El riesgo cibernético tiene muchas formas. Todos los CISO han aprendido a temer al ransomware, pero serán conscientes de que las amenazas a los sistemas y a los datos pueden aparecer fácilmente en forma de malware, intentos de phishing o ataques de denegación de servicio (DDoS). Los delincuentes también varían, desde lobos solitarios hasta personas internas descontentas y sindicatos del crimen organizado.
En los últimos años ha surgido una nueva preocupación: el llamado “ecosistema de espionaje”.
El artículo continúa a continuación.
Aryakay es vicepresidente de ingeniería de seguridad y estrategia de inteligencia artificial.
Los ecosistemas de espionaje son expertos en incrustar códigos maliciosos en las redes, a menudo a través de empleados desprevenidos, permitiéndoles acceder al funcionamiento interno de organizaciones legítimas.
Es menos probable que sus operaciones sean un ataque rápido de “aplastar y agarrar” y, por lo general, funcionan para obtener acceso profundo y a largo plazo a redes complejas, investigando secretamente vulnerabilidades. Son expertos en utilizar la IA como arma a escala para automatizar sus ataques, lo que les permite extraer y analizar información de manera sutil pero eficiente.
Sus objetivos pueden ser detallar hojas de ruta de productos, planes de fusiones y adquisiciones, modelos de precios o estrategias legales. A veces su objetivo es simplemente destruir e inutilizar. Su misión es aprovechar las empresas del sector privado con propiedad intelectual valiosa a través de una infraestructura del sector público de importancia estratégica.
El ecosistema de espionaje general busca en última instancia penetrar el centro neurálgico de una organización, su ADN estratégico. Mientras observan silenciosamente la toma de decisiones, la comunicación y el flujo de trabajo a lo largo del tiempo, obtendrán información sobre cómo piensa y opera una empresa.
Esto puede tener el efecto de eliminar la ventaja competitiva mucho antes de que alguien se dé cuenta. Cuando suena la alarma, la información deseada ya se ha recuperado y utilizado.
Una vez que se descubre el funcionamiento de este ecosistema, la confianza en el sistema y los datos suele verse gravemente debilitada. La alta dirección se ve obligada a cuestionar no sólo lo que se ha robado, sino también lo que se ha manipulado.
Persistirá la incertidumbre sobre información como las credenciales de usuario, la configuración, los permisos de identidad o los datos de apoyo a las decisiones.
Aunque estos ataques pueden ser sutiles y lentos, su impacto a largo plazo puede ser catastrófico, lo que puede medirse en términos de riesgo regulatorio, pérdida de posición en el mercado y daño a la reputación. Cuando las agencias gubernamentales se ven afectadas, el costo puede ser una cuestión de seguridad nacional.
El problema de la complejidad
La complejidad es el mejor amigo del ecosistema de espionaje. Las empresas actuales dependen de amplias pilas de SaaS, un ejército de herramientas de inteligencia artificial y un conjunto de plataformas en la nube. Los malos actores pueden explotar este denso bosque a través de sistemas de identidad, correo electrónico, herramientas de colaboración y API, a menudo utilizando rutas de acceso legítimas.
Las defensas tradicionales son ineficaces porque lo que se ataca e imita es a menudo el comportamiento humano y no la estructura del sistema.
Las herramientas para eliminar a los malos son modernas y poderosas, muy adecuadas para la tarea de navegar subrepticiamente a través del laberinto de TI corporativo. Los ecosistemas de espionaje utilizan varias armas electrónicas avanzadas, como los troyanos de acceso remoto (RAT).
Una RAT es una forma de malware que permite el control de una computadora infectada, lo que permite a los piratas informáticos aprovechar las credenciales del usuario para instalar o eliminar software y robar archivos. Una RAT típica es una forma de código malicioso que reside completamente en la memoria y no en el sistema principal, lo que dificulta su detección.
Todo le parece perfectamente legítimo al usuario, que luego activa la carga útil y propaga la infección a la siguiente etapa. El código RAT tiene la capacidad de inyectarse a sí mismo en procesos a nivel del sistema, iniciar lento y bajo en la red y pasar desapercibido.
Es capaz de extraer información de múltiples usuarios y permanecer en el sistema durante mucho tiempo sin que nadie lo sepa.
Entonces, ¿cómo saber cuándo un ecosistema de espionaje está activo en su red y que el objetivo está operando a un nivel de sofisticación en el que es poco probable que se descubra simplemente sobre la marcha? Las organizaciones necesitan una solución que identifique y señale desviaciones de comportamiento. ¿Por qué esa persona accede a ese sistema en particular?
La postura de seguridad correcta implica alimentar constantemente inteligencia a sus productos de seguridad. La inteligencia debe integrarse dentro de las organizaciones y en todas las geografías. Necesita segmentar todos sus conjuntos de herramientas de forma continua.
Los ataques pueden poner a prueba diferentes aspectos de sus defensas, por lo que necesita múltiples puntos de referencia de seguridad para evitarlos. Necesita controlar el flujo de información tanto como sea posible. Y también necesitará inteligencia de fuentes externas. Esto le permitirá encontrar formas de romper la cadena e interrumpir la campaña.
El CISO debe identificar los límites de autorización de datos y comprender realmente cómo fluyen los datos dentro del sistema. De esta manera pueden garantizar que los datos críticos se mantengan dentro de un rango determinado. Deben adoptar los mecanismos de seguridad existentes y hacerlos coherentes.
Con la llegada de la IA, pueden mejorar esos procesos. Pero deben tener cuidado con los riesgos que plantea la IA en la sombra.
¿Quién es el objetivo?
No existe un único tipo de objetivo favorecido por este ecosistema. Lo que importa es que la víctima tenga algo que robar o dañar. El objetivo puede ser golpear a las organizaciones del sector público para que ataquen a una nación “enemiga”.
O podría ser una cuestión de espionaje industrial con un objetivo comercial en mente. Las amenazas a ambos tipos de objetivos parecen estar aumentando.
El ataque de 2020 a la empresa de software de gestión de TI SolarWinds, con sede en Texas, proporciona un ejemplo reciente destacado de un objetivo comercial. Esta ciberintrusión, instigada por el Servicio de Inteligencia Exterior (SVR) de Rusia, es uno de los ejemplos de ecosistemas de espionaje más graves de los últimos tiempos.
Todo comenzó cuando un pirata informático pudo cargar una modificación maliciosa en la gama de productos SolarWinds Orion que provocó que se enviaran comandos de nivel de administrador a varias ubicaciones externas de la cadena de suministro.
El ataque, que ocupó titulares mundiales durante semanas, mostró a todos los CISO cómo un pequeño pie en el borde de una red puede comprometer las aplicaciones más críticas de una organización y afectar a sus clientes a escala.
El Centro Nacional de Seguridad Cibernética de EE. UU. (NCSC) investigó el incidente y su impacto y rápidamente se dio cuenta de que muchas otras organizaciones se vieron afectadas. En última instancia, se estima que la infracción comprometió a aproximadamente 18.000 clientes de SolarWinds.
Demostrando que las organizaciones del sector público pueden ser al menos igual de vulnerables, el gobierno indio recientemente fue víctima de un ecosistema de espionaje llamado Transparent Tribe (APT36). El ataque tenía como objetivo recopilar inteligencia a largo plazo mediante un acceso encubierto y resistente.
En realidad, el ataque consistió en múltiples campañas activas dirigidas a la defensa india y a organizaciones vinculadas al gobierno en entornos Windows y Linux. Una campaña se dirigió a sistemas Windows mediante correos electrónicos de phishing con un troyano de acceso remoto y, por lo tanto, pudo evadir la detección tradicional basada en archivos.
Los atacantes implementaron un proceso de inicio en capas que aseguró el acceso continuo incluso cuando se interrumpió la cadena de transmisión. El resultado es una plantilla ligera pero duradera, perfecta para mejorar la recuperación y la recopilación de información.
En conclusión
El ecosistema de espionaje llegó para quedarse, están activos en todo el mundo y sus tácticas están evolucionando y volviéndose más inteligentes. El ecosistema de última generación incluye innovaciones como cargas útiles multiplataforma, ejecución residente en memoria y canales secretos de comando y control.
Esto demuestra que el ecosistema actual está diseñado con más resistencia que nunca, priorizando la velocidad, lo que obliga a los defensores a adaptarse constantemente. Cuando los CISO leen sobre uno de estos ataques, deben ser conscientes de que puede ser más que un incidente aislado.
Esto puede ser parte de un patrón de esfuerzo coordinado dentro de un ecosistema de amenazas maduro. Detectar e interrumpir este nivel de amenaza requiere visibilidad entre plataformas, atención a pequeñas anomalías de comportamiento y comprender que la persistencia es el arma preferida del atacante. Sólo entonces los equipos de seguridad empezarán a tomar medidas eficaces.
Hemos presentado el mejor software de seguridad para terminales
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
