Este contenido es exclusivo para nuestrros suscriptores.
Por Lucas Elmallián
El cibercrimen se ha convertido en una industria de escala global, particularmente a través de los ataques de ransomware —violaciones de seguridad en una organización en la que roban información para luego exponerla, alteran información o detienen la operativa, con el fin de pedir un rescate económico a cambio—. En entrevista con El País, el jefe de Investigación en IBM Security X-Force, John Dwyer, desde Estados Unidos afirmó que este delito se ha convertido en un ecosistema “de personas procesando tecnología” que se ha “apoderado del delito cibernético”.
A su vez —quien además colaboró con el Ejercito y la Fuerza Aérea de Estados Unidos como investigador de operaciones cibernéticas defensivas—, sostuvo que por primera vez el sector financiero no fue el más atacado, quedando debajo de la industria manufacturera. Aquí un resumen de la entrevista:
—¿Cuáles son las nuevas tendencias en ciberataques?
—Diría que en los últimos cuatro años las tendencias en ciberseguridad y el panorama de amenazas se ha mantenido prácticamente sin cambios y el ransomware sigue siendo la amenaza número uno.
Lo que ha cambiado es el nivel de oportunidades para los atacantes, debido al covid-19 y las cuarentenas, y hemos visto una rápida expansión del teletrabajo y la adopción de la nube a través de eso. Las organizaciones han tomado una superficie de ataque mucho más grande y hemos visto que los actores que representan una amenaza toman ventaja de eso. Entonces, mientras el panorama de amenazas se ha mantenido casi igual, las oportunidades para estos actores se han incrementado año a año.
—¿Cuáles son los puntos débiles que buscan los hackers para violar la seguridad de una compañía u organismo público?
—Los atacantes definitivamente se están metiendo en ciertos aspectos de la tecnología y cómo las organizaciones funcionan día a día. Diría que “puntos débiles” son palabras fuertes, pero ellos definitivamente están interesados en ciertas tecnologías y ciertos atributos de estas. Entonces, con el ransomware, sigue siendo un ataque muy centrado en Windows que aprovecha el directorio activo. Por lo tanto, los atacantes definitivamente están ingresando y siguen ingresando en las implementaciones de Microsoft Windows que usan el directorio activo (de la compañía) y eso se debe a que a los atacantes les encanta aprovechar las extensiones de privilegios y confianza, que persiste. Esto no es nada nuevo, venimos hablando sobre derechos administrativos en computadoras por 30 años. Pero lo que ha cambiado es que, lo que está en juego asociado con esa extensión excesiva de privilegios, ha aumentado drásticamente. Entonces, los atacantes van a estar siempre interesados en las cuentas de los usuarios o computadoras que tienen muchos permisos y control para hacer cosas dentro de la organización. Ellos van a querer asumir esas identidades para llevar a cabo sus ataques maliciosos.
Probablemente no sea injusto decir puntos débiles, pero creo que las configuraciones incorrectas y la extensión excesiva de privilegios son definitivamente algo en lo que los atacantes se han mantenido muy interesados.
—¿Esa es la diferencia entre implicit trust (confianza implícita) y zero trust (cero confianza)?
—Creo que el zero trust en su aplicación es una de las mejores cosas que podemos hacer desde un punto de vista de seguridad para combatir ataques modernos, ya sea ransomware u otros financieramente motivados, o incluso a nivel nacional. El zero trust en una network es el estándar de oro que todos deberían alcanzar.
Creo que lo que sucede es que hay un pequeño malentendido de lo que realmente significa el zero trust, en la forma en que se implementa en una organización y que no es algo que se pueda comprar en el mercado. Por ejemplo, ¿cuántos privilegios necesita una persona para hacer su trabajo en comparación con los que se le otorga? El zero trust es acerca de volver a perfeccionar eso para asegurarse que los usuarios y las computadoras tengan los privilegios para hacer lo que necesitan hacer. Luego, todas las actividades son inspeccionadas por algún tipo de tecnología de seguridad para verificar que ellos son quienes dicen ser y tienen permisos para hacer lo que buscan. Si hacés eso, es una forma realmente efectiva para combatir las amenazas.
—¿Cómo puede determinar la organización qué permisos requiere el usuario efectivamente?
—No es fácil y, en mi opinión, es la razón por la que tenemos una sobre extensión de privilegios, porque puede ser un desafío muy desalentador si lo mirás como un todo. Por ejemplo, ¿cómo se inspecciona y valida el alcance de los permisos para cada una de las personas, computadoras y software que están funcionando en una red a la vez? Porque esas redes solo se han hecho más grandes y se convierten en un gran problema.
Bueno, es un acercamiento, nosotros decimos en IBM que el zero trust no es algo que puedas comprar, es un viaje. Pero hay una forma lógica de hacerlo y una de las formas más fáciles de hacerlo es auditar antes de impactar. Entonces, si digo ‘vamos a comenzar de a poco y que solo queremos deshacernos de los derechos administrativos de las personas sobre sus computadoras y las tecnologías débiles que existen, pueden verificar esto y decir qué pasaría si eliminamos los privilegios de administrador desde las computadoras de todos durante 24 horas. ¿Cuántas cosas podrían detener a un usuario de ser exitoso en el día a día de su trabajo? Es un proceso y solo lo haces uno a la vez. Puedo decirlo, antes de venir a IBM trabajé en IT (Tecnologías de la Información, por sus siglas en inglés) y teníamos la directiva del CIO de implementar la lista blanca de aplicaciones para la organización Esta lista es básicamente un proceso de decirte que los administradores controlan cada programa que tiene permitido correr en una computadora. En el principio, esto parece una tarea imposible y hay muchas personas que dicen no poder hacerlo nunca, porque hay tantas aplicaciones diferentes que necesitan usar día a día y te vas a meter en la forma de hacer su trabajo.
El aeropuerto es un gran ejemplo del zero trust, pero además es un gran ejemplo en cómo vos podés aplicar mecanismos de seguridad para ver qué podría pasar. Cuando el TSA (Administración de Seguridad en el Transporte, por su sigla en inglés) en Estados Unidos decide que ellos van a hacer que cada persona se saque los zapatos, hay un proceso de evaluación que dice cuánto va a enlentecer la seguridad del aeropuerto, cuánto va a reducir el riesgo frente a cuánto podría impactar esto en la industria de las aerolíneas. Todas estas cosas son tomadas en cuenta cuando una política como esta es implementada y va en el mundo físico. Esto parece aplicarse en el mundo real y se puede hacer el mismo tipo de enfoque.
—¿Cómo ha evolucionado el ransomware?
—Hemos visto a muchos de los grupos de delitos cibernéticos que antes eran independientes unirse en torno al ransomware como industria. Entonces, lo que es gracioso para mí cuando miro los reportes que están saliendo ahora, ves dos mensajes drásticamente diferentes. Algunas personas están basadas en lo que nosotros estamos viendo, el ransomware ha evolucionado, se ha convertido en un ecosistema tan grande que es un delito cibernético democratizado. Basado en cómo nosotros analizamos a los operadores de ransomware, nosotros no hemos visto mucha innovación técnica en términos de cómo los ataques suceden, pero para llevar a cabo en una escala global el ecosistema de cibercrimen, transferencia de dinero, lavado de dinero, evasión de la ley, de políticas, no podés decir que no ha avanzado. Hay un ecosistema grande de personas procesando tecnología que se ha apoderado del mundo, apoderado del delito cibernético y eso es bastante avanzado en mi opinión.
No hemos visto que los atacantes de ransomware se vuelvan muy sofisticados en cómo ellos actualmente llevan a cabo el ataque. Pienso que ha avanzado significativamente el negocio de ransomware. Entonces, para contestarte más directamente, ¿cómo ha evolucionado? Hemos visto las piezas tecnológicas de cómo los ataques de ransomware actualmente suceden, estas se mantienen bastante estancadas. Pero donde ha sido el avance es en el ecosistema de ransomware y cómo diferentes partes están involucradas, al igual que los sindicatos criminales han trabajado juntos para crear esto, una industria multimillonaria basada en el delito cibernético.
—¿Han visto más grupos o procedencias de donde vienen los hackers?
—En nuestro Índice de Inteligencia de Amenaza escribimos sobre la esperanza de vida promedio de los grupos de ransomware. Olvidé el período temporal que es, pero básicamente nosotros hemos observado que la variante de ransomware debería aparecer por determinado tiempo y luego oscurecerse, para que luego aparezca una nueva y el ransomware debería estar activo por un tiempo, para luego desaparecer y que después vaya a aparecer uno nuevo, pero el ataque se mantiene igual. Los atacantes se mantienen. Puramente especulaciones, pero si son diferentes personas en cada momento, ¿por qué los ataques se ven iguales? Y esas son las organizaciones detrás que han diseñado una ruta de ataque que funciona para muchas organizaciones, pueden enjuagar y repetir este ataque una y otra y otra vez, y pueden intercambiar a los operadores que realmente están llevando a cabo el ataque muy fácilmente, porque es como si fuera tu primer día de trabajo y te dan tu lista de las cosas que vas a hacer. Ha llegado al punto donde según cómo el ataque de ransomware sucede, podés mirarlo, si hablás con las personas en el equipo de X-Force y le muestras un comando que fue ejecutado por un atacante de ransomware, ellos podrían decirte qué hará después ese operador, porque han visto tantos de ellos y tantos lucen similares.
—¿Cuáles son esos pasos que un atacante de ransomware va a seguir?
—Una vez que ellos ingresan en una organización, los pasos están bastante bien definidos. Ellos quieren mantener el acceso a ese ambiente. Entonces, ellos arman una puerta trasera, donde pueden volver en el momento que quieran. Luego, ellos quieren conseguir credenciales y moverse lateralmente, entonces básicamente se mueven por sistemas adicionales y tratan de adquirir contraseñas o credenciales que les permitan tener más acceso a la organización. Una vez que tienen más acceso, la mayoría de las veces se mueven a la fase de exfiltración de datos, no el 100% del tiempo pero casi siempre. Estoy seguro que escuchaste el término “doble extorsión” que salió en 2020 y sigue siendo muy común en los tiempos de ransomware. Por último, la quinta fase, después de haber exportado la información comercializada, ellos despliegan el ransomware usualmente a través del directorio activo, utilizando una cuenta de administrador y herramientas comunes que están disponibles para todos, usualmente usados por los administradores del sistema también.
—¿Cuál es la etapa en la que se puede combatir el ataque?
—Si fuese un líder de ciberseguridad, como realmente necesito pensar la seguridad en 2023, todo es acerca de manejar riesgos. La oportunidad que se nos ha dado ahora por el ransomware, que no tendremos en otro momento, hemos tenido tantos ataques que han sucedido de la misma forma, usando la misma tecnología, que permite construir una estrategia realmente robusta, que elevará la postura de ciberseguridad en una organización. Entonces, si fuese el CSO de la compañía, ¿cómo tomo decisiones inteligentemente sobre esas cinco fases de un ataque de ransomware? Una vez que el adversario pudo obtener acceso privilegiado a tu ambiente, el riesgo que tu organización asume se dispara y, en ese punto, el adversario es capaz de empezar a implementar presión en tu contra. Antes de que ellos consigan acceso privilegiado, el riesgo de tu organización va a estar en el lado bajo. Entonces, si puedo concentrarme en algo, eso sería detener que el adversario obtenga acceso privilegiado a un ambiente. ¿Cómo hacés algo así? Implementar esas ideas de zero trust y autenticación multifactor. No le voy a dar acceso privilegiado a cualquiera otra vez. No voy a dejar que computadoras se comuniquen entre sí en mi red.
—Siempre se focaliza en el usuario la responsabilidad, pero ¿cómo se ayuda desde la tecnología? ¿Se debe solo segmentar privilegios o también debe enseñarse cómo no caer en una trampa?
—Esa es una gran pregunta y algo en lo que creo que la industria en su conjunto realmente necesita pensar. Siento que este tema de conversación ha estado sucediendo durante una década. Es como si los usuarios fueran la parte más débil de su red o algo parecido suele decirse. Es la mitad. Es medio chiste. Tal vez algunas personas se lo toman en serio. Personalmente, no prescribo eso. No creo que sea responsabilidad de Joe, un contador, proteger una red y si hace click en algo lleva a que la organización sea víctima de ransomware y que, en última instancia, sea culpa suya. Personalmente no creo que sea así, por la cantidad de fallas que se necesita que sucedan desde el momento en el que hace click y el momento en el que se despliega el ransomware. Hay demasiadas oportunidades diferentes en las que la organización podría haber detectado y detenido eso. Ahora, ciertamente necesitamos entrenar a los usuarios, Eso no duele. Los usuarios pueden ser la mayor herramienta defensiva en nuestra red, pero tampoco deberíamos echarles la culpa. Entonces, ¿cuál es el enfoque que deberíamos tomar? Definitivamente deberíamos continuar haciendo ese tipo de capacitaciones de usuarios sobre phishing, tener cuidado con los sitios web, pero también como ingenieros de seguridad y líderes en seguridad, deberíamos diseñar nuestras redes para limitar el radio de explosión. Entonces, si me atrapan, si hago click en un enlace, me roban la contraseña y alguien toma control de mi máquina. En términos de lo que IBM está haciendo desde un punto de vista operativo, realmente no necesito acceso a tantas cosas. Entonces, si las cosas están diseñadas correctamente, debería ser bastante difícil para un adversario usar mi acceso para ser un riesgo real contra IBM.
—¿Qué países están detrás de los grupos de hackers? Porque se habla de Estados que financian estos grupos y luego, las herramientas desarrolladas, pasan a ser utilizadas contra empresas.
—Es una pregunta interesante. Hay mucha especulación sobre gobiernos que financian operaciones de ransomware. Pero, siendo honesto contigo, pienso que la mayor preocupación es que se trata de un problema global y no importa realmente quién está detrás del ataque de ransomware o el efecto que está teniendo el ransomware en la economía global, como en la cadena de suministro y demás. En mi opinión, especialmente en el ransomware, la importancia de su atribución es bastante baja y es bastante difícil, para empezar. Por la forma en que es el ecosistema, es realmente difícil decir quién está haciendo qué en este espacio porque está construido sobre un mapa de estaciones obvias. Entonces, si viste algo y dijiste "oh, creo que esto es X", hay mucha especulación al respecto. Hemos pivoteado o, al menos en mi mente, nos hemos alejado de la importancia de hacer atribuciones a algo en particular. Es un problema global y los operadores de ransomware pueden provenir de cualquier lado, con cualquier antecedente y estas operaciones están verdaderamente operando a escala global. Entonces, esto enfoca nuestra dirección a lo que hacemos acerca de esto, en lugar de quién lo está haciendo. Creo que obtienes más valor de esa manera.
—En esta situación global, ¿han visto cuáles son los sectores de la actividad económica que son objetivo de estos hackers?
—Diría que sí y no. El ransomware sigue siendo un ataque muy oportunista, hay muchas economías a escala en las que intentan obtener acceso a todas las organizaciones del planeta e intentan extorsionar. Al mismo tiempo, hemos visto un cambio en que, por primera vez, el año pasado la industria manufacturera fue el principal sector en el que respondimos incidentes, cuando siempre ha sido el sector financiero.
El sector financiero fue siempre el primero. Este ha cambiado el tipo de ataques, han dejado de robar tarjetas de crédito o robar información bancaria, para tomar el ransomware como industria de servicio. La cantidad de presión que puedes hacer en una fábrica es significativamente mayor por la naturaleza operativa de esas empresas. Si alguien está trabajando en la industria, que maneja una planta siderúrgica, el gerente de la planta al segundo sabe cuánto dinero va a perder si la línea de ensamblaje no se está moviendo. Así pueden cuantificar muy fácilmente y tomar una decisión de “bien. ¿pago para que esta línea de montaje vuelva a funcionar y me lleve de dos a tres días, en lugar de tener que reconstruir todas estas cosas para pedir piezas de todo el mundo, que me llevará de dos a tres semanas?”. Y así, los adversarios obviamente entendieron que tienen más éxito en ciertas industrias. Entonces, si obtienen acceso a 100 sistemas en un día determinado, parece ser más interesante perseguir a las organizaciones que se encuentran dentro de esa vertical de negocios.
—¿Cómo hacen los ciberdelincuentes para cobrar sin ser descubiertos?
—En realidad, es todo un ecosistema el que se ha encontrado. Tuve la suerte de trabajar en el grupo de trabajo de ransomware, grupo financiado por el gobierno, un grupo de diferentes organizaciones públicas y privadas que se unieron para comprender esencialmente cómo los ataques de ransomware no solo ocurren, sino también lo que sucede desde un punto de vista financiero y de cambio de dinero. Por ejemplo, el aspecto de este mapa y la forma en que sabe que el ransomware tiene éxito es que se basa en el mercado de criptomonedas y, por su naturaleza, la criptomoneda debe ser anónima. Significa que está diseñado para que tengas un valor monetario fuera de las industrias reguladas. Entonces, las pandillas de ransomware pueden intercambiar dinero en función de la poca claridad que pueden aplicar en el mercado criptográfico.
Después que el dinero pasa de una organización a una billetera digital, ese dinero pasa nuevamente a través de múltiples plataformas de intercambio de criptoactivos, múltiples billeteras diferentes, hasta que fueron tantas veces que obviamente nadie sabe dónde está saliendo del otro lado.
Hay muchas personas intentando averiguarlo, pero incluso si lo lograran, están tratando de averiguar cómo pueden implementar una política o involucrar a las fuerzas del orden público para que hagan algo al respecto. Por lo tanto, pueden salirse con la suya porque conocen la naturaleza del mercado de criptomonedas y lo fácil que es transferir dinero a través de plataformas que no están reguladas por una autoridad central.
—Ahora siempre hablamos de los criptoactivos, pero, ¿cómo era antes de que estas existieran?
—Antes del ransomware, el cibercrimen estaba bastante enfocado en robar información de tarjetas de crédito para que otras organizaciones pudieran utilizarlos o para hacer un montón de cargos fraudulentos de varias maneras diferentes. Un gran ejemplo, obtener acceso a los sistemas de punto de venta y recopilar todas las tarjetas de crédito a medida que se procesa la transacción, vender los datos de las tarjetas a otro grupo criminal o ejecutar un montón de cargos para tratar de obtenerlos,. Uno de los más famosos fue que compraban una aplicación de celular y la compraban para que el dinero fuera a esas mismas personas. Básicamente era una forma indirecta de transferir dinero para llevar a cabo delitos. Era, en gran medida, tarjetas de crédito, venta de datos, venta de contraseñas, por eso, las organizaciones que fueron objeto de delitos cibernéticos tenían que ajustarse a un perfil determinado. Tenían que tener una gran cantidad de datos de transacciones, ya sea en la web o en los sistemas de puntos de venta, y el ransomware cambió eso para decir "bien, estamos fuera del juego de la tarjeta de crédito". Ahora todo el mundo es un objetivo, desde el consultorio dental local hasta las organizaciones más grandes del mundo, todos son objetivos.
—Una vez que los hackers pasan del “lado oscuro” al “lado de la luz”, ¿cómo trabaja para una organización?
—Creo que hay programas de televisión que definitivamente les gusta romantizar la idea del hacker que se hace bueno. Quiero decir, hay una industria en sí misma que está centrada sobre esta idea y nosotros tenemos eso en X-Force. Nuestro equipo rojo de X-Force es un grupo de hackers que hackean compañías como trabajo y lo hacen con el permiso de la organización. Entonces, la seguridad ofensiva es ciertamente importante porque podemos hacer cosas defensivas tanto como queramos, pero hasta que no las pruebe intentando piratear una organización, no sabrá realmente qué tan efectivos son sus controles de seguridad defensiva. Es una muy buena manera de evaluar e identificar brechas y ahí es donde encaja la seguridad ofensiva. al igual que el hacker malo se volvió bueno, ¿cómo puede ayudar a una organización? Él puede identificar brechas en su postura de seguridad al tener éxito y decir que tuve éxito porque hizo “x”, “y” o “z”, pasó por alto sus controles de seguridad debido a “x”. Ahora la organización tiene la oportunidad de solucionarlos antes de que realmente un chico malo intente hacerlo.
—¿Entonces un “buen hacker” es un hacker con permiso?
—Sí, exactamente. Es una gran forma de decirlo.