A fondo. Deception: los ciberdelincuentes muerden el anzuelo

La ciberseguridad es uno de los riesgos que más nos preocupa a todos, tanto a las instituciones como a las empresas y a los ciudadanos particulares.

Los expertos suelen decir que no hay que plantearse si sufriremos un ataque, sino cuándo sucederá. Porque la ciberseguridad está en mejora constante, pero la ciberdelincuencia también avanza muy rápido. Según el informe ‘The Black Report 2018. Decoding the minds of hackers’, elaborado por Nuix, los hackers apenas necesitan 10 horas para encontrar una brecha de seguridad.

Además, el riesgo se incrementa si tenemos en cuenta que dicha grieta puede permanecer mucho tiempo abierta, ya que los ataques tardan casi dos meses en ser detectados, según el estudio ‘M-Trends 2020’, de FireEye Mandiant.

Así pues, las organizaciones se están dando cuenta de que quizá han de cambiar su enfoque y abandonar la actitud pasiva y reactiva tradicional para tomar la delantera frente a los hackers. “Hablar de ciberseguridad evoca normalmente la idea de un perímetro en torno a una organización, que sirve para mantener a raya a los ciberdelincuentes. Sin embargo, confiar ciegamente en blindarse no es suficiente. Es probable que los atacantes terminen encontrando una grieta por la que colarse, aprovechando alguna vulnerabilidad. En este sentido, no hay organización 100% segura”, afirma Raúl Pérez, Regional VP Enterprise Sales en CounterCraft.

En este escenario, la Cyber Deception Technology, o tecnología de ciberengaño, adquiere protagonismo. Se espera que el mercado mundial de esta tecnología alcanzará los 2.600 millones de dólares en 2025, con un crecimiento medio anual superior al 15% en cada ejercicio, tal y como recoge el informe ‘Global Deception Technology Industry’, de Global Industry Analysts.

“Cuando hablamos de deception, nos referimos a adaptar la ciberseguridad a los nuevos tipos de ataques que se están produciendo a nivel empresarial. Estos ataques, más avanzados, intentan simular el comportamiento de un usuario legítimo para evitar ser detectados. Las técnicas de deception ayudan en la detección de este tipo de amenazas, usando técnicas de protección que engañan al atacante para que ejecute su ataque sobre ámbitos controlados, lo cual permite adquirir inteligencia sobre el ataque y bloquearlo”, comenta José de la Cruz, director técnico de Trend Micro Iberia.

Pérez explica que la tecnología de deception “consiste en diseñar y desplegar entornos sintéticos para hacer creer a los ciberatacantes que consiguen acceder a las redes de una empresa y que están robando información valiosa”. Es decir, se trata de tender trampas, como historiales de navegación ficticios o credenciales falsas en sistemas reales, “para tentar y confundir al atacante con activos falsificados para mejorar la detección y retrasar sus acciones”, puntualiza Dani Creus, Senior Security Researcher of Global Research & Analyst Team (GReAT), de Kaspersky.

De este modo, esta tecnología se aprovecha de la confianza del atacante, que cree que ha tenido éxito en su incursión. Pero lo que realmente está sucediendo es que, gracias al engaño, se está alejando de los activos sensibles, yendo hacia activos falsos, “con el objetivo de que gaste su tiempo y su inversión”, precisa Creus.

Por delante del atacante

Las técnicas de deception presentan algunas ventajas frente a la ciberseguridad tradicional. “Son más proactivas y permiten a los equipos de seguridad TI estar un paso por delante de los atacantes y mejor preparados para tomar medidas, ganando tiempo de defensa, además de minimizar el impacto del ataque”, detalla De la Cruz. El tiempo que consigamos ganar será especialmente valioso si nos enfrentamos a nuevas técnicas de ataque, que quizá no hayamos tenido que afrontar previamente.

“Hacer creer a los atacantes que han tomado el control de nuestra red significa que podemos monitorizarlos, conocer su comportamiento y utilizar estos conocimientos en las técnicas de defensa. Como el ataque se lleva a cabo en un sistema señuelo, no se producen daños, por lo que la experiencia del equipo de seguridad se convierte en observación y adquisición de conocimiento”, explica Roberto Llop, director regional para el Suroeste de Europa de CyberArk

En este sentido , el responsable de CounterCraft destaca que esta tecnología “permite tanto detectar y estudiar a los adversarios para conocer sus tácticas y procedimientos, tomando medidas que permitan reforzar la seguridad de la organización, como disuadirles de lograr sus objetivos”. Además, ayuda a anticiparse a sus próximos pasos.

Llop también pone el acento en otros beneficios que ofrecen las técnicas de deception, como su bajo coste o la reducción de los ‘falsos positivos’. Y Pérez incide en que esta tecnología tiene capacidad de desplegar entornos sintéticos en una amplia tipología de activos. Asimismo, recalca que es posible la automatización, reduciendo la cantidad de tiempo y recursos empleados.

Defensa frente a ataques dirigidos

El responsable de CounterCraft indica que las técnicas de deception “son más eficaces contra ataques dirigidos, en los que, a diferencia de los masivos, los cibercriminales invierten una gran cantidad de tiempo y recursos en recopilar información previa sobre un objetivo muy determinado, siendo muy difíciles de detectar mediante herramientas de ciberseguridad estándar”.

Asimismo, el experto de Kaspersky remarca que “el principal desencadenante del crecimiento del mercado mundial de la tecnología de engaño es el alarmante aumento de los casos de ciberataques utilizando malware, ataques zero-day, ataques de denegación de servicio distribuida (DDoS), amenazas persistentes avanzadas (APT) o ransomware, entre otros”. Especifica que las técnicas de deception “son eficaces ante todos estos tipos de ataques, que a menudo no son detectados mediante la seguridad tradicional y ponen en peligro tanto los datos como la operativa de una organización”.

Por su parte, el responsable de CyberArk señala que estas técnicas “pueden ser extremadamente efectivas en atacantes que apuntan a los puestos de trabajo para obtener un punto de apoyo en la red corporativa”. “A menudo, los derechos de administrador local se dejan en los puestos de trabajo, lo que los convierte en objetivos atractivos para los atacantes que pueden usar estas credenciales para elevar los privilegios y lanzarse a otras partes de la red. Las técnicas de engaño aquí pueden permitir a los defensores detectar rápidamente y cerrar proactivamente los ataques en curso, rompiendo la cadena de ataque en el punto inicial de entrada y deteniendo la vulneración de credenciales privilegiadas”, puntualiza.

Pérez reseña que los objetivos de los ataques dirigidos suelen ser empresas del sector financiero, compañías de telecomunicaciones, industria, gobiernos o infraestructuras críticas, por lo que estas organizaciones son las que pueden sacar más provecho de la deception tecnology. En cualquier caso, estima que tiene cabida en cualquier tipo de organización “con una baja tolerancia al riesgo, de sectores tan variados como retail, telecomunicaciones, finanzas, industria, infraestructuras críticas, organismos de seguridad y organizaciones del sector público”.

Creus también cree que se pueden beneficiar de estas técnicas de ciberseguridad “las empresas que utilizan dispositivos del Internet de las Cosas, dispositivos integrados que utilizan sistemas operativos embebidos o los dispositivos médicos que se encuentran dentro de redes sanitarias”.

Escollos en su implantación

Aunque tiene múltiples ventajas y puede ser útil a todo tipo de empresas, desplegar este tipo de técnicas de ciberseguridad no siempre es sencillo. “El mayor desafío de esta tecnología consiste en la creación del ambiente de engaño. Puede incluir sistemas Windows y Linux, routers, dispositivos móviles, puntos de acceso IoT o WiFi… Cualquier cosa que un atacante pueda tratar de comprometer para acceder a un entorno y, una vez que haya penetrado, mantenerlo involucrado. Para crear el tipo de entorno adecuado, también es necesario comprender qué tipo de ataques causarán el mayor daño a la empresa. Eso implica saber lo que realmente es importante para la organización”, declara Llop.

Por otra parte, De la Cruz anota que “el mayor reto consiste en implementar estos mecanismos de protección de manera coordinada y efectiva”. Además, el responsable de Kaspersky comenta que “uno de los principales desafíos es que el despliegue de soluciones que utilizan el engaño como forma de protección avanzada necesitan personal cualificado, tanto para su puesta en marcha como para saber interpretar y contextualizar toda la información que generan los señuelos que se utilizan en este tipo de técnicas”.