DIRECCIÓN DE INVESTIGACIÓN CRIMINAL E INTERPOL CENTRO CIBERNÉTICO POLICIAL Capitán ADRIAN EMID VEGA HERNANDEZ Oficial Centro Cibernético Policial Bogotá D.C ., agosto de 2015 www.policia.gov.co Seguridad De La Información Definición MEDIDAS PREVENTIVAS Y REACTIVAS PERMITEN FINALIDAD PILARES DE LA SEGURIDAD DE LA INFORMACIÓN CIA CONFIDENTIALITY INTEGRITY AVAILABILITY CLASIFICACIÓN SEGÚN EL ACCESO ESTRATÉGICO Crítica Información Valiosa Sensible Concepción basado en la tecnología Acceso Destrucción Interrupción Uso Divulgación Consecuencia CIA Posición de Amenaza Implementación de Estratégias Procedimientos Procedimientos tecnologías Controles de seguridad Políticas ISO/IEC 27001 – SISTEMA DE MEJORA CONTINUA PLAN DO CHECK ACT TÉCNICAS ADMINISTRACIÓN DEL RIESGO EVITAR REDUCIR Retener, Asumir o Aceptar el riesgo TRANSFERIR • El riesgo es evitado cuando la organización rechaza aceptarlo, es decir, no se permite ningún tipo de exposición. • reducción hasta el nivel más bajo posible. • aceptar las consecuencias de la ocurrencia del evento. • Es buscar un respaldo y compartir el riesgo con otros controles o entidades. RESPUESTA DE INCIDENTES Acción Inmediata PLAN R. I. • Minimizar efectos • Responder condiciones adversas • Reducir consecuencias negativas Reporte FASES Restauración Investigación 1. Problemática Mundial: factores comunes VISIÓN INTEGRAL DE CIBERSEGURIDAD CIBERSEGURIDAD DESDE UNA VISIÓN INTEGRAL EFICIENCIA COBERTURA DISPONIBILIDAD CORRELACIÓN - ANÁLISIS CERO REDUNDANCIA VIRTUALIZACIÓN ACCESIBILIDAD CONFIDENCIALIDAD INTEGRIDAD PROTECCIÓN DATOS COMPETITIVIDAD ALTA TECNOLOGÍA ACTUALIZACIÓN e – JUSTICI@ SEGURIDAD CONVERGENCIA GESTIÓN DE LA INVESTIGACIÓN AUDITORÍA GARANTÍAS DERECHOS FUNDAMENTALES - HABEAS DATA (Ley 1581 de 2012) 1. Problemática Mundial: factores comunes AMENAZAS CAPACIDADES 2015 AMENAZAS INTERNAS AMENAZAS EXTERNAS SABOTAJE CIBERTERRORISMO DELINCUENCIA INDIVIDUOS AISLADOS CENTRO CIBERNÉTICO POLICIAL LABORATORIO A.C.M. ANÁLISIS COD. MALICIOSO ATENCIÓN INCIDENTES CIBERNÉTICOS DETECCIÓN DE NUEVAS AMENAZAS ANÁLISIS FORENSE DIGITAL GENERACIÓN DE DE ALERTAS JUDICIALIZACIÓN DE CASOS ANÁLISIS CORRELACIONAL DE CASOS OBSERVATORIO ESTRÁTEGICO DEL CIBERCRIMEN REDES SOCIALES FUENTES ABIERTAS CAPACITACIÓN Y ENTRENAMIENTO BÁSICO E INTERMEDIO GENERACIÓN DE REPORTES Y BOLETINES HACKING TERRORISMO HACKTIVISMO ESPIONAJE CAUSAS TÉCNICAS CRIMEN ORGANIZADO 1. Problemática Mundial: factores comunes ORGANIGRAMA CCP JEFATURA CCP CAIVIRTUAL OBSER.CIBERCRIMEN RESPUESTA A INC.CIBERNÉTICOS FUENTES ABIERTAS C4 Investigaciones: •2014: 38 •2015: 35 GIDAT Ordenes de trabajo 2014: 396 2015: 247 MALWARE ANÁLISIS BASES DE DATOS DISPOSITIVOS MÓVILES GRUPO APOYO TÉCNICO-FORENSE GICIB Investigaciones: •2014: 21 •2015: 24 Funcionario a nivel central: 76 Funcionario a nivel nacional: 148 GRUPI •Investigaciones INTERPOL: 35 •Investigaciones EUROPOL: 5 •Investigaciones PORNOGRAFÍA INFANTIL: 84 REGIONES Y SECCIONALES DE INVESTIGACIÓN CRIMINAL 25 UNIDADES INVESTIGACIÓN TECNOLÓGICAS UDITE GRUIF 8 LABORATORIOS DE INFORMÁTICA FORENSE Problemática Mundial: factores comunes CAPACIDADES 1. CENTRO CIBERNÉTICO POLICIAL • GENERACIÓN DE CAPACIDADES DE CIBERSEGURIDAD Y CIBERDEFENSA • ESTABLECIMIENTO Y MEJORA DE LOS MARCOS LEGALES EN CIBERSEGURIDAD PIPSC - CV • COOPERACIÓN INTERNACIONAL ESTRATEGIA INTEGRAL CONTRA LOS DELITOS INFORMÁTICOS EINFO COBERTURA CAPACIDAD TÉCNICA UNIDADES ESPECIALIZADAS • FORTALECIMIENTO DE LAS CAPACIDADES INSTITUCIONALES DE CIBERSEGURIDAD Y CIBERDEFENSA ADECUADO NIVEL SOFISTICACIÓN ATENCIÓN DE CIBERINCIDENTES CORRESPONSABILIDAD ACTORES ARTICULACIÓN SECTOR PRIVADO PREVENCIÓN Y REDES SOCIALES ANÁLISIS COMPREHENSIVO AFECTACIÓN A ESTRUCTURAS CRIMINALES APORTE A LA CIBERSEGURIDAD EDUCACIÓN CIUDADANA AFECTACIÓN ECONOMIA CIBERCRIMEN PERSECUCIÓN GLOBAL LINEAMIENTOS DE POLÍTICA EN CIBERSEGURIDAD Y CIBERDEFENSA 1. Problemática factores comunes CONPES 3701 DEMundial: 2011 - COMISIÓN INTERSECTORIAL ASISTENCIA TÉCNICA COORDINACIÓN EN GESTIÓN DE INCIDENTES ASISTENCIA ANTE EMERGENCIAS DESARROLLO DE CAPACIDADES OPERATIVAS PROVEER INFORMACIÓN DE INTELIGENCIA CIBERNÉTICA ASESORAMIENTO Y APOYO EN CIBERDEFENSA COLABORACIÓN ACTIVA EN LA RESOLUCIÓN DE INCIDENTES ColCERT COLABORACIÓN ACTIVA EN LA RESOLUCIÓN DE INCIDENTES Equipo coordinador a nivel nacional en aspectos de seguridad informática COMANDO CONJUNTO CIBERNÉTICO Directiva ministerial 23 de 2014 CENTRO CIBERNÉTICO POLICIAL COLABORACIÓN ACTIVA EN LA RESOLUCIÓN DE INCIDENTES Equipo encargado de la defensa del país en el ciberespacio Equipo encargado de la ciberseguridad en el ciberespacio Problemática Mundial: factores comunes CAPACIDADES 1. CENTRO CIBERNÉTICO POLICIAL COBERTURA Y CAPACIDAD TÉCNICA LABORATORIO INFORMÁTICA FORENSE BARRANQUILLA BUCARAMANGA NEIVA CALI MEDELLÍN MANIZALES VILLAVICENCIO SITIO WEB CIBERSEGURIDAD WWW.CCP.GOV.CO LABORATORIOS ESPECIALIZADOS • TRATAMIENTO Y ANÁLISIS EVIDENCIA DIGITAL UNIDADES DE INVESTIGACIÒN TECNOLÓGICAS • ANÁLISIS DISPOSITIVOS MÓVILES LAB. SECCIONALES DE INFORMÁTICA FORENSE APLICACIONES MÓVILES DENUNCIA EN LINEA 1. Problemática Mundial: factores comunes COSTOS DEL FRAUDE FINANCIERO 706.000 Millones El 43% de los ataques han sido dirigidos a infraestructura crítica del país El El 46% de los crímenes económicos experimentados en el último año fueron de malversación de activos, pero el 51% del daño económico lo causó el fraude financiero 69% de las fallas ocurrieron a causa de la falta de concientización sobre ciberseguridad en los empleados El 51% de los ataques cibernéticos fueron hacia el Gobierno El 71% de los ataques consistieron en spear phishing 7 de cada 10 empresas que operan en Colombia han padecido al menos un fraude en los últimos 12 meses El 42% de los ataques fueron al sector de la Banca y las Finanzas Fuente: https://www.sites.oas.org – Reporte de seguridad cibernética e infraestructura crítica de las Américas. 2015. 1. Problemática Mundial: factores comunes INCIDENTES INFORMÁTICOS ATENDIDOS WWW.CCP.GOV.CO Fuente: www.ccp.gov.co 600 554 TOTAL REPORTES 2.800 500 400 300 200 100 334 242 211 189 159 147 134 110 101 CAI VIRTUAL WWW.CCP.GOV.CO 2015 68 65 47 44 40 38 25 25 19 15 15 12 10 8 7 0 * Del 01 de enero al 10 de agosto de 2015 6 6 5 5 4 2 1 1 1. Problemática Mundial: CASOS OPERATIVOS 2015factores comunes 1. Problemática factores comunes MODELO DE GESTIÓNMundial: CASO PRÁCTICO Se toma contacto con el Web master del sitio afectado para mitigar el incidente Se generan alertas a la ciudadanía Reporta al CAIVIRTUAL caso SPAM Gerentes de empresas reportan caso de SPEAR PHISHING Al verificar es un PHISHING que usurpa la identidad de la F.G.N. Al dar clic sobre el enlace se descarga un *.rar JULIO 31 2015 10:00 AM Se envía al laboratorio para su análisis Resultado del análisis JULIO 31 2015 10:15 AM JULIO 31 2015 10:45 AM CAIVIRTUAL toma contacto con las víctimas JULIO 31 2015 03:45 PM Registro de incidentes en www.ccp.gov.co Recepción personalizada de denuncias - CCP AGOSTO 1 2015 09:00 AM 1. Mundial: factores comunes UNProblemática MODELO DE OPERACIÓN: UNMASK Op. Independencia OP. COLOMBIA www.presidencia.gov.co www.mindefensa.gov.co 1 “PACOTRON” 2 REUNIÓN COORDINACIÓN 3 EX-PRESIDENTE PRESIDENTE OPERACIÓN UNMASK GLDTI GRUPO LATAM DELITOS TECNOLÓGICOS ABRIL /2011 20 JUL /2011 www.mij.gov.co www.senado.gov.co SEPT./2011 INTERCAMBIO DE INFORMACIÓN Log de Conexión ESPAÑA-CHILE-ARGENTINACOLOMBIA-MÉXICO, otros. DIC./2011 BOGOTÁ D.C. FEB. 24 /2012 1. Mundial: factores comunes UNProblemática MODELO DE OPERACIÓN: UNMASK •Capturados: Itzela – Pacotron – Zeus •Indiciados: ZEROHACK NMAP – XTREME – •Incautaciones: Videos, herramientas hacking, VPN’s, cuentas de redes sociales. •Allanamientos: 16 •Incautaciones: 9 PC, 8DD, 8 torres de computo, una iMAC •Indiciados: 5 personas •Información encontrada : IP’s de ataque, VPN’s, LOIC.exe , imágenes alusivas Anonymous, y herramientas hacking. •Indiciados: 10 personas •Capturados: 6 personas •Incautaciones: 10 equipos de computo, un servidos, 5 USB. •Incautaciones: 16 equipos de cómputo, 11 DD, 4 USB. 1. Problemática Mundial: factores comunes ALCANCE OPERACIONAL 1. Problemática Mundial: factores comunes CONVENIOS Y ALIANZAS CONVENIO COOPERACIÓN 2165/12 CONVENIO COOPERACIÓN 2133/13 ESHUC ESTRATEGIA CONTRA HURTO CELULARES CONVENIO DE COLABORACIÓN 1240/12 PROYECTO CONVENIO COOPERACIÓN INTERCAMBIO INFORMACIÓN FBI ATA KOICA INTERPOL CICTE OEA EINFO ESTRATEGIA CONTRA DELITOS INFORMÁTICOS 1. Problemática Mundial: comunes CCP COMO MIEMBRO DELfactores G8 Expectativa Razonable de Privacidad peterpaker@xx.co Datos de conexión – datos de tráfico Ubicación geográfica de la conexión gralmente se basa en direcciones IP Datos de contenido de las cuentas involucradas Generalmente casos con agencias EEUU - otros casos debe acreditarse la emergencia Datos del titular Causa probable No obtante muchos perfiles y cuentas tienen datos ápocrifos ej: ASPECTOS A CONSIDERAR Datos Biográficos del titular(s) de las cuentas involucradas Búsqueda Selectiva Base de Datos Tráfico y conexiones Direcciones IP Fecha conexiones En ocasiones contactos Recuperación de Inf. Producto de transmisión de datos Contenido No retrospectivo Buzones de correo Hotmail,Facebook, Gmail Interceptación de comunicaciones 1. Problemática Mundial: A factores comunesDE SERVICIOS SOLICITUDES DIRECTAS PROVEEDORES Sitio web para enlace con agencias de ley Correo electrónico de contacto Radicación directa en oficinas locales Preservación Solicitud POJUD Eliminación total o parcial y/0 bloqueo Solicitud POJUD Víctima Datos de suscripción Solicitud POJUD previa BSBD Contactos logs de Conexiones Solicitud POJUD previa BSBD Contenido de buzones o cuenta Agencia Federal Agregado Jurídico Contenido de buzones o cuenta MLAT Cartas Rogatorias 1. Problemática Mundial: factores comunes MODELO DE OPERACIONES TRANSNACIONALES FRAUDE EN LINEA •OPERACIÓN NOSEMA •OPERACIÓN ACTION DAY FRAUD MALWARE BANCARIO ESPAÑA EE.UU •DYRE •CARBANAK •TIMBA •DRYDEX •CORKOW •ATAQUES INFORMÁTICOS • APT •CIBERTERRORISMO DARKNET •ONYMOUS •DARKODE •IOS VI MÉXICO •FRAUDE INFORMÁTICO PORNOGRAFÍA INFANTIL COLOMBIA •INTERCAMBIO DE INFORMACIÓN SOBRE FRAUDE DE $$ PLÁSTICO •GROOMING •DEPLATION WAVE 2 •OPERACIÓN PACIFIER •DEPLETION LETONIA •OPERATION MOULIN ROUGE •OPERA´TION RED ECLIPSE HACKTIVISMO CHILE •UNMASK 1. Problemática Mundial: PROTECCIÓN INFANTIL – factores LEY 1336comunes DEL 2009 2014 - 2015 CAFÉ EXPERTOS BOLETÍNES GESTIÓN DE TICKETS (ASESORAMIENTO) Sensibilización en instituciones educativas Páginas Web bloqueadas 3.089 1.677 CHAT •INVESTIGACIONES INTERPOL: 35 •INVESTIGACIONES EUROPOL: 5 •INVESTIGACIONES PORNOGRAFÍA INFANTIL: 84 MULTIMEDIA ESTADÍSTICA CAI VIRTUAL www.ccp.gov.co 2014 - 2015 Capturas Denuncias 14 -18 93 -79 DESPLIEGUE OPERATIVO Operación Deplation II Operation Pacifier Operación Letonia Operación Red Eclipse Operación Moulin Rouge 1. Problemática Mundial: factores comunes WWW.CCP.GOV.CO Alertas 8.345 Seguidores: 23.114 Me gusta: 3.648 Chats atendidos 2015: 8.411 Correos atendidos 1.618 Visitantes: 210.312 1. Problemática factores comunes PORTAFOLIO DE Mundial: SERVICIOS WWW.CCP.GOV.CO APP # TICKET AGENDAR CITA PARA FORMULAR DENUNCIA www.CCP.GOV.CO REPORTE CAFÉ EXPERTOS # TICKET BOLETÍNES GESTIÓN DE TICKETS (ASESORAMIENTO) MULTIMEDIA NOTICIA CRIMINAL FINALIZAR REPORTE CHAT USUARIO ESTADÍSTICA SE CLASIFICA COMO INCIDENTE INFORMÁTICO INSUMO PARA BOLETINES INFORMATIVOS Y PUBLICACIONES EN LAS REDES SOCIALES Y EL PORTAL WEB DEL CAI VIRTUAL 1. Problemática Mundial: factores comunes BOLETINES DE CIBERSEGURIDAD 1. Problemática Mundial: factores comunes BOLETINES DE CIBERSEGURIDAD Dirección de Investigación Criminal e INTERPOL www.ccp.gov.co Avenida el Dorado N° 75-25 Teléfono: 426 63 01 Bogotá D.C., agosto de 2015 www.policia.gov.co