DIRECCIÓN DE INVESTIGACIÓN CRIMINAL E INTERPOL CENTRO CIBERNÉTICO POLICIAL Capitán ADRIAN EMID VEGA HERNANDEZ Oficial Centro Cibernético Policial Bogotá D.C., agosto de 2015 www.policia.gov.co
Seguridad De La Información
Definición MEDIDAS PREVENTIVAS Y REACTIVAS PERMITEN FINALIDAD
PILARES DE LA SEGURIDAD DE LA INFORMACIÓN CIA CONFIDENTIALITY INTEGRITY AVAILABILITY
CLASIFICACIÓN SEGÚN EL ACCESO ESTRATÉGICO Crítica Información Valiosa Sensible
Concepción basado en la tecnología Acceso Destrucción Interrupción Uso Divulgación Consecuencia Posición de Amenaza CIA
Implementación de Estratégias tecnologías Procedimientos Procedimientos Controles de seguridad Políticas
ISO/IEC 27001 SISTEMA DE MEJORA CONTINUA PLAN DO CHECK ACT
TÉCNICAS ADMINISTRACIÓN DEL RIESGO EVITAR El riesgo es evitado cuando la organización rechaza aceptarlo, es decir, no se permite ningún tipo de exposición. REDUCIR reducción hasta el nivel más bajo posible. Retener, Asumir o Aceptar el riesgo aceptar las consecuencias de la ocurrencia del evento. TRANSFERIR Es buscar un respaldo y compartir el riesgo con otros controles o entidades.
RESPUESTA DE INCIDENTES Acción Inmediata PLAN R. I. Minimizar efectos Responder condiciones adversas Reducir consecuencias negativas Reporte FASES Investigación Restauración
GESTIÓN DE LA INVESTIGACIÓN CONVERGENCIA SEGURIDAD 1. Problemática Mundial: factores comunes VISIÓN INTEGRAL DE CIBERSEGURIDAD CIBERSEGURIDAD DESDE UNA VISIÓN INTEGRAL EFICIENCIA CORRELACIÓN - ANÁLISIS CERO REDUNDANCIA COBERTURA DISPONIBILIDAD VIRTUALIZACIÓN ACCESIBILIDAD CONFIDENCIALIDAD INTEGRIDAD PROTECCIÓN DATOS AUDITORÍA COMPETITIVIDAD ALTA TECNOLOGÍA ACTUALIZACIÓN e JUSTICI@ GARANTÍAS DERECHOS FUNDAMENTALES - HABEAS DATA (Ley 1581 de 2012)
AMENAZAS CAPACIDADES 2015 AMENAZAS INTERNAS AMENAZAS EXTERNAS CENTRO CIBERNÉTICO POLICIAL LABORATORIO A.C.M. ANÁLISIS COD. MALICIOSO SABOTAJE INDIVIDUOS AISLADOS ATENCIÓN INCIDENTES CIBERNÉTICOS DETECCIÓN DE NUEVAS AMENAZAS CIBERTERRORISMO DELINCUENCIA ESPIONAJE HACKING TERRORISMO HACKTIVISMO ANÁLISIS FORENSE DIGITAL JUDICIALIZACIÓN DE CASOS GENERACIÓN DE DE ALERTAS ANÁLISIS CORRELACIONAL DE CASOS CRIMEN ORGANIZADO CAUSAS TÉCNICAS OBSERVATORIO ESTRÁTEGICO DEL CIBERCRIMEN REDES SOCIALES FUENTES ABIERTAS CAPACITACIÓN Y ENTRENAMIENTO BÁSICO E INTERMEDIO GENERACIÓN DE REPORTES Y BOLETINES
ORGANIGRAMA CCP CAIVIRTUAL OBSER.CIBERCRIMEN RESPUESTA A INC.CIBERNÉTICOS FUENTES ABIERTAS C4 JEFATURA CCP Ordenes de trabajo 2014: 396 2015: 247 GRUPO APOYO TÉCNICO-FORENSE Funcionario a nivel central: 76 Funcionario a nivel nacional: 148 MALWARE ANÁLISIS BASES DE DATOS DISPOSITIVOS MÓVILES Investigaciones: 2014: 38 2015: 35 Investigaciones: 2014: 21 2015: 24 GIDAT GICIB GRUPI Investigaciones INTERPOL: 35 Investigaciones EUROPOL: 5 Investigaciones PORNOGRAFÍA INFANTIL: 84 REGIONES Y SECCIONALES DE INVESTIGACIÓN CRIMINAL 25 UNIDADES INVESTIGACIÓN TECNOLÓGICAS UDITE GRUIF 8 LABORATORIOS DE INFORMÁTICA FORENSE
CAPACIDADES CENTRO CIBERNÉTICO POLICIAL GENERACIÓN DE CAPACIDADES DE CIBERSEGURIDAD Y CIBERDEFENSA ESTABLECIMIENTO Y MEJORA DE LOS MARCOS LEGALES EN CIBERSEGURIDAD PIPSC - CV ESTRATEGIA INTEGRAL CONTRA LOS DELITOS INFORMÁTICOS EINFO COBERTURA CAPACIDAD TÉCNICA CORRESPONSABILIDAD ACTORES AFECTACIÓN A ESTRUCTURAS CRIMINALES UNIDADES ESPECIALIZADAS ADECUADO NIVEL SOFISTICACIÓN ATENCIÓN DE CIBERINCIDENTES ARTICULACIÓN SECTOR PRIVADO EDUCACIÓN CIUDADANA PREVENCIÓN Y REDES SOCIALES ANÁLISIS COMPREHENSIVO AFECTACIÓN ECONOMIA CIBERCRIMEN PERSECUCIÓN GLOBAL COOPERACIÓN INTERNACIONAL FORTALECIMIENTO DE LAS CAPACIDADES INSTITUCIONALES DE CIBERSEGURIDAD Y CIBERDEFENSA APORTE A LA CIBERSEGURIDAD LINEAMIENTOS DE POLÍTICA EN CIBERSEGURIDAD Y CIBERDEFENSA
CONPES 3701 DE 2011 - COMISIÓN INTERSECTORIAL ASISTENCIA TÉCNICA COORDINACIÓN EN GESTIÓN DE INCIDENTES ASISTENCIA ANTE EMERGENCIAS DESARROLLO DE CAPACIDADES OPERATIVAS PROVEER INFORMACIÓN DE INTELIGENCIA CIBERNÉTICA ASESORAMIENTO Y APOYO EN CIBERDEFENSA COLABORACIÓN ACTIVA EN LA RESOLUCIÓN DE INCIDENTES COMANDO CONJUNTO CIBERNÉTICO ColCERT Equipo coordinador a nivel nacional en aspectos de seguridad informática COLABORACIÓN ACTIVA EN LA RESOLUCIÓN DE INCIDENTES Directiva ministerial 23 de 2014 CENTRO CIBERNÉTICO POLICIAL Equipo encargado de la defensa del país en el ciberespacio COLABORACIÓN ACTIVA EN LA RESOLUCIÓN DE INCIDENTES Equipo encargado de la ciberseguridad en el ciberespacio
CAPACIDADES CENTRO CIBERNÉTICO POLICIAL COBERTURA Y CAPACIDAD TÉCNICA LABORATORIO INFORMÁTICA FORENSE BARRANQUILLA BUCARAMANGA NEIVA CALI MEDELLÍN MANIZALES VILLAVICENCIO TRATAMIENTO Y ANÁLISIS EVIDENCIA DIGITAL ANÁLISIS DISPOSITIVOS MÓVILES UNIDADES DE INVESTIGACIÒN TECNOLÓGICAS LAB. SECCIONALES DE INFORMÁTICA FORENSE SITIO WEB CIBERSEGURIDAD LABORATORIOS ESPECIALIZADOS APLICACIONES MÓVILES DENUNCIA EN LINEA WWW.CCP.GOV.CO
COSTOS DEL FRAUDE FINANCIERO El 43% de los ataques han sido dirigidos a infraestructura crítica del país 706.000 Millones El 46% de los crímenes económicos experimentados en el último año fueron de malversación de activos, pero el 51% del daño económico lo causó el fraude financiero El 69% de las fallas ocurrieron a causa de la falta de concientización sobre ciberseguridad en los empleados 7 de cada 10 empresas que operan en Colombia han padecido al menos un fraude en los últimos 12 meses El 51% de los ataques cibernéticos fueron hacia el Gobierno El 71% de los ataques consistieron en spear phishing El 42% de los ataques fueron al sector de la Banca y las Finanzas Fuente: https://www.sites.oas.org Reporte de seguridad cibernética e infraestructura crítica de las Américas. 2015.
INCIDENTES INFORMÁTICOS ATENDIDOS WWW.CCP.GOV.CO Fuente: www.ccp.gov.co 600 554 500 400 300 200 100 0 334 TOTAL REPORTES 2.800 CAI VIRTUAL WWW.CCP.GOV.CO 2015 242 211 189 159 147 134 110 101 68 65 47 44 40 38 25 25 19 15 15 12 10 8 7 6 6 5 5 4 2 1 1 * Del 01 de enero al 10 de agosto de 2015
CASOS OPERATIVOS 2015
MODELO DE GESTIÓN CASO PRÁCTICO Se toma contacto con el Web master del sitio afectado para mitigar el incidente Reporta al CAIVIRTUAL caso SPAM Al verificar es un PHISHING que usurpa la identidad de la F.G.N. Se generan alertas a la ciudadanía Gerentes de empresas reportan caso de SPEAR PHISHING Registro de incidentes en www.ccp.gov.co Al dar clic sobre el enlace se descarga un *.rar Se envía al laboratorio para su análisis Resultado del análisis CAIVIRTUAL toma contacto con las víctimas Recepción personalizada de denuncias - CCP JULIO 31 2015 10:00 AM JULIO 31 2015 10:15 AM JULIO 31 2015 10:45 AM JULIO 31 2015 03:45 PM AGOSTO 1 2015 09:00 AM
UN MODELO DE OPERACIÓN: UNMASK OP. COLOMBIA Op. Independencia www.presidencia.gov.co www.mindefensa.gov.co 1 PACOTRON 2 REUNIÓN COORDINACIÓN ABRIL /2011 3 EX-PRESIDENTE PRESIDENTE GLDTI GRUPO LATAM DELITOS TECNOLÓGICOS OPERACIÓN UNMASK www.mij.gov.co www.senado.gov.co 20 JUL /2011 SEPT./2011 INTERCAMBIO DE INFORMACIÓN DIC./2011 BOGOTÁ D.C. FEB. 24 /2012 Log de Conexión ESPAÑA-CHILE-ARGENTINA- COLOMBIA-MÉXICO, otros.
UN MODELO DE OPERACIÓN: UNMASK Allanamientos: 16 Incautaciones: 9 PC, 8DD, 8 torres de computo, una imac Indiciados: 5 personas Información encontrada : IP s de ataque, VPN s, LOIC.exe, imágenes alusivas Anonymous, y herramientas hacking. Indiciados: ZEROHACK NMAP XTREME Incautaciones: Videos, herramientas hacking, VPN s, cuentas de redes sociales. Capturados: Itzela Pacotron Zeus Indiciados: 10 personas Capturados: 6 personas Incautaciones: 10 equipos de computo, un servidos, 5 USB. Incautaciones: 16 equipos de cómputo, 11 DD, 4 USB.
ALCANCE OPERACIONAL
CONVENIOS Y ALIANZAS CONVENIO COOPERACIÓN 2165/12 CONVENIO COOPERACIÓN 2133/13 ESHUC ESTRATEGIA CONTRA HURTO CELULARES CONVENIO DE COLABORACIÓN 1240/12 PROYECTO CONVENIO COOPERACIÓN EINFO ESTRATEGIA CONTRA DELITOS INFORMÁTICOS INTERCAMBIO INFORMACIÓN FBI ATA KOICA INTERPOL CICTE OEA
ASPECTOS A CONSIDERAR Causa probable 1. Problemática Mundial: factores comunes CCP COMO MIEMBRO DEL G8 Datos Biográficos del titular(s) de las cuentas involucradas Expectativa Razonable de Privacidad No obtante muchos perfiles y cuentas tienen datos ápocrifos ej: peterpaker@xx.co Datos del titular Datos de conexión datos de tráfico Ubicación geográfica de la conexión gralmente se basa en direcciones IP Datos de contenido de las cuentas involucradas Generalmente casos con agencias EEUU - otros casos debe acreditarse la emergencia Tráfico y conexiones No retrospectivo Buzones de correo Hotmail,Facebook, Gmail Contenido Búsqueda Selectiva Base de Datos Direcciones IP Fecha conexiones En ocasiones contactos Recuperación de Inf. Producto de transmisión de datos Interceptación de comunicaciones
SOLICITUDES DIRECTAS A PROVEEDORES DE SERVICIOS Sitio web para enlace con agencias de ley Preservación Solicitud POJUD Eliminación total o parcial y/0 bloqueo Solicitud POJUD Víctima Correo electrónico de contacto Datos de suscripción Solicitud POJUD previa BSBD Contactos logs de Conexiones Solicitud POJUD previa BSBD Radicación directa en oficinas locales Contenido de buzones o cuenta Agencia Federal Agregado Jurídico Contenido de buzones o cuenta MLAT Cartas Rogatorias
MODELO DE OPERACIONES TRANSNACIONALES FRAUDE EN LINEA OPERACIÓN NOSEMA OPERACIÓN ACTION DAY FRAUD MALWARE BANCARIO ESPAÑA DYRE CARBANAK TIMBA DRYDEX CORKOW EE.UU ATAQUES INFORMÁTICOS APT CIBERTERRORISMO DARKNET FRAUDE INFORMÁTICO MÉXICO COLOMBIA ONYMOUS DARKODE IOS VI PORNOGRAFÍA INFANTIL INTERCAMBIO DE INFORMACIÓN SOBRE FRAUDE DE $$ PLÁSTICO GROOMING CHILE DEPLATION WAVE 2 OPERACIÓN PACIFIER DEPLETION LETONIA OPERATION MOULIN ROUGE OPERA TION RED ECLIPSE HACKTIVISMO UNMASK
PROTECCIÓN INFANTIL LEY 1336 DEL 2009 2014-2015 CAFÉ EXPERTOS BOLETÍNES Sensibilización en instituciones educativas GESTIÓN DE TICKETS (ASESORAMIENTO) CHAT MULTIMEDIA ESTADÍSTICA Páginas Web bloqueadas 3.089 1.677 2014-2015 Capturas 14-18 INVESTIGACIONES INTERPOL: 35 INVESTIGACIONES EUROPOL: 5 INVESTIGACIONES PORNOGRAFÍA INFANTIL: 84 Denuncias 93-79 DESPLIEGUE OPERATIVO CAI VIRTUAL www.ccp.gov.co Operación Deplation II Operation Pacifier Operación Letonia Operación Red Eclipse Operación Moulin Rouge
WWW.CCP.GOV.CO Alertas 8.345 Seguidores: 23.114 Me gusta: 3.648 Chats atendidos 2015: 8.411 Correos atendidos 1.618 Visitantes: 210.312
PORTAFOLIO DE SERVICIOS WWW.CCP.GOV.CO APP # TICKET AGENDAR CITA PARA FORMULAR DENUNCIA www.ccp.gov.co REPORTE CAFÉ EXPERTOS # TICKET BOLETÍNES USUARIO FINALIZAR REPORTE GESTIÓN DE TICKETS (ASESORAMIENTO) CHAT MULTIMEDIA ESTADÍSTICA NOTICIA CRIMINAL SE CLASIFICA COMO INCIDENTE INFORMÁTICO INSUMO PARA BOLETINES INFORMATIVOS Y PUBLICACIONES EN LAS REDES SOCIALES Y EL PORTAL WEB DEL CAI VIRTUAL
BOLETINES DE CIBERSEGURIDAD
BOLETINES DE CIBERSEGURIDAD
Dirección de Investigación Criminal e INTERPOL www.ccp.gov.co Avenida el Dorado N 75-25 Teléfono: 426 63 01 Bogotá D.C., agosto de 2015 www.policia.gov.co