El último informe de Sophos X-Ops, titulado “¿For the Win? Offensive Research Contests on Criminal Forums”, se detalla cómo estos concursos tienen como objetivo principal fomentar la innovación. Cuando se analizan, las contribuciones proporcionan información valiosa sobre cómo los cibercriminales buscan superar los obstáculos de seguridad.

A lo largo del tiempo, estos concursos en foros criminales han experimentado una evolución significativa. Inicialmente, incluyeron preguntas triviales, competencias de diseño gráfico y juegos de adivinanzas. Sin embargo, en la actualidad, los foros criminales invitan a los atacantes a “presentar” artículos técnicos, acompañados de código fuente, videos y capturas de pantalla. Posteriormente, todos los usuarios del foro tienen la oportunidad de votar por el ganador del concurso. Es importante destacar que la evaluación no es completamente transparente, ya que los propietarios del foro y los patrocinadores del concurso también ejercen su voto en el proceso de selección.

Te puede interesar: Ciberataque en Colombia ¿Cuáles entidades fueron afectadas y han suspendido servicios?

“La organización y participación de estos concursos por parte de cibercriminales sugiere un objetivo comunitario de avanzar en sus tácticas y técnicas. También existe evidencia que sugiere que estas competiciones actúan como una herramienta de reclutamiento entre grupos destacados de actores de amenazas”, comentó Christopher Budd, director de investigación de amenazas de Sophos.

El informe de Sophos X-Ops examinó dos concursos anuales destacados: uno organizado por el foro de cibercriminales ruso Exploit, que ofreció un fondo total de premios de USD 80.000 al ganador en 2021, y otro llevado a cabo en el foro XSS, con un fondo de premios de USD 40,000 en 2022. A lo largo de los años, miembros destacados de la comunidad de cibercriminales han patrocinado estos eventos, incluyendo a All World Cards y Lockbit.

En ediciones más recientes, Exploit tematizó su competencia en torno a las criptomonedas, mientras que XSS amplió su concurso para abordar una variedad de temas, que incluyen la ingeniería social, vectores de ataque, evasión y propuestas de estafa. Muchas de las entradas ganadoras se centraron en el abuso de herramientas legítimas, como Cobalt Strike. Un finalista compartió un tutorial sobre cómo apuntar a las ofertas iniciales de monedas (ICO) para recaudar fondos para una nueva criptomoneda y otro explicó cómo manipular tokens de privilegio para desactivar Windows Defender.

Imagen: FotoArt-Treu vía Pixabay

Las organizaciones no pueden permitirse un enfoque puramente reactivo o pasivo como defensa, ya que los cibercriminales demuestran que cualquier puerta o bóveda se puede atravesar y que solo es cuestión de tiempo encontrar la manera de ingresar.

“Fake News” para protegernos

¿Qué pasaría si se usan las técnicas y tácticas de los cibercriminales contra ellos mismos mediante un enfoque de defensa activa, en lugar de un enfoque reactivo o pasivo? ¿Qué le parecería usar el enfoque de “fake news” o noticias falsas contra el actor de amenazas?

Según Wikipedia, una “fake news” es “información no verdadera presentada como noticia. Normalmente, con el propósito de dañar la reputación de una persona o entidad o de ganar dinero a través de ingresos publicitarios”. Todos vemos diariamente el poder de las noticias falsas y cómo podemos usarlas para influir en la mente de las personas y forzarlas a tomar una mala decisión. Si las noticias falsas son tan poderosas, usémoslas para influenciar a los atacantes a tomar una mala decisión y exponerlos, antes de que cause un enorme daño.

El concepto es básico y directo. Cuando damos noticias falsas y las personas las creen, las engañamos para que tomen el camino incorrecto y esta es la idea principal detrás de usar la cibertecnología del engaño, conocida como Deception, que hace que el atacante crea que logró acceso a datos restringidos y lo mantiene ocupado hasta que la amenaza se contenga.

Realmente, la idea no es nueva. Aquellos con una historia en el campo de la ciberseguridad, podrán recordar el concepto “honeypot”. Deception es una evolución de los honeypots. Históricamente, los honeypots requerían de mucha intervención manual, lo que mejoró considerablemente con la tecnología de Deception. La diferencia es que, con las funciones actuales, es posible automatizar varias cosas: desde alimentar el “señuelo” y mantenerlo actualizado y válido, hasta grabar lo que sucede y activar una respuesta de manera rápida y eficiente.

Los beneficios del enfoque de Deception:

• Dado que se coloca un sistema que no es válido y nadie debiera usarlo, si un atacante ingresa y muerde el anzuelo, puede estar seguro de que ocurrirá un ataque: la cantidad de falsos positivos y falsos negativos se reduce dramáticamente.
• Puede recopilar inteligencia sobre los métodos y técnicas de ataques, de modo que pueda ajustar sus sistemas de seguridad para bloquear el ataque más reciente y también el futuro.
• Los atacantes estarán ocupados durante los ciberataques al intentar obtener acceso a su sistema falso, por lo que sus sistemas reales permanecen seguros. Esto es aún más importante en entornos muy críticos como los sectores financieros o gubernamentales, educación o tecnología operativa (OT) y entornos de infraestructura crítica.

Lo anterior es tan evidente que incluso el marco de ciberseguridad MITRE lo dejó muy claro en las Tácticas de MITRE Shield (canalizar, recolectar, contener, detectar, interrumpir, facilitar, legitimar y probar) donde la tecnología de Deception se presenta en casos de uso para cada una de estas etapas. Mitre Shield definió técnicas de defensa activa para mejorar la detección de amenazas y ayudar al Centro de Operaciones de Seguridad (SOC) a desarrollar una estrategia de defensa proactiva. El enfoque principal es informar a los profesionales de la seguridad acerca de la actividad de los cibercriminales.

La detección de los ciberataques basada en las soluciones de Deception se diseñó para identificar atacantes en la red, independientemente del vector de ataque. A diferencia de otras formas de detección, la solución no requiere tiempo para conocer la red y es eficaz tras la implementación. Con Deception, el análisis de ataques y el análisis forense se vuelven mucho más procesables y poderosos, además las alertas de alta fidelidad permiten la automatización de las acciones de respuesta a incidentes como el bloqueo, la cuarentena y la búsqueda de amenazas.

También te puede interesar: 58 % ha sido víctima de ciberataques a diciembre de 2020.

En un mundo donde las probabilidades están muy inclinadas a favor de los cibercriminales; las soluciones de Deception nivelan el campo de juego. Principalmente, porque automatizan la creación de señuelos dinámicos que se encuentran dispersos por todo el entorno de TI. Debido a que los atacantes no pueden determinar cuáles activos son falsos y cuáles son reales, su ventaja de tiempo se reduce o se elimina por completo. Cuando un adversario no puede hacer esta distinción, los cibercriminales se ven obligados a perder el tiempo en activos falsos mientras informan inadvertidamente a un administrador de seguridad de su presencia.

Incluso si se dan cuenta del engaño, los atacantes deben actuar de inmediato con precaución mientras buscan detonantes incrustados en el entorno falso. Esto los obliga a modificar sus tácticas de los ciberataques de manera que aumentan las posibilidades de que el equipo de seguridad los detecte. Si está preparado para cambiar el tradicional juego del gato y el ratón, siga leyendo de qué manera FortiDeceptor de Fortinet puede crear un laberinto infinito que obligará al ratón a rendirse.

Imagen: Vía Freepik.