Llegamos a ustedes gracias a:



Reportajes y análisis

Conoce a tu enemigo (cibernético)

[16/01/2017] Imagine esto: La red de su empresa se enfrenta a un ataque DDoS, pero no tiene idea de quién es el responsable o cuál podría ser su motivación. Sin este conocimiento, no se puede saber si quieren dinero a cambio de detener el ataque, o si el ataque es una distracción para ocupar a su equipo de seguridad, mientras que la red está siendo penetrada y los secretos comerciales son robados.

En las consecuencias de un incumplimiento de la red también puede ser muy útil saber algo de información sobre los atacantes probables. Esto se debe a que sabiendo quienes fueron -o simplemente de dónde eran- puede ayudar a llevar a cabo un ejercicio de evaluación de los daños más preciso. Este conocimiento le puede guiar dónde buscar los signos de datos comprometidos, y qué otros aspectos específicos (tales como paquetes de exploits o troyanos que pueden haber sido dejados atrás) buscar.

Sabiendo por quién ha sido atacado también puede arrojar alguna luz sobre por qué puede que haber sido atacado, lo que buscaban y cuáles son las probables consecuencias para su negocio. Por ejemplo, un criminal cibernético común puede estar detrás de los datos que creen que pueden revender (como datos de la tarjeta de crédito del cliente), mientras que un competidor extranjero o los llamados "hackers patrocinados por el Estado" pueden estar detrás de información técnica específica.

"Si puede atribuir un ataque a un adversario en particular, puede comprender sus motivaciones, sus capacidades y su infraestructura", señala Kyle Ehmke, un analista de inteligencia de amenazas en ThreatConnect empresa de seguridad con sede en Virginia. "Si puede entender el "cómo" y el "por qué", entonces puede ser una información muy valiosa".

Tal vez lo más importante, saber quién lo ha atacado puede ayudarle a formular sus planes de seguridad del futuro y decidir la mejor manera de distribuir su presupuesto de seguridad de cara al futuro. Por ejemplo, si cree que fue víctima de un ataque dirigido y los hackers no tuvieron éxito en exfiltrar todo lo que estaban buscando, entonces puede decidir reforzar la seguridad específicamente para proteger los activos que cree son más susceptibles.

La capacidad de atribuir un ataque a un grupo en particular se vuelve aún más importante cuando se trata de grandes brechas de seguridad. Ataques como el incumplimiento de Sony en el 2014 -que el FBI lo atribuye a los piratas informáticos conectados al gobierno de Corea del Norte- pueden ser motivo de preocupación por la seguridad nacional y también pueden tener importantes repercusiones políticas.

Entonces, ¿cómo es que los expertos en seguridad identifican a los piratas informáticos y de dónde provienen?

Búsqueda en los foros

Lo primero que hay que entender es que la atribución es muy fuerte. No se puede simplemente mirar al origen aparente de un ataque, ya que es casi seguro que estará pasando al menos un proxy, tal vez en un servidor comprometido en el otro lado del mundo. O, en el caso de los ataques DDoS, el tráfico vendrá de miles de máquinas comprometidas que pueden ser parte de una botnet mundial.

También es difícil atribuir un ataque a un grupo o país en base a los mensajes dejados en los servidores o cadenas comprometidas en un idioma en particular encontrado en el código de explotación. En parte eso se debe a que los hackers tienden a compartir, comprar, copiar o robar herramientas de otros hackers, por lo que el código con una cadena de texto en ruso probablemente sea utilizado por los hackers peruanos o estudiantes de Corea del Norte. Y para todos los hackers que inadvertidamente dejan algún rastro de su actividad (como una cadena de texto en ruso) es probable que haya otro que dejará dicha información deliberadamente como una forma de distracción.

Otra cosa que es importante es que los piratas informáticos raramente se reúnen entre sí cara a cara. En su lugar, a menudo intercambian información, herramientas y datos robados en los foros de hackers -ya sea en la web o la red oscura o darknet.

Estos foros son fuentes vitales de información para los servicios policiales y especialistas en seguridad, según Christopher Ahlberg, CEO y fundador de proveedor de inteligencia de amenazas en tiempo real, Recorded Future. En su intervención en la conferencia de seguridad Black Hat Europe 2016 en Londres, Ahlberg señaló que en muchos casos la capacidad de atribuir un ataque a un determinado grupo o individuo se reduce a un "uso descuidado de identificador" en los foros de hackers.

"Veremos que alguien registra un nombre de dominio, y utiliza lo mismo en los foros de hackers, en foros de desarrolladores, en las redes sociales y así sucesivamente", anota. Cuando las maniobras (que puede ser parte de una dirección de correo electrónico) se vuelven a utilizar de esta manera se convierte en relativamente fácil calcular qué miembro del foro es, y los mensajes en el foro a menudo proporcionan información que apunta a un individuo específico (o grupo) como responsable de un corte en particular.

El problema para los expertos en seguridad como Ahlberg es que los piratas informáticos inteligentes saben acerca de las operaciones de seguridad (OPSEC), y por lo tanto saben que no deben volver a utilizar su maniobra en diferentes entornos. "Cambiarán de maniobras entre los foros, o incluso en un único foro", añade.

Identificación de patrones

¿Qué puede hacerse para superar la práctica de salto de maniobra? Una posible solución es aplicar una dosis de matemáticas y llevar a cabo un modelo de Pattern of Live o análisis de la Vida, que Wikipedia lo define como "un método de vigilancia utilizado específicamente para documentar o comprender los hábitos de un sujeto (o de muchos sujetos). Esta información puede ser potencialmente utilizada para predecir las acciones futuras por parte del sujeto observado".

De hecho, el análisis del patrón de vida puede llevarse a cabo en todos los tipos de conjuntos de datos, que van desde las estadísticas del crimen a paseos Uber, para detectar ciertos patrones de comportamiento, comenta Ahlberg. Por ejemplo, resulta que en el Día de San Valentín hay muchos viajes de Uber que comienzan a la 1 de la mañana y regresan a las 5 de la mañana, pero en la víspera este tipo de comportamiento es muy poco común. También es interesante que el momento más popular para los ladrones en Chicago es de 9 de la mañana, y los distribuidores de narcóticos están más activos durante la hora del almuerzo y por la noche.

Del mismo modo los patrones de comportamiento predecibles pueden encontrarse en el ciber crimen. La compañía de Ahlberg ejecutó un sistema automatizado que recolectó datos sobre 750 foros de hackers criminales o en la web y la darkweb que utilizan siete idiomas diferentes, incluyendo chino, ruso y árabe. Los datos sobre los 1,4 millones de maniobras fueron procesados y catalogados, con algunos resultados interesantes.

Encontraron que más del 96% de las maniobras del foro se utilizaron solo una vez, lo que indica que los grandes hackers que frecuentan estos foros son muy conscientes de la necesidad de tomar medidas para ocultar su identidad.

Pero ese no es siempre el caso, y las excepciones le dieron a Ahlberg la oportunidad de saber más acerca de los hackers y sus actividades. "Si puedo ver dos patrones (maniobras) moviéndose en sincronía, entonces podría ser que se trata de la misma persona que utiliza dos tretas diferentes, o podrían ser dos tipos que están trabajando juntos", comenta. "El truco es encontrar maniobras que muestran el comportamiento de uso similar. Mediante la identificación de 'maniobras frecuentes", podemos empezar a identificar un equipo".

Al observar el lenguaje utilizado en diferentes foros, fue posible extraer otros datos a partir de los datos capturados. Resulta que los distintos grupos de piratas informáticos funcionan a muy diferentes momentos del día o de la noche. Por ejemplo, los hackers iraníes tienden a trabajar durante el día (tal vez lo que indica que muchos de ellos son estudiantes), mientras que los piratas informáticos rusos tienden a operar por la noche (lo que sugiere que muchos tienen puestos de trabajo durante el día y llevan a cabo la ciberdelincuencia como un segundo trabajo para complementar sus ingresos).

Y los grupos de piratas informáticos que operan en los sitios de lengua rusa frecuentan estos sitios en diferentes momentos, lo que sugiere que pueden estar en diferentes zonas horarias, tal vez un grupo en Vladivostok y otro en Moscú.

Y otros patrones proporcionan a los expertos indicadores aún más fuertes de donde pueden ser los hackers. Por ejemplo, la actividad de la piratería de Rusia se cae durante la víspera de Año Nuevo (por razones obvias), mientras que la actividad de los hackers árabes rampa durante el mes del Ramadán (cuando quizás hay poco más que hacer).

Lo que está claro de todo esto es que, si bien un cierto nivel de atribución es posible, es en gran medida una ciencia inexacta: dos años después del ataque a Sony no es del todo evidente la forma en que el gobierno estadounidense puede estar seguro de que los hackers de Corea del Norte fueron los responsables.

Sin embargo, con técnicas tales como Pattern of Life, la comunidad de seguridad es cada vez más capaz de arrojar alguna luz sobre el "¿quién?" ¿y por qué?" de los ataques cibernéticos, y se trata de información que las empresas pueden aprovechar para minimizar el daño cuando las intrusiones ocurren y para ayudar a mantenerse más seguras en el futuro.