En el ciberespacio, el enemigo suele ser invisible. Día Cero expone cómo el anonimato complica la defensa frente a amenazas cada vez más sofisticadas
Por Ing. Claudio López, Gerente de Consultoría
Urudata Ciberseguridad
Desde hace ya unas semanas que en la plataforma Netflix se está viendo una serie titulada “Día Cero” que trata del ciberataque masivo a un país (en este caso la víctima es Estados Unidos), y de cómo se responde ante este tipo de conflicto, tan actual y de probable ocurrencia (de más está decir que ya existen casos registrados).
El título de la serie remite a los ataques que utilizan una modalidad de intrusión para la cual no existe una solución a la fecha (en otras palabras, todavía ni arrancamos a solucionarla). Evitando entrar en toda discusión sobre vacunas si/no: ¿Se acuerda del período de la pandemia que fue desde que se la decretó, hasta la fecha en que hubo finalmente un tratamiento efectivo? Bueno, en ese período el COVID-19 fue una amenaza de día cero.
Pero lo que venimos a analizar acá tiene que ver con otro fenómeno que se puede observar en esta serie que tiene como estrella al gran Robert De Niro: el de la “atribución”; proceso mediante el cual analistas intentan identificar el origen de un ciberataque o, al menos, identificar al tipo de actor de amenaza (quién lo hizo).
En la serie concretamente, de forma certera, y casi inmediata a la ocurrencia del ciberataque masivo, se menciona como actor de amenaza la muy probable participación de un “Actor Estado/Nación”
Ahora bien: ¿Qué significa esto? Trataremos de responderlo
El mundo de la cibercriminalidad es amplio, muy amplio. Por lo cual clasificarlo, agruparlo, es una tarea necesaria y nada menor. ¿Por qué? Resulta fundamental porque en medida que se lo haga de forma correcta, más personalizada y mejor será mi estrategia defensiva. También es algo extremadamente complejo, debido a un factor existente en la amenaza virtual que no se da en el mundo de la criminalidad física: el anonimato.
Si alguien dispara un arma, lo puedo ver, o en el peor de los casos podré reconstruir el escenario para poder dar con el mismo (¿Se acuerda de CSI?). Ahora, en el ciberespacio, no se visualiza el disparo, lo que se visualiza es el impacto. Y ese impacto pudo haber sido generado desde infinitas fuentes.
Las mismas herramientas que protegen nuestra intimidad al navegar en internet, son las que cubren el rastro de una ciberamenaza.
Por lo cual desde ya le aviso: olvídese de saber con certeza quién fue el que lo atacó.
Su identificación, por llamarlo de alguna manera, se efectúa esencialmente clasificándola en base a sus intenciones o a la auto atribución (“fui yo”), corriendo siempre el riesgo de ataques de falsa bandera.
¿En base a qué factores se hace esta posible identificación? ¿Al poder de fuego de la ciberamenaza? ¿A su origen? ¿A sus técnicas?
Vayamos de lo más inocente a lo más letal.
Script Kiddie (“niño que programa”) se refiere al nivel más bajo en la escala criminal (si puede identificar como tal). Trata de una persona recién iniciada que prueba herramientas obtenidas de fuentes abiertas (accesibles a cualquiera).
Estos “niños”, luego de varias pruebas, un día despiertan en el hecho de que pueden obtener algún redito de esta práctica (tanto sea dinero o el simple reconocimiento en la comunidad) y es ahí donde se presenta el primer anillo de evolución: El Lobo Solitario, individuos operando en la cibercriminalidad que ya generan algún tipo de daño (limitado) accionando de forma independiente.
Estos Lobos Solitarios, identificados en el bajo mundo por sus apodos (“aka”) comienzan a exponer sus credenciales (medallas) en foros de dark web y, como lo haría cualquier persona en busca de trabajo, esperan su oportunidad de ingresar a la Champions League de la Cibercriminalidad: unirse a grupos ya organizados, las grandes ligas.
Ahora: ¿Cuáles es la intención de este Lobo solitario?
¿Es únicamente el hacer prevalecer una idea y/o causar algún daño de imagen, y no el beneficio personal? Bien, entonces podemos catalogarlos de hacktivistas. Pero estos son la minoría.
Seguramente estos lobos busquen el mayor de los tesoros: el rédito económico. En este caso estos actores son cobijados en Sindicatos Cibercriminales: entidades con fines delictivos, extremadamente organizadas, como cualquier empresa que conocemos (o mejor aún que estas). En estas organizaciones cibercriminales (o en su más reciente denominación e-criminales, diferenciándolos del delincuente de a pie) las únicas diferencias que podríamos encontrar con un ambiente de trabajo normal es que aquí los “empleados” muy seguramente no se conozcan entre sí, y su contacto con la organización se limite únicamente a un “supervisor” que se encarga del vínculo entre criminal y el sindicato cibercriminal.
Es sabido también que, replicando lo que sucede en organizaciones criminales clásicas (del mundo físico, como carteles o mafias) los actores ciber-criminales, si bien son conscientes de que podrían estar participando de una actividad ilícita (en el mejor de los casos), desconocen la verdadera identidad de la organización la cual integran. Básico, cuanto menos se sepa mejor.
Ahora bien, hagamos una pausa aquí.
Desde hace un tiempo, estas organizaciones cibercriminales, han encontrado una ventaja estratégica en un panorama como el actual, en el cual los conflictos armados abundan: pueden operar desde estas naciones atacando a sus enemigos. De esta forma, en un contrato seguramente implícito entre nación y organización (no es necesario firmar documentos), estas se transforman en un brazo armado del estado, matando dos pájaros de un tiro: se logra cumplir con el objetivo mayor de generar ganancias financieras provenientes de actividad cibercriminal y, paralelamente, lograr el amparo del estado desde y para el cual operan (oficiando como ciber-mercenario).
Y es aquí donde se gesta la mayor de las amenazas para las naciones, los Actores Estados/Nación: organizaciones cibercriminales que, independientemente de su cometido (sea financiero u otro), actúan alineadas a intereses geopolíticos, en otras palabras, no atacan a cualquiera.
Hoy, los Actores Estados/Nación son el más temido flagelo en el ciberespacio, y sus técnicas difieren en cuanto a su naturaleza.
Las más notables de estas son las de cibercriminalidad pura (financiera o hackivista, que ya mencionamos) o la Amenaza Persistente Avanzada (APT).
Así como los sindicatos cibercriminales buscan acciones rápidas (golpear con resultados inmediatos), los APT buscan todo lo contrario: permanecer en las sombras, implementando técnicas avanzadas de sigilo y persistencia, manteniéndose en el sistema afectado por un largo período de tiempo sin ser detectado, con el único objetivo de escuchar y robar información.
Y listo, si llego hasta acá y comprendió todo, ya puede considerarse un señor analista de inteligencia de ciberamenazas.
Ahora solo le resta esperar a ver alguna noticia de algún robo de información a agencias gubernamentales, para darse vuelta y dejar a todos boquiabiertos gritando convencido a los cuatro vientos: “Uhhh, bue, muy seguramente esto sea obra de un APT”. De nada.