferencia radica en que hay miles de dominios que están alojados en más de una IP.
Si analizamos los dominios por TLD observamos que se han registrado los dominios utilizando hasta 348 dominios diferentes, en la siguiente tabla podemos comprobar el TOP 10 de dominios registrados por TLD.
 |
| Tabla con el TOP 10 de los TLD más detectados durante esta investigación |
Si realizamos la misma comparativa, pero esta vez de los dominios únicos (10.079), podemos observar que hay muy pocos cambios en el orden.
 |
| Distribución de los TOP 10 de los TLD (dominios únicos) más detectados |
6.-Difusión y Evaluación
El consumidor de inteligencia recibe el producto final obtenido de la ejecución sucesiva de las fases anteriores.
Ciclo realizado durante la ejecución de la presente investigación
En este caso, para mostrar el producto final hemos elaborado el presente artículo donde hemos mostrado las diferentes fases realizadas para la elaboración del presente artículo, realizando una difusión abierta a la comunidad de los resultados y conclusiones obtenidas y siendo trasladado a organismos como el CNPIC y el CCN-CERT.
Autores: Carlos Seisdedos, Analista Ciberseguridad y responsable del área de Ciberinteligencia y Francisco Jesús Rodriguez Montero, Analista Ciberseguridad en ITQLATAM.
Este artículo se publicó originalmente en el blog: https://derechodelared.com
