Tecnología vs. Monetización y destrucción

Siguiente

Por Tony Anscombe, Global Security Evangelist & Industry Ambassador de ESET.

La generación nacida entre 1960 y 2000 ha sido testigo de la mayor transformación tecnológica de la historia – computadoras personales, cartelería digital, Internet, redes sociales, teléfonos móviles e inteligentes, y ahora, aplicaciones e informaciones que residen en la nube.

Esta transición trajo consigo nuevos desafíos, especialmente en el campo de la seguridad informática. A fines de los años 80 y durante gran parte de los 90, los virus se convirtieron en verdaderos problemas para la industria. Fue entonces que ESET comenzó a desarrollar tecnologías para detectarlos y removerlos.

Sin embargo, a medida que los cibercriminales comenzaron a propagar amenazas de mayor impacto, la motivación detrás de ellos también cambió. Los creadores de los primeros virus diseñaban código que causaba disrupción. El objetivo era mostrar lo que podía alcanzarse.

Con la llegada del siglo 21, la motivación cambió, y vimos los primeros virus distribuidos por redes sociales robando y enviando datos personales, tales como dirección IP, correo electrónico y contactos a cuentas de e-mail anónimas.

Como ejemplo, podemos ver el virus que apuntó a usuarios del MSN Messenger de Microsoft, u otra cartelería digital en 2008. En ese caso, se dio una intersección interesante, cuando algunos de los principales sitios web utilizaron al mismo tiempo código idéntico al de los virus para rastrear usuarios con fines publicitarios.

Este foco puesto en el robo de información personal continúa. El nuevo objetivo de los cibercriminales, el uso de malware para la monetización, dio al año 2017 el nombre de “el año del ransomware”. El rédito económico sigue siendo el principal motivador en su más reciente reencarnación, coin-mining.

Esta intersección no es un caso aislado. El código es código, limpio o malicioso, su uso está limitado a las motivaciones detrás de su despliegue, y es un recordatorio de que la tecnología no puede luchar por sí misma. En cambio, las estrategias de Gestión Integral del Riesgo (IRM, por sus siglas en inglés) deben llevarse a cabo en paralelo, mirando hacia los cambios en las motivaciones y los avances tecnológicos.

En 2010, apareció Stuxnet, un malware motivado por algo más peligroso, la destrucción. El primer malware aparentemente patrocinado por el estado, permitía el continuo reporte de información operacional en óptimas condiciones, mientras que, simultáneamente, los procesos industriales destruyeron la infraestructura afectada sin razón aparente. La motivación detrás del código malicioso había vuelto a evolucionar.

En 2015, los apagones energéticos en Ucrania causados por el troyano Black Energy demostraron que el malware podría ser usado de formas solo vistas en películas de Hollywood, dejando a unas 230.000 personas a oscuras durante 6 horas. En 2016, le siguió Industroyer, que generó otro apagón masivo que duró cerca de una hora. Este ataque mostró un profundo entendimiento de los sistemas y protocolos de control industriales – algo que no representa una habilidad básica dentro del repertorio de los cibercriminales.

Existe mucha especulación sobre quién está detrás de estos enormes ataques a la infraestructura capaces de dejar a oscuras ciudades enteras. ¿Serán solo una prueba de concepto para eventos más complejos y amplios que veremos en el futuro? Los gobiernos parecen preocupados. El Departamento de Seguridad Nacional de los Estados Unidos, por ejemplo, creó el ‘Mes para la Seguridad de la Infraestructura Crítica y la Resiliencia’, el pasado noviembre (en inglés).

Si se llega a una convergencia de motivaciones hacia la destrucción y monetización a través de ciberataques, podríamos estar frente a la próxima evolución en ransomware. Los cibercriminales apuntando hacia infraestructuras críticas de edificios o campus podrían frenar las operaciones de una organización. En última instancia, una mayor conexión conlleva mayores riesgos de ser explotado.

 

¿Cuál es la relación entre todo esto y el riesgo de las enterprise y los negocios en general?

Si me preguntan cómo y dónde podemos ver el impacto de estas motivaciones en las decisiones de un partner de seguridad, apuntaría al fenómeno de apresurarse para el lanzamiento de soluciones basadas en la promesa de nuevas tecnologías, como la inteligencia artificial en ciberseguridad. Sin embargo, definir exactamente cómo podría protegernos la Inteligencia Artificial no es tan sencillo. Hemos descubierto que gran parte de los profesionales de seguridad informática no conocen realmente la diferencia entre Inteligencia Artificial y Machine Learning, el término técnico para la inteligencia basada en algoritmos que emplean los ingenieros de cibeseguridad en sus productos. En el medio, la compleja tarea de gestión integral del riesgo podría verse afectada.

Quizá tengas suerte, siendo atacado solo de manera en que los algoritmos de machine learning pueden comprender. Pero cada vez es más evidente el problema de depender únicamente de la tecnología para evitar los daños en los negocios y la infraestructura, cuando en realidad éstos solo pueden ser mitigados a través de tecnología IRM (Information Rights Management) y una relación fuerte con el proveedor. Esto ha sido demostrado por recientes impactos provenientes de ataques persistentes, apuntados y diversos.

Los estallidos de malware del estilo de WannaCryptor, si bien no apuntan directo a la infraestructura, pueden poner en pausa los sistemas de transporte y salud. Los días posteriores al ataque, un laboratorio de seguridad independiente, MRG-Effitas, puso a prueba soluciones de seguridad para ver qué productos eran capaces de bloquear el exploit de base EternalBlue. Solo tres pasaron la prueba – uno de ellos fue ESET.

Los partners de seguridad necesitan demostrar que poseen los recursos y la motivación para mirar más allá de las capacidades de las máquinas y la información utilizada para entrenarlas. Con WannaCryptor, significaba entender las causas y la motivación de raíz; con Industroyer, los métodos utilizados para atacar infraestructuras.

Imagina el escenario mencionado anteriormente, cuando se reutilizó código del virus construido para apuntar a usuarios del MSN Messenger por sitios web legítimos, en función de rastrear visitas con objetivos publicitarios. ¿Y si esto hubiera sido al revés, con malware impulsado por Machine Learning o Inteligencia Artificial? Los atacantes podrían utilizar la “buena tecnología” con fines malignos, dando paso a una nueva escala de destrucción o monetización. Para ser combatida, la amenaza debe ser comprendida.

No desesperes, ya sea como proveedor de seguridad o como cliente, debemos mirar más allá de las visiones estrechas de la tecnología y emplear un lente de gestión de riesgos integrado más amplio. Esto nos permite ver a la ciberseguridad como un panorama holístico, lleno de puntos de intersección, con otros nuevos apareciendo continuamente en el horizonte.

Recuerda, si bien la tecnología puede ayudar a las organizaciones a controlar una masiva aparición de amenazas, son los componentes guiados por humanos dentro de la ciberseguridad los que permiten que las empresas, organizaciones e individuos se beneficien constantemente y disfruten de la tecnología más segura.