Búsca en Seguridad y Firewall


Decepticons en Pandemia COVID-19



Decepticons, los que son de la Generación X, recordaran muy bien quienes eran, la facción ficticia de formas de vida robóticas modulares con autoconfiguración mecánica del planeta Cybertron liderados por Megatron, y son los principales antagonistas de los universos ficticios de la franquicia Transformers y los cómics y dibujos animados relacionados. Sin darnos cuenta, ya en los años 80 hablábamos de Deception y Robots auto configurables.


La situación actual mundial de la pandemia del COVID-19, ha obligado a la mayoría a tener que confinarse en sus casas y hacer cuarentena de manera voluntaria u obligada, por ende, nos hemos vistos obligados a trabajar desde la casa, el virus ha cambiado la forma en que usamos Internet y el tráfico de Internet ha aumentado un 70%,  desde el punto de vista social y psicológico, todos estamos bajo un stress emocional y social que es normal de este tipo de situaciones, este cóctel, crea un panorama perfecto para los Cibercriminales, que más que nunca están tratando de aprovecharse de esta situación para conseguir sus objetivos y obtener dinero directamente o algo (información por lo general) que les permita obtenerlo. 


Los Decepticons calzan muy bien en esta “nueva” realidad, considerando que los Cibercriminales ocupan cada vez más la ingeniería social para engañarnos, sobre todo el Phishing, que según la división de delitos en Internet del FBI, son la forma más prominente de delito cibernético, como lo vengo diciendo desde hace un tiempo, hoy en día, hay que ser desconfiado, sobre todo en estos tiempos donde estamos más distraídos o desconcentrados por la pandemia, por lo tanto, si los Cibercriminales ocupan el engaño como su principal arma, ¿porque nosotros no?. Entre todas las técnicas y estrategias que hemos migrado a la Ciberseguridad, una de las que creo, tomara más importancia y lo esta haciendo, es la “Decepción” y no tiene que ver con decepcionarse (pesar causado por un engaño; un sentimiento de insatisfacción que surge cuando no se cumplen las expectativas sobre un deseo o una persona), sino que con el concepto ingles de “Deception” del ámbito militar, que se usa para describir un engaño militar o desinformación, es decir, para describir aquellas acciones ejecutadas con el objetivo de engañar a los adversarios sobre las capacidades, intenciones y operaciones de las fuerzas militares propias, promoviendo un análisis equivocado y causando que el adversario obtenga conclusiones falsas. En la doctrina militar de los Estados Unidos se usa el acrónimo MILDEC (MILitary DECeption) y en la antigua doctrina militar de la Unión Soviética y ahora de Rusia usan el término Maskirovka (en ruso: маскировка), que significan literalmente: camuflaje, ocultación, enmascaramiento.


Existen numerosas historias sobre su uso en distintas situaciones de conflicto o guerra, desde el mítico caballo de Troya usado por los aqueos como una estrategia para introducirse en la ciudad fortificada de Troya o como en la Segunda Guerra Mundial, un ejército fantasma engañó a Adolf Hitler. Un desfile itinerante de tanques inflables, cañones y aviones, en gran parte tripulados por actores y artistas, suplantó al Ejército Aliado cerca de la línea del frente. Hacer esto desvió la atención sobre las tropas estadounidenses, separando a las fuerzas alemanas y dando a los Aliados una ventaja táctica. En un capítulo de la famosa serie de televisión Vikingos vemos como Ragnar Lodbrok también utiliza una ingeniosa estrategia para entrar en París, fingir estar a punto de morir y solicitar entierro cristiano en la catedral. Una vez dentro, Ragnar sale de su ataúd para sorpresa de todos, y lo que ocurre después ya es spoiler. Este episodio sucedió en realidad, a tenor de lo que cuentan las sagas vikingas, aunque su protagonista no fue Ragnar, sino el que luego sería rey de noruega Harald Hardrada (Harald III de Noruega).

 

Figura 2: Rey Harald III de Noruega.


En nuestro blog, ya hablamos en una oportunidad de Deception hace un par de años y Nikos Tsouroulas lo explico muy bien. “Estos enfoques, nos permiten desplegar escenarios falsos que simulan infraestructuras, activos y perfiles de nuestra organización para desencaminar a un atacante hacia un entorno controlado y monitorizado, donde se le plantean nuevos desafíos y dificultades a lo largo de un árbol de ataque, diseñado específicamente en base a la naturaleza de cada organización. De esta forma se consigue dirigir los recursos de un atacante hacia una infraestructura falsa, mientras nuestros verdaderos activos se encuentran protegidos y logramos obtener inteligencia del adversario (indicadores sobre su C&C, herramientas empleadas, capacidades, motivaciones, etc.)”. 


En mi ultimo trabajo de campo, antes del apocalipsis Zombie (así lo llamo muchas veces con amigos) de la pandemia y posterior cuarentena, tuve la oportunidad de trabajar con los amigos y tecnología de CounterCraft (empresa española que Telefónica seleccionó el 2016 para invertir y apoyar su expansión) y quede alucinado respecto a lo que han avanzado este tipo de plataformas, probablemente el termino que si conocían y que es parte de este enfoque es la Honeypot, que es un “señuelo” que puede ser cualquier tecnología, muy comúnmente un servidor web, hay muchas soluciones open source que permiten realizar esto a muy bajo costo, pero Deception es un concepto más amplio que solo un señuelo. Este tipo de plataformas han evolucionado mucho, antes de 2010, solo había unas pocas empresas de ciberseguridad que ofrecían productos de Deception, hoy en día me atrevo a decir que ya existen más de 15 proveedores de tecnología de Deception.

 

 

Figura 3: Honeypot

Este tipo de soluciones pueden ser un gran acelerador para los equipos de detección y respuesta, ya que producen alertas que los departamentos de seguridad pueden aprovechar para reaccionar y responder de manera más precisa y oportuna. Frente a los nuevos desafíos de ciberseguridad a los que las empresas están expuestas durante la crisis de salud, CounterCraft ha preparado paquetes de seguridad específicos para enfrentar estos nuevos escenarios y tienen un catálogo de 25 campañas de engaño listas para usar, como phishing, exfiltración de datos, ataque SWIFT, detección de movimiento lateral, etc.


No debemos olvidar lo que hace un tiempo dijo Gartner, el engaño es simple, económico y funciona: reduce el tiempo de detección x12 y mejora el tiempo de permanencia en más del 90%. Lo que me gusta de esta solución, es que combina inteligencia avanzada recopilada por las campañas, enriquecida con MITRE ATT&CK™ y así se puede tener una visión de las principales preguntas sobre qué, quién y cómo los atacantes están actuando contra la organización y así obtener datos de amenazas, TTP e IOC de los adversarios que se pueden compartir de inmediato con soluciones de Ciberseguridad, como SIEM, SOAR, MISP, Sandbox y otros.


En última instancia, el engaño en el ámbito de ciberseguridad es un medio para mantenerse proactivo, en lugar de reactivo. Estamos tratando de hacer esta batalla más simétrica, por eso esta vez, no solo debemos apoyar a los Autobots, sino que también sumar a los Decepticons, como siempre los invito a seguirnos en redes sociales, a visitar nuestra web y nuestro Blog, para terminar, un par de citas: 


"Toda guerra se basa en el engaño" Sun Tzu.


"No es la especie más fuerte la que sobrevive, ni la más inteligente, sino la más receptiva al cambio" Charles Darwin.


Fuentes externas: Wikipedia, Gartner, CounterCraft, New York Times, Forbes. 


Gabriel Bergel 

CSA - Chief Security Ambassador 

@gbergel

[email protected]