Si los atacantes usan herramientas de anonimato como Tor, es extremadamente difícil rastrearlas hasta la persona que realiza el ataque, especialmente después del hecho. Piense en Tor como una gran malla encriptada, donde las conexiones se enrutan a través de una ruta aleatoria de múltiples nodos. En ningún momento un nodo conoce la IP de origen y la IP de destino.
Los ataques contra tales redes de anonimato son complejos y requieren un acceso privilegiado a los registros de ISP y otros recursos similares, por lo que, a menos que haya tenido pérdidas significativas, es probable que las autoridades no hagan el esfuerzo.
Las cosas se ponen aún más difíciles cuando te enfrentas a un atacante que usa Tor para controlar una horda de computadoras comprometidas en una red de bots. Estas máquinas pueden estar en diferentes países, con diferentes leyes de privacidad y seguridad informática. Obtener acceso a los datos y / o registros en estas máquinas puede resultar ser una pesadilla burocrática.
En general, cuando las autoridades investigan los ataques, buscarán algo más que el rastro digital. Es mucho más fácil atrapar a las personas por sus acciones en los sitios de redes sociales, o por medio de rastreos en papel cuando el dinero se transfiere.
Mi consejo, si no ha perdido mucho en el ingreso, es olvidarse de perseguir al atacante y, en cambio, concentrar su tiempo / dinero en averiguar cómo ingresaron y cómo evitar que vuelva a suceder.
Ahora sería un buen momento para someterse a una revisión de seguridad. Aquí hay algunas cosas que debe verificar que se están haciendo correctamente:
- Las medidas de seguridad habituales: cambiar el puerto SSL, no iniciar sesión como root, usar certificados de cliente, imponer contraseñas seguras, etc.
- Actualizaciones (SO, paquetes de software, IDS / IPS, firewall, AV, etc.)
- Supervisión y alertas de seguridad, con registros de copia de seguridad de forma remota.
- IPS / IDS / firewall en los lugares correctos.
- La configuración DMZ entre los servicios de Internet y su red interna.
- software de AV en cualquier máquina de usuario.
- Gestión adecuada de la cuenta de usuario.
- Política de seguridad.
- Políticas de respuesta a eventos.
Será mucho más rentable enfocarse en prevenir futuros ataques que en perseguir fantasmas.