Boletín semanal de ciberseguridad, 27 de agosto — 2 de septiembre

Telefónica Tech    2 septiembre, 2022

Vulnerabilidad crítica en Atlassian Bitbucket Server and Data Center

La compañía Atlassian ha informado recientemente acerca de una nueva vulnerabilidad crítica que afecta a su software Bitbucket Server and Data Center y que debe parchearse de forma inmediata. La vulnerabilidad, CVE-2022-36804, ha recibido un CVSS v3 de 9.9 según el fabricante, y se trata de un fallo que permite la inyección de comandos a través de peticiones http especialmente diseñadas que derivarían en ejecución de código arbitrario.

La vulnerabilidad no requiere de una gran complejidad o de privilegios muy elevados a la hora de explotarla, ya que solo se necesitan permisos de lectura a un repositorio público o privado y tampoco se requiere de interacción con el usuario. Las versiones de Bitbucket Server and Data Center afectadas son todas entre la 6.10.17 y la 8.3.0, y se han publicado ya versiones actualizadas de la 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 y 8.3.1. Las versiones 6.X no recibirán parche alguno.

Para todos aquellos que no puedan actualizar inmediatamente su versión, se recomienda apagar los repositorios públicos. Por su parte, el investigador Max Garrett, quien descubrió la vulnerabilidad y la reportó a Atlassian, ha asegurado que publicará una prueba de concepto en 30 días, indicando además que el parche de Atlassian no debería ser muy difícil de eludir.

Más info

* * *

Intellexa ofrece un exploit 0-day para IOS y Android

Recientemente se ha filtrado un documento de la empresa de origen israelí, Intellexa, subido a redes a través del Twitter de VX-underground, en el que se observa una oferta comercial de un spyware por 8 Millones de euros.

El spyware funciona en la versión 15.4.1 de IOS y la versión 12 de Android y, al ser un 0-day, es poco probable que haya sido parcheado y no funcione en nuevas versiones de estos sistemas operativos.

Este exploit permitiría acceder de forma remota a los datos de los dispositivos impactados. El vector de infección, según indica el documento, sería un link al que es necesario acceder para que se pueda inyectar el payload en el dispositivo.

Asimismo, en la oferta se incluye un año de garantía, una plataforma para analizar los datos extraídos, así como diez tipos de infecciones concurrentes y un catálogo de otras cien infecciones exitosas a modo de ejemplo.

Más info

* * *

Uso de vulnerabilidades Log4j contra organizaciones israelíes

Microsoft ha publicado detalles de una nueva investigación realizada por su centro de inteligencia de amenazas (MSTIC) en la que se reporta la campaña de ataques del actor malicioso MuddyWater (referido como Mercury por Microsoft) contra objetivos en el estado de Israel.

De acuerdo a la investigación, este actor amenaza estaría intentando explotar la conocida vulnerabilidad Log4Shell para comprometer software sin parchear, concretamente SysAid, un programa de gestión informática, en lugar de software de VMware, como el grupo vendría haciendo de forma tradicional.

En sus ataques, MuddyWater explotaba la vulnerabilidad como vector de acceso inicial, para luego utilizar una web shell para ejecutar comandos maliciosos, crear usuarios y elevar sus privilegios a nivel de administrador, robar credenciales a través de Mimikatz, y moverse lateralmente a través de herramientas como RemCom o Windows Management Instrumentation.

Para evitar este tipo de ataques, se recomienda aplicar los parches disponibles para las vulnerabilidades Log4j desde enero de este año.

Más info

* * *

Detectadas más de 1.000 aplicaciones iOS que exponen credenciales de AWS codificadas

Investigadores del equipo Threat Hunting de Symantec han detectado cerca de 2.000 aplicaciones móviles que contienen credenciales de AWS (Amazon Web Services) codificadas.

En concreto, la mayoría de las apps (1.856) corresponden al sistema iOS, mientras que sólo 37 pertenecen a Android, de todas ellas, en el 77% se han localizado tokens de acceso válidos de AWS que podrían usarse para acceder directamente a servicios de nube privada.

Además, esos tokens de AWS válidos podrían ser utilizados por parte de un atacante para acceder a instancias en la nube donde se encuentran bases de datos de servicios activos que contienen millones de registros, incluyendo detalles de cuentas de usuario, comunicaciones internas y otros datos confidenciales, según el tipo de aplicación.

La investigación realizada por Symantec pretende poner en alerta a los desarrolladores de aplicaciones móviles a la hora de confiar en exceso o hacer uso de prácticas inseguras que exponen credenciales de AWS, lo que podría provocar que la cadena de suministro de aplicaciones móviles sea vulnerable, así como abrir la puerta a actores malintencionados a bases de datos privadas, derivando en posibles filtraciones de datos y exposición de los datos personales de los usuarios finales.

More info

* * *

Google corrige 24 vulnerabilidades en Chrome

En su última actualización, Google ha parcheado 24 vulnerabilidades, entre ellas una categorizada como de severidad crítica (CVE-2022-3038), y ha incorporado el sistema “Sanitizer”, que añade protección contra inyecciones XSS.

La gran parte de las vulnerabilidades corregidas eran relativas a fallos en la gestión de memoria, con errores del tipo use-after-free o desbordamiento de búfer que afectaban a complementos como WebUI y Screen Capture. También se han corregido varias vulnerabilidades de políticas de seguridad y errores de implementación inapropiada.

Cabe destacar que a pesar de que no haya evidencias de que estas vulnerabilidades estén siendo explotadas, hay una vulnerabilidad de carácter grave que no ha sido corregida y que afecta al portapapeles del sistema operativo a través de navegadores basados en Chromium, la cual puede ser aprovechada sin autorización ni interacción por parte del usuario.

Desde Google recomiendan actualizar el navegador a su última versión.

Más info

Un provocador estado mental llamado incertidumbre

Lluis Serra    2 septiembre, 2022

Hace semanas viví una situación personal que me hizo reflexionar y me obligó a sentarme en el «banco de la plaza» y empezar a pensar en soluciones urgentes. Era un viernes caluroso de agosto por la noche, cerca de las 12 de la noche. Había sido un día de altas temperaturas en todo el país, y me disponía a sentarme debajo de dos grandes ciruelos que hay en mi pequeño jardín y que este año no han dado los frutos esperados. En la mesa del jardín, mi portátil, un vino blanco y un paquete abierto de tabaco de pipa. Sin prisa e inmerso en mi paraíso, redacté los puntos más importantes para solucionar dicho problema. 

¿Resistir o persistir?

En medio del silencio de la noche, me surgió el dilema: ¿Resistir o persistir? En ese momento, tenía claro que resistir es no hacer nada y quedarse donde uno está. Y persistir es saber lo que está sucediendo, analizar y preguntarse qué se puede hacer al respecto.

Para la toma de esta decisión, es importante el momento que vivimos, y yo estaba en el mejor sitio para decidir. Durante unos minutos me quedé bloqueado y apareció la incertidumbre, ese provocador e increíble estado mental que surge de la nada.

Hace unos meses, había leído el libro El Arte de Persistir, del prestigioso neurocientífico y divulgador David Bueno. «Un viaje a las profundidades del cerebro para aprender a gestionar el cambio y la incertidumbre».

Solo unos instantes después decidí redactar dos documentos, uno para poder resistir y otro para poder persistir. Siempre acompañado de la incertidumbre, ese estado mental que he experimentado millones de veces durante toda mi vida y que me ayuda a pensar. No todo el mundo reacciona igual a un estado de incertidumbre.  

¿Qué significa incertidumbre?

La incertidumbre es un estado de falta de seguridad sobre el conocimiento, caracterizado por la duda.

Siempre he pensado que la incertidumbre nos empuja a saber comportarnos ante algo desconocido y que todos la necesitamos para poder tomar decisiones. A la hora de hacer frente a la incertidumbre, es importante tener en cuenta dos factores que ayudan a encontrar respuestas: el espacio y el tiempo.

Si os invade la incertidumbre, buscad un espacio físico donde os encontréis bien, donde estéis a gusto (el jardín de mi casa era perfecto para mí) y nadie os moleste, sin interferencias digitales. Y concedeos el tiempo necesario para pensar, sin prisa, para ser conscientes de lo desconocido y poder analizar las dudas que aparecen por la falta de conocimiento. 

En varias ocasiones, Maggie Jackson, escritora estadounidense, ha comentado que la incertidumbre es un regalo para el ser humano y que tenemos que aprender a utilizar sus beneficios. «La incertidumbre es maravillosa, porque nos hace pensar mejor», aunque muchas personas creen que la incertidumbre es sinónimo de debilidad.

Personalmente, no creo que sea un estado de debilidad, todo lo contrario. Y estoy totalmente de acuerdo con muchos expertos que lo definen como un trampolín hacia un pensamiento mayor, un tipo de pensamiento provocador.

La incertidumbre es ese estado absolutamente maravilloso que incita a pensar.

Pero está claro que cada uno lo vive de forma diferente. Del mismo modo que no hay dos personas iguales en el mundo, ni en su forma de pensar ni en su forma de ser, tampoco hay dos personas que hagan frente a la incertidumbre de igual manera.

Miedo y curiosidad frente a la incertidumbre

La incertidumbre provoca dos sensaciones a las que hay que enfrentarse: el miedo y la curiosidad. A muchas personas las dudas frente a lo desconocido y la falta de conocimiento les provoca miedo, esa sensación de angustia ante la presencia de un peligro real o imaginario. Ese sentimiento de desconfianza que te impulsa a creer que ocurrirá un hecho opuesto a lo que deseas. El miedo te lleva directamente a no poder pensar, a dejarlo todo tal como está y no hacer nada para llegar a un posible cambio o solución.

Sin embargo, me atrevo a pensar que a muchas personas, y me incluyo en este grupo, nos invade la sensación de curiosidad. Ese deseo de saber o averiguar una cosa. Esas ganas de salir de nuestra zona de confort para pensar, conocer, aprender y “jugar” con la incertidumbre para cambiar.

Cuando el miedo gana a la curiosidad, vas a resistir. Cuando la curiosidad gana al miedo, puedes conseguir persistir. La incertidumbre provoca sensación de nerviosismo, al contrario que la certidumbre, que nos provoca seguridad y tranquilidad.

Como muchos de vosotros, he vivido bastantes momentos de incertidumbre en mi vida. Piensas, cambias, la incertidumbre desaparece, pero te equivocas en una decisión, reaparece la incertidumbre y todo vuelve a empezar.

¿Por qué sufrimos incertidumbre? 

La época que vivimos está asociada -como todas- a momentos de incertidumbre, a situaciones que precisan cambio. La crisis sanitaria que nos azota desde hace dos largos años nos hizo replantearnos muchos aspectos de nuestras vidas, guerras que destruyen el mundo y situaciones de “escasez» que generan intranquilidad.

Son ya historia esas vidas personales y profesionales que tenían todo controlado, que vivían tranquilamente y con la seguridad de que transitaban por el camino correcto. En esta nueva realidad es importante aceptar la incertidumbre, aprender a vivir con ella y enfrentarnos a todos los cambios repentinos de dirección.

Ayer es historia, mañana es un misterio y hoy es un regalo.

De este provocador estado mental surgirán nuevas oportunidades, y tenemos que estar seguros de que necesitamos cambiar para avanzar hacia una mayor calidad de vida.

En muchos casos, el problema de algunas personas es que no son capaces de reconocer que están en un estado de incertidumbre, porque no disponen de la información necesaria para tomar una decisión. No saben detectarlo y se estresan, llegando a paralizarse durante días o semanas y pensando ya en el resultado final sin aún haber actuado.

Para poder actuar, a mi modo de ver, hay tres factores que pueden ayudarnos:

  • Vencer el miedo cambiando y aceptando el riesgo que comporta actuar de forma diferente.
  • Prepararnos para lo nuevo y las sorpresas, y así poder aprender de situaciones totalmente diferentes.
  • Ser curiosos y valientes, y llegará el momento en que asumiremos que no hay límites para la mejora.

Foto de Freepik

Bots en las redes sociales y sus retos

Jorge A. Hernández    1 septiembre, 2022

En días pasados, el enfrentamiento entre uno de los nombres más ricos del mundo, Elon Musk, y una de las redes sociales más respetadas (Twitter) puso sobre el escenario el tema de los bots en las redes sociales, pero ¿qué son y por qué están causando tanta polémica?

Definidos por la agencia de cyberseguridad de Estados Unidos como programas que pueden ser utilizados en plataformas sociales para hacer tareas útiles, y maliciosas, mientras simulan el comportamiento humano. Estos programas utilizan tecnología de punta como analítica e inteligencia artificial para esta labor: parecer ser humanos.  

Pero desgraciadamente su fama no ha sido la mejor, los bots han estado mezclados en escándalos de desinformación en temas que van desde escándalos políticos en épocas de elecciones hasta conspiraciones relacionadas con el Covid-19. Peor aún, en el caso de Twitter el 19,42% de las cuentas activas de Twitter son bots.

Pero, aunque las cifras de Twitter parecen escandalosas no es tan extraño como podría pensarse, una gran cantidad del contenido generado en social media es realizado actualmente por bots y es tema de estudio para tratar de diferenciar su comportamiento del de los seres humanos.

El caso francés

Un ejemplo concreto del uso de bots lo dieron las elecciones francesas de 2017 cuando se analizaron 16 millones de tuits, publicados por unos 2 millones de usuarios, pero de estos, el 20% eran bots que distribuyeron propaganda contra Emmanuel Macron.

Dentro de los hallazgos más destacados del estudio están la imperfección y el cambio de opiniones como un signo de humanidad. Es decir, los seres humanos tienden a cambiar su forma de pensar y a cometer errores, en el caso de los bots los comportamientos siempre son uniformes, sin grandes cambios.

Existen muchos estudios alrededor de la detección de los bots que se basan en métodos que van desde el uso de la misma información existente en las mismas redes sociales hasta la utilización de inteligencia artificial y machine learning para diferenciar entre humanos y bots. Incluso existen herramientas de acceso libre como Botometer BotSlayer y la base de datos del Bot Repository, entre otros. 

Pero los mismos bots también pueden ser usados para buenos fines como proporcionar información a los usuarios de algún servicio o empresa y ayudar a las organizaciones para proporcionar una mejor experiencia a sus clientes. Incluso se pueden usar para proporcionar información educativa, voluntariados, causas benéficas, etc.

Después de todo, los bots, y como cualquier tecnología, solo son herramientas cuyo potencial depende de las personas detrás de la tecnología y sus intenciones. Así que si algún día escucha una opinión polémica en Internet piénselo dos veces antes de responder, probablemente ni siquiera venga de un ser humano.

Imagen de rawpixel-com en Freepik

Security as a service, el lado protector de las SaaS

Jorge A. Hernández    1 septiembre, 2022

¿Le confiaría la seguridad de su empresa a otros? Hace un par de años esta pregunta causaría dos reacciones: un profundo rechazo o risa. Sin embargo, la computación en la nube y el modelo de servicios lo cambió todo. Conozca la Security as a Service (SECaaS) y por qué está creciendo.

Su nombre lo dice todo, el Security as a Service consiste en un modelo cloud en el cual se terceriza la seguridad de una empresa. Para ser más exactos es una arista del modelo de Software as a Service y moverá más de 23 mil millones de dólares para 2026.

Y es que con la migración paulatina e imparable de la infraestructura y el software empresarial hacia la nube era apenas lógico que otros segmentos, incluso críticos, siguieran esta misma tendencia.  

El SECaaS ofrece además un amplio portafolio de servicios que parte de cosas tan sencillas como administrar el antivirus de la empresa también posibilita cosas como:

  • Búsqueda de vulnerabilidades
  • Data Loss Prevention (DLP)
  • Recuperación de desastres y continuidad de negocios (BC/DR or BCDR)
  • Email Security
  • Filtros para Spam 
  • Identity and Access Management (IAM)
  • Intrusion Protection
  • Security Assessment
  • Network Security
  • Security Information and Event Management (SIEM)
  • Web Security

Con el beneficio adicional de que las empresas puedan adquirir solo los servicios que consideren necesarios para la operación de su negocio y, de paso, controlar sus gastos de acuerdo a sus prioridades, pero esto es apenas uno de los muchos beneficios del SECaaS.

Ventajas del modelo

El SECaaS tiene todas las ventajas de los modelos SaaS que empiezan por el ahorro de costos y la simplificación de las operaciones, centralizando todos los procesos de seguridad, y sus proveedores, en una sola plataforma.

Otra de las grandes ventajas radica en el talento humano, altamente especializado, que será responsabilidad del prestador de servicios y que al mismo tiempo actualizará todas las aplicaciones de forma automática.

Otro factor es el aprovisionamiento más veloz, permitiendo crecer o disminuir el tamaño de los servicios requeridos según las demandas de la empresa. Dicho de otra forma: más flexibilidad y menores costos.

Sea cual sea el proveedor SECaaS seleccionado es conveniente tener en cuenta su tamaño, reputación, certificaciones y flexibilidad, después de todo el cibercrimen sigue creciendo no solo afectando empresas, incluso gobiernos. Por ello, investigue, pregunte y compare las diferentes ofertas del mercado, seguro habrá una acorde a las necesidades de su empresa.

Imagen de pressfoto en Freepik

Inteligencia Artificial en la ficción: Autómata (2014), de Gabe Ibáñez

Santiago Morante    1 septiembre, 2022

Después de analizar Eva de Kike Maíllo, seguimos con la serie “La Inteligencia Artificial en las películas de ciencia ficción”. Hoy analizamos Autómata (2014), de Gabe Ibáñez y que protagoniza Antonio Banderas.

Esta película española nos sitúa en un futuro cercano postapocalíptico (2044) donde apenas quedan unos millones de personas en la Tierra. En esta sociedad, muchos trabajos son llevados a cabo por robots humanoides de la compañía ROC.

Jacq Vaucan (Antonio Banderas) es un agente de seguros de ROC que investiga fraudes y malfuncionamientos de los robots, cuando en una inspección rutinaria descubre que existe la posibilidad de que un robot se haya saltado sus protocolos de seguridad. En un entorno al estilo Blade-Runner, la película sigue la trama detectivesca de Jacq hasta dar con la solución al enigma.

Inteligencia Artificial funcional y realista

Sin ánimo de hacer espóiler, diremos que la película tiene un tratamiento realista de la Inteligencia Artificial hasta la mitad de la película y otro más fantástico en la última mitad.

Si nos centramos en la primera parte de la película, tenemos robots que se usan para trabajos físicos (soldadores, constructores, etc.) cuyos movimientos son lentos, ligeramente torpes y con habilidades funcionales únicamente para desarrollar sus trabajos.

La Inteligencia Artificial que tienen asociada es limitada en cuanto a interacciones sociales, y consiste básicamente en órdenes y respuestas preprogramadas. En este sentido nos encontramos con una película que trata este tema de manera muy realista y que plantea un horizonte razonable de tiempo en el que se puede conseguir.

Autómata (2014) de Gabe Ibáñez es una película que trata la Inteligencia Artificial de manera muy realista y que plantea un horizonte razonable de tiempo en el que se puede conseguir.

Los robots actuales más avanzados ya se mueven como los de la película (e incluso un poco mejor) y la interacción humano-máquina es similar a la que tenemos hoy en día con Siri o Alexa. Además, el aspecto de los robots es pragmático, duro e industrial, sin intentar asemejarse a un humano. No obstante, han contado con una asesora científica del campo de la robótica (Concha Monje) para darle esa capa de realismo:

No revelaremos qué ocurre en la segunda mitad de la película, pero si adelantamos que el tratamiento del género se vuelve menos realista y más en línea con el conjunto de películas de ciencia ficción de robots.

La Inteligencia Artificial en las películas de ciencia ficción: un patrón recurrente de fascinación y terror

Los protocolos

Bebiendo de la mejor tradición robótica clásica, como son las famosas leyes de la robótica de Asimov, la película plantea dos protocolos que son implantados de manera imborrable en los robots:

  1. Un robot no puede dañar a ninguna forma de vida
  2. Un robot no puede modificarse a sí mismo o a otros robots

Aunque estas leyes y protocolos son muy llamativos y ayudan a contextualizar las historias que se cuentan, en el mundo real no resulta tan sencillo hacer que una IA obedezca unas normas tan generales.

Los humanos, por nuestra forma de razonar, podemos valorar cada acción que hacemos en un marco definido. Por ejemplo, si alguien te dice que tienes que cuidar el planeta Tierra y ser más ecologista, tú, como humano, podrías analizar cada acción cotidiana que realizas (tirar la basura, comprar tecnología, elegir unos productos del supermercado u otros, etc.) y comparar si estás cumpliendo mejor o peor esa regla.

No se ha conseguido que las IA tengan esa capacidad y, tal y como van los desarrollos tecnológicos, para poder entender unas normas tan generales, habría que codificar, es decir, dar una respuesta adecuada, a cada una de las situaciones posibles en las que esa regla puede intervenir. Esto no es factible y limita lo que se puede conseguir en este ámbito.

En un contexto industrial, con límites definidos y comportamientos esperados, es relativamente sencillo programar un robot para que no dañe a un humano: no sobrepasar cierta velocidad de movimiento, no apretar a más de tanta fuerza con la pinza, etc.

Esto es así porque las interacciones están muy limitadas y sabemos cuáles van a ser. Sin embargo, en el mundo abierto que es un entorno urbano o rural, existen tantas situaciones imprevisibles, que no es factible esperar que una IA pueda cumplir normas tan genéricas.

La Inteligencia Artificial en la ciencia-ficción, una combinación para grandes historias

El poder de las empresas tecnológicas

Otro aspecto interesante que plantea la película es el papel de las empresas tecnológicas y el poder que tienen. En la sociedad distópica que se presenta, no parece existir ningún gobierno o, prácticamente, autoridades públicas de ningún tipo. El sistema económico-social parece un capitalismo llevado al extremo donde el poder lo acumula una empresa, ROC (Robot Organic Century), dueña de los robots.

La desigualdad extrema es imperante, por ejemplo, con una muralla que separa la ciudad, donde viven las personas que tienen trabajo, con el resto en las afueras, o con la exigencia de contar con un seguro médico a una embarazada para dejarla entrar al hospital a parir a través de la ventanilla del coche. En este contexto, la dependencia de la sociedad de los robots hace que ROC pueda controlar a las pocas fuerzas de seguridad que aparecen, a dirigir la construcción de la ciudad y su clima, o a realizar acciones ilegales sin consecuencias.

La película parece querer transmitir el mensaje de que, al existir una dependencia tan grande de la tecnología, se está cediendo poder a quién a la controla. Desde luego es un tema que merece un debate.

Valoración

Autómata es una buena película que destaca por su realismo tecnológico y por prever las consecuencias de un capitalismo tecnológico sin límites.

Con el objetivo de poder hacer un ranking de películas y series en el futuro, vamos a valorar el grado de realismo de cada tecnología presentada, mediante una escala (sobre 5):

  • Inteligencia artificial: 4,5/5
  • Robótica: 5/5
  • Otras tecnologías: 4,5/5

Resultado:  4,6/5 de realismo tecnológico.

¿Dónde ver la película Autómata, de Gabe Ibáñez?

Autómata está disponible de manera completamente gratuita a través del portal RTVE Play.

El gran salto de las pymes en ciberseguridad

Víctor Deutsch    1 septiembre, 2022

El pasado 2 de agosto se publicó en el BOE la segunda convocatoria para solicitar las ayudas correspondientes al Programa Kit Digital, en este caso dirigidas a las empresas de entre 3 y menos de 10 empleados.

También se espera en pocas semanas el lanzamiento del programa UNICO-Bono Pymes, para facilitar el acceso de las empresas de menos de 50 empleados a servicios de conectividad de banda ancha. Estas ayudas están orientadas a acelerar la transformación digital de las pymes en España, subvencionando totalmente la contratación de algunos servicios digitales durante un año.

Soluciones de ciberseguridad para pymes

Tanto el Programa Kit Digital como UNICO-Bono Pyme incluyen algunas soluciones de ciberseguridad para pymes, que permiten reducir los riesgos más comunes que se pueden encontrar: descargas de virus, correo malicioso e intrusiones en sus redes internas.

Podría parecer que la medida tiende a favorecer la concienciación de las pequeñas y medianas empresas en la materia. Que al utilizar la tecnología y superar ataques, las pymes serán más conscientes e invertirán recursos en ciberseguridad de forma permanente. En mi opinión, hay otro efecto mucho más importante.

En el libro “Ciberseguridad para directivos” (Editorial LID) cito el estudio realizado por Telefónica entre 1200 pymes encuestadas, que permite extraer algunas conclusiones importantes:

  • Una de cada cinco entidades afectadas ha perdido información importante.
  • Una de cada tres ha sufrido perjuicios económicos o realizado una inversión adicional para subsanar la situación.
  • Más de la mitad de esos ciberataques se dirigen a compañías de menos de diez empleados.

El informe Escudos 2021, de la agencia española Exsel, corrobora dichos datos. Por ello, a partir de esto es lógico plantearse la hipótesis de que hay una adecuada conciencia en las pymes españolas ante los riesgos de ciberseguridad.

Conexión Segura Empresas

La confirmación de la misma se dio por medio del éxito del servicio Conexión Segura Empresas de Telefónica, desarrollado conjuntamente con McAfee y Allot, que en un año captó más de 27.000 pymes suscriptoras, tan rápidamente que obligó a duplicar la infraestructura necesaria mucho más rápidamente de lo previsto.

Actualmente, la planta ronda las 50.000 empresas suscritas, sobre un total de 550.000 pequeñas y medianas empresas en España de tres o más empleados.

¿Cuál es el entonces el problema de las pymes? Si analizamos las características de Conexión Segura Empresas, podemos encontrar la respuesta:

  • Protección de los principales vectores de ataque: navegación web desde los puestos de oficina, desde los terminales (incluyendo móviles) y desde cualquier dispositivo no registrado conectado a la wifi del cliente.
  • Sin infraestructura en casa de cliente.
  • Sin inversión inicial y una cuota de suscripción muy asequible.
  • Parámetros autoconfigurables por la empresa.

Ciberseguridad adaptada a las necesidades de las pymes

En síntesis, lo que faltaba no era concienciación, sino una solución que se adaptara a las necesidades y posibilidades presupuestarias de las pymes. Entonces, ¿cuál puede ser el efecto de inyectar más dinero en forma de ayudas para que las pymes sufraguen sus costes de ciberseguridad?

El principal efecto debería ocurrir en la industria TIC. Las soluciones para pymes se hacen accesibles económicamente a través de las “infraestructuras compartidas”. Es decir, que cada empresa no está obligada a comprar sus propias soluciones de hardware o software de ciberseguridad, sino a suscribirse a un servicio que comparten miles de entidades, ganando economías de escala en las plataformas, los recursos humanos que las operan y los consumos en general (electricidad, espacio de centro de datos, etc).

Debido a esto, cuantas más pymes se suscriban a servicios de ciberseguridad compartidos, más bajarán los costes medios y se podrán sumar más empresas que hasta el momento no podían sufragar estos servicios. Por el contrario, cuanto más bajen los servicios básicos, se podrán incluir en las plataformas de ciberseguridad servicios para proteger a los clientes con necesidades más avanzadas o de amenazas menos frecuentes.

Tu Empresa Segura

Es lo que ya está ocurriendo con productos como Tu Empresa Segura que, a las funcionalidades de Conexión Segura Empresas, agrega algunas adicionales como la protección de sitios web y correo electrónico con dominio de empresa y una atención más personalizada. Esto va a pasar masivamente en toda la industria TIC.

Una vez alcanzado un nuevo nivel de “masa crítica”, con cientos de miles de nuevas pymes protegidas con soluciones subvencionadas por Fondos Europeos, será difícil volver atrás. Las mayores economías de escala reducirán todavía más los costes medios y las empresas podrán hacer ofertas o paquetes muy competitivos para que las pymes puedan seguir pagándolos porque -como dijimos- saben que necesitan esos servicios mientras puedan pagarlos.

Eso sí, las empresas de servicios TIC tendrán que dimensionarse para atender este mayor volumen de clientes e invertir en infraestructura y recursos para un parque de pymes que esté 100% protegido de las amenazas más comunes en general. Y eso redundará en una mejor seguridad para todas las empresas y organismos públicos, dada la gran integración de las cadenas logísticas y de los procedimientos administrativos y fiscales. Es mucho mejor y más seguro subvencionar la demanda que la oferta.

Ciberseguridad y red ferroviaria, puntos en común

En definitiva, es algo similar a lo que ocurrió con el ferrocarril en España a principios del siglo XX. A pesar de ser una de las redes de más rápido crecimiento y de mayor extensión de Europa, su grado de utilización era de los más bajos, comparable solo al de los países nórdicos.

El problema era que muchas regiones carecían de actividad económica suficiente para llenar la capacidad ferroviaria disponible. Por supuesto, las redes se tuvieron que subvencionar durante muchos años, con un alto coste para la hacienda española. Fue un error.

La solución no llegó por la vía de subvencionar la red, sino que fue el crecimiento de las regiones menos desarrolladas lo que trajo el equilibrio. En la medida en que otras políticas de “armonización” o “cohesión” fueron desarrollándolas, la utilización de la red comenzó a aumentar. Como se dice en este artículo de Alfonso Herrranz Loncan, “sin duda fue una infraestructura esencial, que redujo espectacularmente los costes de transporte interior, haciendo posible la integración económica del país y la especialización productiva de sus territorios”.  

Un efecto parecido se puede lograr si protegemos a nuestras pymes, desde el punto de vista de la ciberseguridad.

Foto de Freepik

El liderazgo de la automatización, ¿a quién corresponde?

Ignacio G.R. Gavilán    1 septiembre, 2022

Uno de los imperativos que trae consigo la revolución digital es el de la automatización de procesos y actividades. Esta se ha convertido en una necesidad estratégica para las compañías. Por ello es importante decidir a quién corresponde el liderazgo de la automatización

Una necesidad estratégica y competitiva

La automatización se percibe como una necesidad estratégica y competitiva. Se ve como la obligación de conseguir mayor velocidad, eficiencia, escalabilidad y calidad en los procesos de una compañía para intentar superar o, como mínimo, igualar a sus competidores. Impacta en su llegada al mercado y en su relación con clientes y proveedores,

Soluciones y tendencias que potencian la automatización

Al acervo tradicional de soluciones de automatización de procesos se suman ahora otras novedosas, que la potencian.

Así, a los sistemas empresariales del tipo ERP (Enterprise Resource Planning), CRM (Customer Relationship Management) y SCM (Supply Chain Management) o a las soluciones de proceso como BPMS (Business Process Management Systems) o Case Management, se añaden otras, con frecuencia dotadas de inteligencia artificial. Entre ellas, los robots RPA (Robotic Process Automation), los agentes conversacionales (chatbots, voicebots, agentes virtuales…) o los evolucionados iBPMS (Intelligent BPMS).

Además, dos tendencias reman a favor de la automatización masiva.

Por un lado, el apalancamiento en la nube, con la disponibilidad tanto de servicios a modo de elementos constructivos como de soluciones SaaS (Software as a Service), que proporcionan aplicaciones completas. Y, por otro, la creciente disponibilidad de plataformas de desarrollo ‘Low code’. Estas simplifican la construcción de soluciones de automatización y las ponen al alcance de perfiles profesionales con menor formación técnica.

¿Qué área debe encargarse del liderazgo de la automatización?

Si aceptamos que la automatización a gran escala es un imperativo estratégico, surge a veces el debate de quién debe liderarla.

Opciones básicas y pros y contras de cada una

Existen dos opciones básicas:

  • Liderazgo por parte de las áreas de tecnología (TI, Sistemas…).
  • Liderazgo por parte del negocio, entendiendo por negocio casi cualquier área que no sea tecnología (ventas, marketing, finanzas, recursos humanos, etc.), aunque con tendencia a referirnos a las áreas comerciales.

El liderazgo por parte de las áreas tecnológicas garantiza el dominio sobre la forma de llevar a cabo este tipo de proyectos y el conocimiento de la realidad técnica de la compañía y las opciones del mercado. Además, asegura una solución arquitectónica razonable y el mantenimiento de lo implantado.

Existe el riesgo, sin embargo, de una posible adopción de la tecnología por sí misma, por su atractivo y modernidad, quizá desconectada de las prioridades del negocio.

En cambio, el liderazgo por parte del negocio aporta como ventaja precisamente ese alineamiento de la iniciativa de automatización con las necesidades reales de la compañía y con sus objetivos estratégicos. Pero se corre el riesgo de una eventual fragmentación de la iniciativa (ya que, en realidad, áreas de negocio hay muchas). Y también de ignorar la arquitectura técnica existente en la compañía o el gobierno establecido de la tecnología y los sistemas. Todo ello puede crear graves problemas de estabilidad, mantenimiento e incluso coste, y dar lugar a lo que se conoce como ‘deuda técnica’.

En mi percepción, el discurso dominante en informes, artículos, posts, eventos, etc., muestra una clara apuesta por el liderazgo por parte del negocio, pero la realidad de las compañías apunta a un peso mayor de las áreas de tecnología.

Liderazgo de la automatización desde una unidad específica

Existe una tercera vía que consiste en la creación de una unidad específica para gestionar la automatización o, más frecuentemente, toda la transformación digital en su conjunto. Se trataría de una unidad que no es totalmente negocio (aunque se encuentre organizativamente más cercana a él) ni completamente técnica (aunque exhibe mayor conocimiento técnico que el habitual en una unidad de negocio). Esta opción tiene sentido cuando la iniciativa de automatización es ambiciosa, transformadora y se estima que su ejecución se va a extender en el tiempo al menos dos o tres años.

La figura del Chief Automation Officer

Pensando en esa tercera vía, hay quien apuesta por la creación de un cargo ejecutivo específico para liderar la automatización. Así, hace unas semanas se publicaba en Forbes el artículo titulado ‘Chief Automation Officers are the answer … but what is the question?’.

Hablar de un directivo CxO tiene implicaciones. Podemos estar hablando de un CEO, en cuyo caso nos referimos al máximo nivel ejecutivo, el equivalente en España a un consejero delegado o presidente ejecutivo. El resto de CxO, por ejemplo un CIO (Chief Information Officer) o un CMO (Chief Marketing Officer) suelen hacer mención al segundo nivel directivo, aquellos que reportan directamente al CEO y forman parte del Comité de dirección. En él se sigue la actividad general de la compañía (ventas, operaciones, recursos humanos, finanzas, etc.) y se adoptan todo tipo de decisiones (presupuesto, porfolio de productos y servicios, inversiones, contrataciones, etc.). En ese marco debemos valorar la eventual necesidad de un CAO (Chief Automation Officer).

Mi visión personal

Parto de que  influyen las circunstancias de cada compañía y, sobre todo, que es más importante una buena implementación de aquello que decidamos que la receta específica que sigamos.

Dicho esto, empiezo por lo relativo al cargo que debe dirigir la automatización.

Me parece evidente que si la automatización se realiza de forma masiva y como una iniciativa estratégica debe tener al frente a un mando o directivo con capacidad real de liderazgo y con experiencia. Y este debe tener interlocución real con los más altos niveles ejecutivos de la compañía.

Sin embargo, no veo claro que deba ser un ejecutivo de nivel C, al menos en empresas de cierto tamaño. Y es que creo que la perspectiva de un ejecutivo C es muy amplia, casi generalista. Tiene responsabilidades operativas, financieras y estratégicas de todo tipo, mientras que el ámbito del responsable de la automatización está mucho más enfocado y tiene orientación a proyecto.

Si, a pesar de todo, se considera importante que el responsable de la automatización se siente en el Comité de dirección, optaría por la fórmula de  un cargo que abarcase no solo la automatización, sino toda la transformación digital.

Respecto a qué área debe liderar la transformación, me decantaría por la tercera vía: una organización específica para gestionar la automatización. Y, al igual que con el cargo, creo que podría – y seguramente debería- abarcar no solo la automatización, sino la transformación digital en su conjunto.

Los conocimientos y actitudes, clave

En cualquier caso, creo que los conocimientos y las actitudes son más importantes que la ubicación organizativa. Se necesita una visión dual que aúne -con el mismo grado de importancia, diría- tanto los aspectos de negocio como los técnicos. Debe conocer y respetar ambas perspectivas y tener una clara mentalidad de proyecto y orientación a resultados.

En ese sentido, puede tener mucho más peso la persona elegida que el modelo teórico adoptado.

Imagen: Unplash

Los retos de Recursos Humanos para el último cuatrimestre del año

Raúl Salgado    31 agosto, 2022

Septiembre tiene sus semejanzas con enero. No es el comienzo de un nuevo año, pero sí de un curso académico y del último cuatrimestre para cuadrar las cuentas y cumplir objetivos en el ámbito laboral. Y es un mes propicio para plantearse retos en los terrenos personal y empresarial.

En este contexto, muchas compañías proyectan sus objetivos y se marcan metas, para cuya consecución resulta determinante el trabajo de los departamentos de Recursos Humanos.

El desarrollo de planes de teletrabajo para ahorrar energía, la gestión de los empleados para impulsar el cambio organizacional, el control horario, el rediseño de las oficinas para fomentar la flexibilidad y creatividad, la mejora de las medidas para captar y retener el talento, etc. son algunos de ellos.

Los retos de Recursos Humanos dependen de la situación y sector de actividad de cada empresa. Son numerosos y muchos de ellos no resultan nada novedosos.

Ahora bien, a nivel más general, conviene tener en cuenta nuestra compleja coyuntura macroeconómica, caracterizada principalmente por una inflación desbordada, que encarece la financiación de las empresas, dispara los costes energéticos, de producción, logística y salarios; y, por otro lado, enfría la demanda.

Una estanflación preocupante

“Muy previsiblemente, este último cuatrimestre de 2022 originará un incremento significativo del desempleo, debido a las políticas de contención de costes para minimizar el impacto de la estanflación -que se extenderá hasta bastante avanzado 2023- y por la finalización de la temporada turística”.

Todo ello afectará también a las políticas de recursos humanos, con el fin de ayudar a sus organizaciones a equilibrar sus cuentas de resultados y conseguir sus objetivos de rentabilidad y competitividad. Al menos, en opinión de Antonio Peñalver, socio de People First Consulting, quien considera que se tratarán de contener y flexibilizar los gastos de capital humano.

Medidas de Recursos Humanos para contener el gasto

El también escritor y conferenciante detalla las siguientes líneas de actuación:

  • Inicio o aceleración de procesos downsizing, es decir, disminuir el tamaño de la plantilla en la medida de lo posible, para ahorrar en costes de personal.
  • Intentos de contener e incluso reducir las masas salariales, ajustando la retribución variable de los empleados a los resultados de las organizaciones, que en muchos casos no podrán cumplir los objetivos que tenían planteados a principios del ejercicio. Y también tratar de ligar los incrementos salariales más al desempeño y productividad y menos al IPC.
  • Desde esta última perspectiva, Peñalver piensa que las organizaciones que puedan van a intentar renegociar sus convenios y acuerdos para que los salarios no aumenten en la misma proporción que el índice de precios. Desde luego, “los profesionales cuyas condiciones salariales estén por encima de los convenios seguramente no verán incrementados sus salarios en la misma línea que el IPC”, pronostica.
  • Reducción de las jornadas laborales en las oficinas, a través del fomento de prácticas de trabajo híbrido o de teletrabajo, para reducir el consumo energético en los centros de trabajo y así lograr ahorros en las facturas. Este reto cobra especial relevancia en un momento como el actual, después de que el Gobierno haya convalidado el decreto de ahorro energético que, entre otras medidas, limita el aire acondicionado a los 27º en verano (salvo excepciones) y la calefacción por encima de 19º en invierno.

“Ya se apreciaba un retorno relevante de los trabajadores a las oficinas un par de días o tres a la semana, pero esta coyuntura de incremento de los costes energéticos seguirá potenciando la reducción, o al menos contención, de la asistencia al trabajo, ajustándola todo lo posible a jornadas de asistencia física más cortas”.

Menor hincapié en el desarrollo de las personas

¿Quiere decir esto que se verán afectadas otras políticas de recursos humanos centradas en el desarrollo y compromiso de las personas? Peñalver cree que las organizaciones más maduras y con mayores posibilidades de obtener economías de escala seguirán intentando generar una buena experiencia de los empleados que los impulse a sacar su máximo potencial y obtener altos niveles de rendimiento.

Sin embargo, el socio de People First Consulting advierte de que otras empresas con menos madurez en la gestión de personas y con dificultades se focalizarán mayoritariamente en el desarrollo de medidas para ajustar y reducir sus costes.

Asimismo, asegura que todas las organizaciones continuarán con el reto de cubrir las carencias técnico-operativas que ya comienzan a sufrir por las jubilaciones o salidas incentivadas de sus primeros baby boomers, así como por los avances y cambios tecnológicos y digitales.

Por ello, “será muy difícil que las empresas que realmente quieran ser competitivas reduzcan sus inversiones en reskilling y upskilling, al menos en los aspectos técnicos”, concluye.

Foto de Freepik

Noticias fantásTICas de agosto

Mercedes Núñez    31 agosto, 2022

El próximo 15 de octubre se cumplirán tres años y medio del incendio de Notre Dame y de que viéramos caer la aguja de la catedral parisina. Recuerdo que escribí un post sobre Blade runner y nuestro mundo en el que mezclaba, sin que nada desentonara, noticias del momento con el icónico monólogo de Roy Batty, “Lágrimas en la lluvia”. Mencionaba ya entonces atascos en la cima del mundo…

Pues bien, tras el paréntesis de la pandemia, el K2 se ha convertido en atracción turística hasta tal punto que recientemente registraba en un día casi la mitad de ascensos que en toda la historia. De ahí que veamos surgir medidas preventivas contra los “pseudomontañeros”. El alcalde de Saint-Gervais-les-Bains ha impuesto que los escaladores del Mont Blanc tengan que dejar un depósito de 15.000 euros por “rescate y funeral”.

Quienes se acerquen al árbol más alto del mundo, Hyperionm, en el Parque Nacional Redwood (California) también podrían enfrentarse a seis meses de cárcel y 15.000 euros de multa.

Y es que el hecho de que se haya convertido en objeto de deseo a través de las redes sociales pone en peligro su supervivencia. Paradójicamente, sus 115 metros de altura no se aprecian precisamente bien de cerca.

“Abejas as a service

A estas alturas cualquier medida para proteger la naturaleza se entiende y es bienvenida. Pensemos que ya se alquilan abejas -cada vez quedan menos- para polinizar los campos españoles.

Pero si hay quien se acerca al árbol gigante para hacerse la foto, no falta quien se embarca en un megacrucero para disfrutar de su simulador de piscinas con olas… Eso sí, el Anthem of the Seas no es un buque cualquiera, está considerado “el barco del futuro” y lo cierto es que ha sido diseñado para convertirse en sí mismo en el destino.

Entre otras cosas, incorpora camarotes con balcones virtuales y máquinas biónicas que agitan y sirven los cócteles. No será igual que Isaac, el camarero de «Vacaciones en el mar» pero ¿recordáis que hace un par de meses escribíamos de robots en la hostelería ?

CyberOne, two, three… y la necrorrobótica

1,77 centímetros de altura, 52 kg de peso, una “cara” capaz de mostrar hasta 45 tipos de emociones, 13 articulaciones y precisión en sus manos mecánicas para sostener una flor: así es el robot humanoide de Xiaomi. Viéndolo en acción, uno piensa que a CyberOne aún le queda un CyberTwo y un CyberThree… pero qué duda cabe de que es un hito.

Como el de la necrorrobótica en el campo de la robótica blanda, capaz de convertir cadáveres de arañas en pinzas mecánicas.

Este mes me ha llamado también la atención el tren chino, en pruebas, que flota sin usar electricidad. Utiliza potentes imanes fabricados con metales raros e inteligencia artificial para mejorar la conducción y la seguridad.

El colchón inteligente, ¿nuestro mejor amigo?

Bullet train” precisamente ha sido una de las pelis de éxito de agosto en las carteleras. Un mes en el que mucha gente ha ido al cine por librarse un rato del calor asfixiante. Por eso no sorprende que este verano se haya disparado el «Airbnb de las piscinas privadas». Ni que la industria haya intensificado su apuesta por la «ropa refrigerante». De hecho, el colchón inteligente, capaz de enfriar el cuerpo y ayudar a dormir más y mejor, podría convertirse en nuestro nuevo mejor amigo.

Y, hablando de dormir, nos llegaron noticias de que la siesta se ha convertido en «asignatura obligatoria» en China, nuestras castañuelas repiquetean con más fuerza que nunca en Japón y desde Canadá demandan botijos.

¡Ojo! que hasta la horchata se ha convertido, por sus propiedades cardiovasculares y digestivas, en la bebida que la NASA recomienda en los viajes al espacio.

Por cierto, ¿sabíais que, al parecer, la Tierra se acelera y gira cada vez más rápido? Las noticias fantasTICas de septiembre prometen…

Imagen: Frayle

DGA o no DGA, esa es la cuestión

David García    31 agosto, 2022

El malware. El malware no cambia nunca, pero evoluciona. Solo tenemos que meternos en la piel de un creador de malware y los problemas a nivel técnico que tiene generar un buen ejemplar con una infraestructura que perdure y resistente a los cambios.

En primer lugar, supongamos que sí que tenemos un buen ejemplar para cifrar archivos y pedir un rescate o exfiltrar información interesante que podemos vender a un tercero. ¿Infectamos sin más y dejamos que nuestra criatura se las apañe sola en un mundo que le es hostil? En el amanecer de la economía del malware no había otra forma. Se liberaba el ejemplar y este ya traía de casa la lista de tareas a llevar a cabo cuando la infección se producía. Si el creador se equivocaba o algún laboratorio pillaba pronto al espécimen ahí se quedaba el intento.

No había forma de decirle al programa que se actualizase, que parase o que dejase de infectar. Por lo tanto, del mismo modo que los programas honestos que, se actualizan, parchean o recuperan su configuración, el malware no iba a ser menos y se fue montando una arquitectura distribuida para rentabilizar las infecciones.

Vale. Hacemos que el malware se actualice, ejecute órdenes y nos deje beneficios. Para ello, disponemos de una miríada de medios a nuestro alcance. Basta con abrir un canal de comunicación y usarlo. Mensajería instantánea, IRC e incluso redes sociales comunes a través de mensajes escondidos o cifrados e incluso incrustados en fotos.

Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso

El problema

Y aquí viene el problema. Cuando quieres unir dos partes: malware <-> centro de mando y control, son dos granos de arena en un desierto virtualmente infinito. Necesitas que el malware “sepa” donde encontrar su centro de mando y control. También como C&C. Por cierto, como muchos otros acrónimos tomados de ese campo, el C2, C&C o centro de mando y control viene del argot militar. Concretamente, un C&C puede encontrarse en los buques de guerra. Es una sala donde se concentra todo lo relacionado con la adquisición de información, toma de decisiones y ejecución de órdenes relacionadas con la defensa.

Esto se hace, naturalmente, a través de dominios, que son una de las piedras maestras que sostienen Internet. Evidentemente, también puedes hacerlo con direcciones IP directamente, pero conlleva tantos inconvenientes implícitos que es un descarte inmediato.

Parece que hemos solucionado nuestro problema. Nuestro malware portará unos cuantos dominios donde podrá rescatar su configuración y otros activos necesarios para su funcionamiento. Nada de eso. Lo primero que hará un laboratorio es analizar el malware tan pronto como llegue a sus placas de Petri y los dominios saldrán a la luz. Serán rápidamente bloqueados o “sinkholeados”. Un sinkholing es la toma de control de un dominio por parte de la autoridad o un laboratorio para impedir su uso como infraestructura del cibercrimen y redirigir la resolución de dicho dominio a una dirección inocua. Es como interceptar las comunicaciones a una banda de atracadores que está en plena faena.

Si el malware no puede retomar el contacto con su C2 se las verá solo y sin ayuda para transitar por la vida y acabará en ese lugar en el que tienen sus pesadillas todos los virus de este mundo cuando duermen durante la suspensión del sistema operativo: la carpeta de cuarentena del antivirus.

Así, los atacantes intentan que los dominios no se encuentren de forma tan explícita en nuestro malware. En lugar de ello, intentan que se generen de forma más o menos aleatoria. Todos los días, por ejemplo, se van a generar 20-25 dominios y el malware observará cuál de ellos ha sido activado. Si da con alguno, ahí está el ansiado C2 y podrá seguir en contacto con el agente infiltrado.

DGA, un algoritmo que genera dominios

A esto, y hemos hablado alguna que otra vez en este blog, lo denominamos DGA o Generador de Dominios Aleatorios. La idea es exactamente la que hemos contado. Un algoritmo que genera dominios. Si ese algoritmo se ejecuta a una hora determinada escupe unos cuantos dominios y ahí tenemos una ventana para registrarlos y contactar con el malware.

Aquí tenemos una vista parcial de una función encargada de generar dominios. Como casi siempre, en todos los algoritmos de este tipo, tenemos el parámetro fijo “date” (la fecha actual), que servirá como punto fijo o eje sobre el que pivotará el algoritmo para que tanto el malware como los creadores de este puedan generar los mismos dominios. Dado que es un parámetro dinámico pero conocido por ambos, el resultado de la ejecución será idéntico para ambas partes.

En la imagen abajo tenemos una lista parcial de dominios DGA generados. Como podemos ver, parecen sacados de una trituradora de documentos. Fijémonos en que no poseen ningún tipo de similitud con un dominio “normal”; y si la tienen, esta apariencia es debida más al azar que al propósito.

El peligro para los atacantes es que los laboratorios antivirus den con la clave y se adelanten publicando listas de dominios que van a ser generados en los próximos días. Así, por muchos dominios que se generen, estos ya están siendo bloqueados o tomados bajo control del enemigo. No es tan fácil hacer el mal.

Pero ahora cambiemos de punto de vista y vamos a meternos en un analista de un laboratorio antivirus. Tienes miles de ejemplares activos, otros tantos miles de algoritmos de generación de dominios y cada día estás produciendo una lista de millones de dominios pseudoaleatorios para que estos sean bloqueados de manera anticipatoria.

Fileless malware: ataques en crecimiento pero controlables

Falsos positivos vs. falsos negativos

Es una operación mastodóntica. Millones de dominios que posiblemente no sean dados de alta jamás, nunca. Imaginemos un cartel de los más criminales más buscados, pero en vez de diez fotos tenemos un millón de ellas. Pues en vez de eso, como son dominios sintéticos y se generan de manera similar unos u otros, podemos aplicar aprendizaje y detectarlos de manera genérica. Cierto, habrá un porcentaje de falsos positivos y falsos negativos. Pero pensémoslo: de, por ejemplo, un millón de dominios DGA solo un porcentaje ínfimo se activará realmente. Si cruzamos ese mínimo con el mínimo de falsos negativos (decir que un domino no es DGA) estaríamos acertando bastante.

Es más, el único peligro sería precisamente el caso contrario: dar por malicioso a un dominio real y conocido. Un falso positivo. Así que ajustamos el dial de detección para favorecer los falsos negativos (dar por bueno un DGA) y aun así estaríamos deteniendo gran parte de los DGA.

Snip3, una investigación sobre malware

El mal nunca descansa

Ahora en vez de tener una lista de millones de dominios que tal vez no se activen nunca, tenemos un algoritmo capaz para detener este tipo de dominios en caso de que sean observados. Pero el mal nunca descansa y el reto es complicarle la vida a la inteligencia artificial. Esta última intenta detectar dominios DGA a través de redes neuronales (LSTM, CNN…) y teniendo en cuenta no solo la estructura gramatical, sino parámetros como la respuesta WHOIS, historial del dominio, histórico de resoluciones, etc.

Los atacantes intentan entonces construir dominios que parezcan lo más reales posibles para confundir la decisión de etiquetar un dominio como DGA o no DGA, a la vez que siguen generando suficientes dominios como para hacer que la vuelta a una lista de dominios a bloquear siga siendo ineficiente.

Anticipando esta carrera, existen diversas investigaciones respecto al uso de técnicas adversariales para confundir o contrarrestar la clasificación de los algoritmos de detección DGA, por ejemplo: MaskDGA, DeepDGA y otros. Podemos ver una aplicación práctica de varias técnicas en este repositorio.

Como vemos, es una interesante lucha en ciernes de la que podemos aprender mucho. Como tantas otras carreras o pulsos que aún se mantienen entre la industria del malware y la defensa frente a estos. Queda partido.