En 2017 hemos sufrido momentos de la máxima tensión e impacto en nuestra vida digital. Y ha tenido diferentes nombres conocidos (WannaCry, Petya,…) y otros que han pasado desapercibidos para la mayoría de mortales como son los ataques con foco en la minería de criptomonedas o aquellos que utilizan herramientas convencionales, no especialmente sofisticadas pero sí tremendamente habituales… porque existen en los paquetes comerciales que usamos a diario. A eso se le ha dado a llamar –en inglés- ‘living off the land’ e implica que los adversarios, los atacantes, ‘viven de lo que da la tierra’, lo que ya está instalado en los sistemas objetivo como, por ejemplo, scripts, código Java o DDE (Dynamic Data Exchange) que, aunque sustituido por un hermano más potente y robusto como OLE (Object Linking and Embedding) todavía se utiliza en muchas corporaciones y es utilizado como puerta de entrada para llegar con código malicioso que, desafortunadamente, los usuarios ejecutan sin conocimiento de la (explosiva) carga que están permitiendo en el perímetro corporativo.

 

Además, ataques que no han merecido las portadas de todo el mundo (no olvidemos que WannaCry impactó en 150 países diferentes) pero que tienen un impacto inequívoco en la cuenta de explotación de una compañía han sido comunes. Se trata de aquellos que, disfrazados de un correo aparentemente urgente, corporativo, de un superior jerárquico que invita encarecidamente a realizar una transacción financiera por el bien de la compañía. A este tipo de ataques se les conoce como BEC (Business Email Compromise) –por sus siglas en inglés- y cuya traducción no deja lugar a la duda: comprometiendo el correo corporativo. Dos tercios de los asuntos de los correos en los que se basa este tipo de ataques contenían las palabras ‘Urgente’, ‘Importante’, ‘Pago’ y tienen un alto componente de ingeniería social porque apelan a la profesionalidad y a la inmediatez de una necesidad empresarial… que han supuesto más de 5.000 millones de Euros entre octubre de 2013 y diciembre de 2016.

 

Por otra parte, los ataques que se basan en la redirección del tráfico a lugares web aparentemente lícitos pero cuyo nombre de dominio tiene ‘errores’ tipográficos que pocas/os lectores notarían está en crecimiento; por ejemplo, una ‘i’ mayúscula es exactamente igual que una ‘L’ minúscula o en una dirección electrónica donde cambiemos una ‘m’ por una o dos ‘n’ es casi imperceptible. Si tenemos en cuenta que el 74% de los dominios en Internet (en TODA Internet) existen desde hace 24 horas o menos (!) encontramos un patrón de comportamiento criminal con el único objetivo de robar credenciales para tener acceso a información confidencial, tomar control del dispositivo para que pase a formar parte de una macro-red de ordenadores ‘zombie’ o, simplemente, infectar el destino para cifrar los datos y pedir un rescate.

 

Han existido, existen y existirán otro tipo de ataques dirigidos hacia infraestructuras críticas como son el suministro de energía eléctrica, de agua, las comunicaciones o la red de transporte de un país. En un entorno geopolítico de mucha tensión entre regiones (no sólo del mundo sino incluso en nuestro país), no es una locura considerar la facilidad que supone crear corrientes de opinión a través de redes sociales o incluso alterar la capacidad productiva de una de estas industrias a través de la tecnología, especialmente cuando en algunos casos se mantienen con sistemas operativos y entornos obsoletos, fuera de mantenimiento… y con mucho riesgo, en consecuencia. ¿Acaso no es cierto que si fantaseáramos con ser ‘los malos’ y quisiéramos crear disrupción real iríamos seguro a perturbar el estado de la plataforma sobre la que funciona un país?. Esto supondría una conmoción, un golpe, una demostración de cómo la tecnología –por muy virtual que nos pudiera parecer- tiene impacto real y deja huella inequívoca en la sociedad que aspiramos construir.

 

Por una parte debemos lamentar que todo esto no va a parar en 2018 aunque sí podemos predecir algunos cambios: el ransomware va a continuar aportando beneficios –y titulares- el próximo año aunque los atacantes van a virar hacia la sustracción de poder de computación, de ‘tiempo de proceso’ para realizar minería de criptomonedas. Además, existirán más ataques dirigidos a industrias, a sectores concretos como son el energético, financiero o gubernamental. Aquellos sectores que tienen mucho volumen, como el retail, por ejemplo, serán objetivo porque un ataque exitoso significa conseguir muchos millones de tarjetas de crédito y credenciales de usuarios que pueden ser vendidas en el mercado negro.

 

Afortunadamente, no todo está perdido ya que, como se titula este artículo, la defensa también evoluciona y el uso de técnicas avanzadas de Machine Learning así como técnicas y tácticas tan interesantes como ‘el arte del engaño’ o el uso de ‘cámaras de aislamiento’ supondrán que la rivalidad entre el bien y el mal, los buenos y los malos continuará. ‘El arte del engaño’ consiste, como su nombre indica, en distraer al atacante, poner anzuelos y señuelos para atraer su atención hacia un lugar en el que no hay nada realmente de interés y, sin embargo, poder conocer sus motivaciones y tener alertas fiables, reales, inmediatas; la utilización de ‘cámaras de aislamiento’ consiste en proponer una cámara de vacío donde ‘explotar’ todo el contenido de Internet y garantizar que NADA dañino llega al usuario. Nada. Este tipo de aproximación asume que todo el tráfico es sospechoso (incluso el bueno) y genera una renderización visual del contenido de manera que el usuario puede verlo… de manera segura. Esto evitaría, sin duda, el éxito de muchos de los ataques que hemos visto este año pasado y muchos de los que veremos en los próximos meses.

 

Si a las aproximaciones anteriores sumamos la necesidad de continuar adaptando y adoptando estrategias de monitorización de los datos en la nube, hacia la nube y desde la nube –para tener control de ese ángulo siempre complicado que es el Shadow IT y Shadow Data, aquella tecnología comprada, adquirida, utilizada ‘a la sombra’ del departamento de tecnología, de riesgo, de cumplimiento legal, de compras-; y, por supuesto, sin olvidar de las medidas de protección fundamentales como son el cifrado, la autenticación robusta, la protección del puesto de trabajo a través del bastionado, la necesidad de visualizar el tráfico SSL –descifrándolo- para evitar que los adversarios utilicen la opacidad de ese tráfico para ocultar cargas maliciosas, etc.

 

No sería justo finalizar estas líneas que hablan de lo que ha pasado y de lo que va a pasar sin mencionar el 25 de Mayo del año próximo, fecha en la que entrará en vigor el RGPD (Reglamento General de Protección de Datos) y que harmoniza y unifica a 28 países de la Unión en un aspecto que es crítico –y un derecho fundamental de los seres humanos-: la privacidad. La regulación menciona explícitamente, por ejemplo, una tecnología como el cifrado como una de las aproximaciones tecnológicas para proponer privacidad y protección de la información.

 

Es instrumental que nos aproximemos a todo ello desde un punto de vista holístico, global, de principio a fin. Es vital que comprendamos los diferentes ángulos y vectores de entrada/salida de la corporación para no dejar ninguna dimensión sin cubrir. Y confiando en la inteligencia global de amenazas que los diferentes proveedores de servicio obtienen fruto de su trabajo e investigación. Sólo una red global que conozca qué está pasando en algún rincón del planeta y que advierta que, potencialmente, pueda trasladarse a nuestra latitud y que actualice y comparta la información en tiempo real con sus clientes merece el calificativo de ‘socio de negocio’, de ‘amigo’, de ‘proveedor de confianza’. La habilidad de identificar, detectar, proteger, remediar y responder a ataques resulta, sin ningún lugar a dudas, una ventaja competitiva. Y es que, en estos tiempos complejos que nos ha tocado vivir, los ataques evolucionan. Pero la defensa también.