“Si utilizas al enemigo para derrotar al enemigo, serás poderoso en cualquier lugar a donde vayas”, dice Sun Tzu, uno de los estrategas militares más brillantes en la historia. Y más de 2.500 años después de que ‘El arte de la guerra’ fuera escrito, en el campo digital esta verdad no es menos cierta. Los ciberdelincuentes todos los días avanzan, encuentran nuevas maneras de flanquear y vulnerar las murallas virtuales que las empresas construyen. Así, no solo basta con levantar las defensas, sino que además hay que aprender el enemigo, tenderles trampas, estudiarlos y de esa manera descubrir cuáles son los puntos débiles antes de su ataque.
Esto es, básicamente la tecnología deception (que en inglés significa engaño): el arte de engañar a los ciberdelincuentes.
Una encuesta realizada por la Asociación Colombiana de Ingenieros de Sistemas (ACIS) a principios de este año, encontró que al menos el 68% de los encuestados manifestó haber tenido al menos un incidente de seguridad en su empresa, aun cuando el 76% de ellos tiene asignado un presupuesto de seguridad.
Por esta razón es que se considera necesario pensar la ciberseguridad como una guerra de estrategas. Una en la que es indispensable conocer al atacante para encontrar las mejores maneras de evitar el robo de datos.
También puede interesarte: «Google estaría usando data de apps en su tienda para crear su competencia»
¿Pero cómo se aplica en un entorno real? Esta tecnología consiste en el establecimiento de objetivos falsos como técnica de defensa a los ciberataques. Lo que hace es crear miles de trampas y señuelos en la red, con información falseada que funciona como camuflaje a los datos sensibles reales. El objetivo de estos señuelos es detectar a los atacantes para obtener información sobre los objetivos y los métodos que utilizan para conseguir los datos. Además, retrasa, distrae o frustra el ataque.
Algunos tipos de Deception:
- Señuelos y honeytokens:
Lo que hacen los señuelos es alejar a los atacantes de los activos reales con archivos falsos con los que no van a interactuar los usuarios, sino que, por su naturaleza, son los que buscarían los ciberdelincuentes en la red. Los honeytokens son estos archivos falsos que, una vez el atacante interactúa de alguna manera con estos, envían una alerta de solicitudes anormales a una URL específica o a usuarios falsos.Este tipo de señuelos no son efectivos si no tienes a nadie encargado de monitorearlos en tiempo real y no ofrecen más información del atacante porque no pueden interactuar con ellos. Se podría pensar que son algo así como un sensor de movimiento. Además, si no hay señuelos para todos los archivos, los atacantes podrían acceder a la información a través de otros archivos no protegidos. - Tráfico de red falso:
Los ciberdelincuentes monitorean la red constantemente con el fin de robar información como credenciales, detalles de cuenta y contraseñas, por lo que esta categoría se concentra en crear tráfico trampa con datos falsos. Es una trampa de engaño que integra tráfico falso con datos atractivos para los ciberdelincuentes con el objetivo de desviar su atención de los datos verdaderos. - Señuelos de interacción media:
Esta es una versión más avanzada del engaño, pues el hacker interactúa directamente con sistemas, redes o servicios simulados por esta tecnología. Estos sistemas no serían visibles para los usuarios y por tanto, no podrían interactuar con estos. Estas trampas de emulación proporcionan una excelente detección y evitan las distracciones innecesarias a los empleados que no son del área de seguridad.
- Señuelos de alta interacción:Esta trampa es un sistema que requiere de recursos informáticos completos, es decir, de sistemas operativos, aplicaciones y esfuerzos en la personalización de los datos. Los atacantes pueden ser desviados hacia estas trampas directamente y ofrecen la posibilidad de registrar la actividad de los Ciberdelincuentes por períodos prolongados.Uno de los riesgos que tiene este tipo de trampas es que puede ser asumido por los atacantes y utilizado como punto de salto a otras áreas. Pero este riesgo puede ser mitigado con más trampas de emulación que permitan cortar la conexión en cualquier momento.
¿Interesado en aprender más sobre el arte de engañar a los ciberdelincuentes?
En Colombia, es la compañía de ciberseguridad ART2SEC la que ha sido pionera en la implementación de esta tecnología de engaño desde hace cuatro años como parte de su estrategia de Defensa Activa. La empresa utiliza la tecnología fabricada por TrapX para identificar las vulnerabilidades en el sistema, crear un “campo minado” con miles de trampas y desviar los ataques en cuanto son iniciados, además de utilizar su inteligencia para automatizar las respuestas a los ataques.
Dentro de las alertas que se han generado desde el Ciber Centro de Inteligencia de la compañía y que permite brindar este tipo de tecnología Deception se encuentran: el uso de la técnica de hacking de personal no autorizado, intentos de fuga de información y las credenciales comprometidas dentro de las organizaciones. Además, proporcionan una alerta de presencia de malware y/o detonantes de ransomware dentro de la infraestructura donde no se evidencian equipos comprometidos o solicitudes de rescate para su recuperación.
Si quieres conocer más sobre el concepto de Deception en la ciberseguridad, puedes inscribirte a esta charla virtual que se realizará el martes 11 de agosto a las 10:00 a.m. En el webinar se explicará la importancia de entender la ciberseguridad como una guerra de estrategas y cómo el deception permite pensar como atacante. Además, donde el engaño se convierte en una experiencia real.
Imagen destacada: Markus Spiske en Unsplash
ART2SEC es una compañía colombiana de ciberseguridad que desde hace cuatro años aplica una estrategia de defensa activa contra los cibedelincuentes. Con su metodología AAA (Astucia, Adaptabilidad y Automatización) brinda soluciones innovadoras a sus clientes para enfrentar las amenazas informáticas y a los ciberdelincuentes.
TRAPX Security es el líder mundial de soluciones de ciberseguridad avanzada y defensa informática basada en tecnología del engaño. Las soluciones de TrapX detectan rápidamente a los entornos en red y defienden de ataques tipo día cero y amenazas persistentes avanzadas (ATP) en tiempo real”. La tecnología Deception Grid de Trapx proporciona una visión automatizada, de alta precisión en el malware y la actividad maliciosa sin ser visto por otros tipos de defensa cibernética.
