Decepticons vs. Covid-19: la batalla definitiva

Decepticons. Los que son de la Generación X recordarán muy bien quiénes eran: en la saga Transformers, se trataba de los seres robóticos modulares con autoconfiguración mecánica del planeta Cybertron, liderados por Megatron. Sin darnos cuenta, ya en los años 80 hablábamos de Decepticons y robots autoconfigurables.

La situación actual de la pandemia del Covid-19 nos ha obligado a confinarnos en nuestras casas y, por ende, nos hemos vistos obligados a trabajar desde la casa. El virus ha cambiado la forma en que usamos Internet y el tráfico en la red ha aumentado en un 70%. Y desde el punto de vista social y psicológico, todos estamos bajo un estrés social y emocional que, por otra parte, es muy normal en este tipo de situaciones.

Este cúmulo de circunstancias se convierte en el panorama perfecto para los cibercriminales, que más que nunca están tratando de aprovecharlo para conseguir sus objetivos y obtener dinero directamente o algo (información, por lo general) que les permita obtenerlo.

¿Qué tiene que ver esto con los Decepticons?

Los Decepticons calzan muy bien en esta «nueva realidad». Considerando que los cibercriminales utilizan cada vez más la ingeniería social para engañarnos, sobre todo el phishing (que según la división de delitos en Internet del FBI es la forma más prominente de delito cibernético), hoy en día hay que ser desconfiado, sobre todo en estos tiempos en los que estamos más distraídos por la pandemia. Por lo tanto, si los cibercriminales emplean el engaño como su principal arma, ¿por qué nosotros no?

Entre todas las técnicas y estrategias que hemos adoptado en ciberseguridad, una de las que está tomando más importancia es la “decepción”, entendida no como un sentimiento de insatisfacción, sino como el concepto inglés deception. En el ámbito militar, este término se utiliza para describir aquellas acciones ejecutadas con el objetivo de engañar a los adversarios sobre las capacidades, intenciones y operaciones de las fuerzas militares propias, de forma obtengan conclusiones falsas.

En la doctrina militar de los Estados Unidos se usa el acrónimo MILDEC (MILitary DECeption) y en la antigua doctrina militar de la Unión Soviética y ahora de Rusia usan el término Maskirovka (en ruso: маскировка), que significan literalmente camuflaje, ocultación, enmascaramiento.

Algunos ejemplos históricos

Existen numerosos casos del uso de esta técnica en distintas situaciones de conflicto o guerra, como el mítico caballo de Troya, usado por los aqueos como una estrategia para introducirse en la ciudad fortificada de Troya; o como en la Segunda Guerra Mundial, cuando un ejército fantasma engañó a Adolf Hitler con un desfile itinerante de tanques, cañones y aviones (en gran parte tripulados por actores y artistas) suplantando al Ejército Aliado cerca de la línea del frente. Esto desvió la atención sobre las tropas estadounidenses, separando a las fuerzas alemanas y dando a los Aliados una ventaja táctica.

En un capítulo de la famosa serie de televisión Vikingos vemos como Ragnar Lodbrok también utiliza una ingeniosa estrategia para entrar en París, fingir estar a punto de morir y solicitar un entierro cristiano en la catedral. Una vez dentro y para sorpresa de todos, Ragnar sale de su ataúd y… lo que ocurre después ya es spoiler. Este episodio sucedió en realidad, a tenor de lo que cuentan las sagas vikingas, aunque su protagonista no fue Ragnar, sino el que luego sería Rey de Noruega, Harald Hardrada (Harald III de Noruega).

Deception y honeypot, ¿son lo mismo?

En nuestro blog ya hablamos en una ocasión sobre deception y Nikos Tsouroulas lo explicó muy bien:

“Estos enfoques nos permiten desplegar escenarios falsos que simulan infraestructuras, activos y perfiles de nuestra organización para desencaminar a un atacante hacia un entorno controlado y monitorizado, donde se le plantean nuevos desafíos y dificultades a lo largo de un árbol de ataque, diseñado específicamente en base a la naturaleza de cada organización. De esta forma se consigue dirigir los recursos de un atacante hacia una infraestructura falsa, mientras nuestros verdaderos activos se encuentran protegidos y logramos obtener inteligencia del adversario (indicadores sobre su C&C, herramientas empleadas, capacidades, motivaciones, etc.).”

En mi último trabajo de campo antes de la pandemia, tuve la oportunidad de trabajar con la tecnología de los amigos de CounterCraft (empresa española que Telefónica seleccionó en 2016 para invertir y apoyar su expansión) y me quedé alucinado con lo que había avanzado este tipo de plataformas.

Probablemente un término que sí conocían y que está muy relacionado con este enfoque es el honeypot. Se trata de un señuelo que puede utilizarse con cualquier tecnología, muy comúnmente en un servidor web. Hay muchas soluciones open source que permiten realizar esto a muy bajo coste, pero deception es un concepto más amplio que solo un señuelo.

Figura 2: Honeypot — Figura 2: *Honeypot*

Antes de 2010, sólo había unas pocas empresas de ciberseguridad que ofreciesen productos de deception, pero gracias a la gran evolución que ha experimentado este tipo de plataformas, me atrevo a decir que hoy en día ya existen más de 15 proveedores de tecnología deception.

Este tipo de soluciones pueden ser un gran acelerador para los equipos de detección y respuesta, ya que producen alertas que los departamentos de seguridad pueden aprovechar para reaccionar y responder de manera más precisa y oportuna. Frente a los nuevos desafíos de ciberseguridad a los que se enfrentan las empresas durante esta crisis sanitaria, CounterCraft ha preparado paquetes de seguridad específicos para ello y cuentan un catálogo de 25 campañas de engaño listas para usar: phishing, exfiltración de datos, ataque SWIFT, detección de movimiento lateral, etc.

Conclusiones

No debemos olvidar lo que hace un tiempo dijo Gartner: el engaño es simple y económico, aumenta 12 veces el tiempo de detección y mejora el tiempo de permanencia en más del 90%. Lo que me gusta de esta solución es que combina inteligencia avanzada, recopilada por las campañas, enriquecida con MITRE ATT&CK, de manera que se puede tener una amplia visión sobre qué, quién y cómo se está actuando contra la organización. Así podemos obtener datos de amenazas, TTP e IOC de los adversarios que se pueden compartir de inmediato con soluciones de ciberseguridad como SIEM, SOAR, MISP, Sandbox y otros.

En última instancia, he de decir que el engaño en el ámbito de ciberseguridad es un medio para mantenerse proactivo en lugar de reactivo. Estamos tratando de hacer esta batalla más simétrica, por eso esta vez no sólo debemos apoyar a los Autobots, sino también sumarnos a los Decepticons.