sextorsion en la red: reputacion online, legalidad digital- BYOD-Redes Sociales: nocon 2014
21
Impacto personal Sextorsión Crisis empresarial
-
Upload
selva-maria-orejon-lozano -
Category
Business
-
view
1.876 -
download
2
description
Ponencia en la NOCON 2014 sobre Sextorsion en la red: reputacion online, legalidad digital- BYOD-Redes Sociales: nocon 2014 de la mano de Ruth Sala y Selva Orejón. Esta mañana han tenido lugar las primeras ponencias del Congreso de Seguridad NOCON 2014, este año iba sobre hemos tenido la suerte de poder presentar nuestro estudio sobre Sextorsión, Impacto personal, consecuencia profesional entre Ruth Sala de Legal Consultors y yo, Selva Orejón, onbranding y Brand Care. Los casos presentados han sido todos reales y analizados por nuestro equipo de ciberinvestigación, ciberseguridad, reputación y crisis digital así como el apartado de análisis legal. El objetivo de esta ponencia era transmitir las conclusiones del ataque en el que hemos analizado los mínimo comunes entre todos los ataques. Se ha analizado el papel del CiberDelincuente, su Modus Operandi y las diferentes fases de su ataque. También hemos analizado la figura de la víctima, qué vulnerabilidades psicológicas, de seguridad y de desconocimiento legal reúnen entre ellas para ser seleccionadas como tales. En esta la ponencia sobre Extorsión: Cibercrimen con consecuencias en la reputación persona y corporativa se han analizado 4 casos: De Badoo a LinkedIn De amateurTV a Whatsapp De bakala.org a Mail De twitter a Mail
Transcript of sextorsion en la red: reputacion online, legalidad digital- BYOD-Redes Sociales: nocon 2014
Impacto personal
Sextorsión
Crisis empresarial
GRAVES CONSECUENCIAS PARA LA REPUTACIÓN
Desconocimiento de Derechos y Responsabilidades
Mala prevención y gestión de la privacidad de los activos online y móvil
Reputación
LegalidadSeguridad
Crisis de reputación: problemática
Principales casos en los que trabajamos
COSTES
1 Billón de dólares x 3 en 2020
10.000 ataques diarios en el 49%
empresas
CIBERATAQUES PREOCUPACIÓN EJECUTIVA
Temor por el aumento y la sofisticación
Ciberataque privacidad corporativa
Ciberataque privacidad individual
Robo de secretos
Fraudes en línea Vulneración Propiedad Intelectual
Suplantación de Identidad
Ámbito Personal Ámbito Profesional
Qué compras
Cómo te sientes?
Estás sol@?
Con quién vives?
Qué dicen de tu marca?
Qué dicen de tus productos y servicios?
Quién gestiona tu comunicación?
Quién gestiona tus datos?
Cómo funcionan los ataques a la reputación por sextorsión
Grupo organizado
ATACANTE/S
1 2
3Ámbito Profesional
Modus Operandi: Mínimo Común
VÍCTIMA/S
Ámbito Personal
Ciber Delincuente
ATAQUE DIRIGIDO
CREA SU IDENTIDADEl camaleón “seré quien tú quieres y esperas que sea, estaré cuando me necesites, SIEMPRE”
FASE 2PROFILING
FASE 1 TANTEO /SELECCIÓN
FASE 3 GANAR SU CONFIANZA
FASE 4 EXTORSIÓN
Profile PSICO-SOCIAL-ECO: Identificar vulnerabilidades (qué necesita “emocional, profesional... qué no tiene”? y best attack extorsion ways):$ / Reputación / Activismo / Información
TECNOLÓGICO/COMPlataformas Sociales (perso/Prof), Whatsapp Mejores horas para contactar y Medio
$$$$$$$$$ Reputación Activismo
Información
Ataque 1: De Badoo a LinkedIn
Red Trabajo
ATAQUEExtorsión (si no pagas mostraré us imágenes a toda tu red en LinkedIn)
Back Door Access
ATACANTEBusca sus víctimas en Badoo (están más receptivas al contacto directo y se genera una mayor Pseudo Confianza)
1
3Ámbito Personal
Ataque 1: De Badoo a LinkedIn
ProfesionalBuen empleo, bien relacionada.
SELECCIÓN DE VÍCTIMA
Ámbito Profesional
EXTORSIÓN
VÍCTIMARevela sus secretos y datos personales y abre puertas al ataqueConsiguen buena información (perso/ profesional): Nombre real, familia, trabajo, redes, teléfono)
ATAQUE ALEATORIO
PersonalEmocionalmente necesitadaSe siente sola, problemas sentimentales y de familiaBaja Autoestima
$$$Badoo > Skype (captación imágenes y videos)
Fake Profile en Facebook con Nombre real víctima e imágenes de Skype (captación imágenes y videos)
LinkedIn: Atacante contacta con contactos víctima de privacidad abierta y envía enlace a Fake Profile
Ataque 2: AmateurTV>Whatsapp
Red Trabajo
Víctima recibe el vídeo desde Whatsapp
Víctima grabada a tiempo real en AmateurTV
Ciberdelincuente: encuentra su víctima de nuevo en una red de dating, AmateurTV● Identifica la
víctima● Graba● Difunde vía
Identifica que es miembro de CCFFSSEE y difunde entre su Red de Trabajo
1
2
Ámbito Personal
Ataque 1: AmateurTV>Whatsapp
Ámbito Profesional
Ataque 2: Twitter > Mail
Red Trabajo
Código Malicioso
Extracción de documentación, espionaje e interrupción de operaciones Carla: habla sobre sus
hobbies
Carla : abre por favor este documento
Back Door Access
Ciberdelincuente: elige su víctima en una red de dating, BadooConsigue buena información personal y profesional vía ingeniería social whatsapp, facebook, linkedin
Se averigua el perfil social de Carla y un mail de alguien de su entorno. Se le envía un e-mail con malware.
1
2
3
4
Ámbito Personal
Ataque 2: Twitter>MailProfesionalBuen empleo, bien relacionada.PersonalEmocionalmente necesitadaSe siente sola, problemas sentimentales y de familiaBaja Autoestima
Ámbito Profesional
Ataque 3: Bakala > Mail
Red Trabajo
Víctima no paga y sus contactos reciben las imágenes
Víctima recibe un correo con extorsión y amenazas
Ciberdelincuente: elige su víctima otra vez en una red de dating, Bakala.orgConsigue buena información personal y profesional vía ingeniería social whatsapp, facebook, linkedin
Se averigua el perfil social de Carla y un mail de alguien de su entorno. Se le envía un e-mail con amenazas.
1
2
Ámbito Personal
Ataque 2: Bakala > MailPersonalEmocionalmente necesitadaSe siente sola, problemas sentimentales y de familiaBaja Autoestima
Ámbito Profesional
Ataque a celebrities y empresas
Existe una tendencia importante relacionada con actividades ciberdelicitivas donde se eligen víctimas con 3 intereses:● Conseguir dinero a cambio● Conseguir información a cambio● Atacar contra su reputación por “activismo”
DELITOS IMPUTABLES
Ciberdelincuencia: caso práctico
Empleo Público
Sexo encubierto
Promesa de negocio
Acoso RRSS
SEX
3 D+
CIBERACOSO
COACCIONES
AMENAZAS
VIOLACIÓN DE LA INTIMIDAD
EFECTOS COLATERALES
PSICOLÓGICOS REPUTACIÓN
Paralelamente se interpone un RECURSO DE REFORMA para que se califique como DELITO y abrir un procedimiento de Diligencias Previas y por tanto un procedimiento de INSTRUCCIÓN
Primera reacción: la Denuncia…
Cartas Perfiles Facebook
Conversaciones twitter contra vida privada
Cartas al perfil de la víctima
Cartas analógicas a los jefes
Amenazas de atentar integridad física esposa
Amenazas de atentar integridad física menores
Uso de un sello con escudo del Ministerio de Defensa
Firma con nombre y apellidos cartas analógicas
Cartas a los compañeros de trabajo
Envios de mails
Tratamientos psicológicosVíctima y esposa
……..
El peligro de caer en un JUICIO
DE FALTAS
ULTIMA CERILLA:
LA CUESTIÓN PREVIA
JUICIO DE FALTAS SEÑALADO 2 /09/14
Cuestiones procesales
PETICIÓN DE INCOMPETENCIA Y APERTURA DE DILIGENCIAS PREVIAS = INSTRUCCIÓN
RECURSO DE REFORMA
Aportación de Cartas Trabajo
DOCUMENTAL TESTIFICAL
Aportación cartas impresas perfiles Facebook
Aportación de Acta Notarial con la Pericial de la extracción documental
Sello Lacrado
Receptores de los documentos
Responsables Dept. Jurídico
Ratificación por Perito
Declaración de la responsable investigación reputacional
ELABORACIÓN DE LA PRUEBA
Recomendaciones
Reputación Jurídicas
POSIBILIDAD PRUEBA CERTIFICADA EN COMISARÍA
EXTRACCIÓN DOCUMENTAL DE PERFILES
VIGILANCIA
PROTECCIÓN
DEFENSA
SEGURIDAD INFORMÁTICA
DIGITAL FORENSICSHACKERS ETICOSINVESTIGADORES TÉCNICOS
CASUÍSTICA PROPIACALUMNIASREVELACIÓN DE SECRETOSCASOS OF, EFECTOS ONDERECHO AL OLVIDO
COMUNICACIÓNANALISTAS DE DATOSCIBER INVESTIGACIÓNDETECTIVES 2.0SEO DESPOSICIONADORES
Reputación Legal 2.0Seg.Informática
VIGILANCIA
DEFENSA
PROTECCIÓN
Governance x 3
![Reputacion slide [sólo lectura]](https://static.fdocuments.es/doc/165x107/548f2105b4795956138b4d91/reputacion-slide-solo-lectura.jpg)
