Desmitificar a los cibercriminales: clave para fortalecer la defensa en ciberseguridad


Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

La frecuencia de ciberataques que enfrentamos a diario ha llevado a la percepción de que los cibercriminales poseen habilidades extraordinarias. Se les ve como individuos capaces de desaparecer sin dejar rastro cuando lo desean y de afectar a organizaciones enteras con solo una computadora conectada a internet. En resumen, muchos creen que detenerlos es casi imposible.

La realidad es que a menudo ignoramos quiénes son los cibercriminales y cuáles son sus motivaciones, enfocándonos únicamente en el impacto del ataque. Al observar la magnitud del daño, tendemos a pensar que sólo alguien con habilidades excepcionales podría llevarlo a cabo. Sin embargo, no reconocemos que se trata de personas comunes, cuya principal fortaleza radica en su determinación, disciplina y persistencia.

En cualquier acto dañino, es natural que las personas quieran saber quién fue el responsable y cuáles fueron sus motivos. Sin embargo, para las organizaciones que han sido víctimas de un ataque, esta cuestión suele pasar a un segundo plano. Su prioridad es enfrentar el incidente, utilizando todos los recursos humanos y tecnológicos disponibles para resolverlo rápidamente y minimizar el daño. Además, cuando los defensores se enfocan excesivamente en los grupos de amenazas y en los delincuentes que atacan a las organizaciones, se considera que están corriendo el riesgo de desviar la atención de las prioridades estratégicas que podrían reducir el riesgo de manera más efectiva.

La mayoría de las organizaciones carecen del tiempo y los recursos necesarios para seguir el rastro de los grupos cibercriminales en medio del caos que esto implica. Por ello, suelen considerar que sus equipos de defensa no deberían enfocarse en esa tarea, sino en desarrollar habilidades para detectar y responder a tácticas, técnicas y procedimientos maliciosos. Sin embargo, este enfoque a veces resulta insuficiente.

Es difícil pasar por alto el impacto cuando se mencionan nombres como Horde Panda, Lazarus, Rhysida, Punk Spider, Cozy Bear, LockBit, Akira, Medusa o Arcane Kitten. Sin embargo, ¿podría mejorar la eficacia de los defensores, en la detección y prevención de actividades maliciosas, el hecho de desmitificar a los cibercriminales detrás de estos ataques?

Ya lo señaló Sun Tzu, general, estratega militar y filósofo de la antigua China en su libro “El arte de la guerra”, escrito aproximadamente en el siglo V a. C.: “Si conoces al enemigo y te conoces a ti mismo, no necesitas temer el resultado de cien batallas. Si te conoces a ti mismo pero no al enemigo, por cada victoria ganada también sufrirás una derrota. Si no conoces ni al enemigo ni a ti mismo, sucumbirás en cada batalla”.

Como primer paso, debemos desmitificar y luego conocer a nuestro enemigo, integrando estas acciones en las actividades diarias de un equipo de defensa. Es crucial encontrar la manera de incorporar estas prácticas en las tareas rutinarias, ya que esto ampliará su perspectiva. No solo podrán identificar tácticas, técnicas y procedimientos de los adversarios, sino también entender sus perfiles y motivaciones. Con esta información, podrán desarrollar estrategias para rastrearlos y detenerlos en diferentes escenarios y entornos, comprendiendo aspectos como sus intereses, lugares de descanso, pasatiempos, así como sus contactos, clientes y proveedores. Esta base de información puede ser invaluable para capturarlos.

Es un hecho que los nombres llamativos de los grupos cibercriminales son los más memorables y a menudo permanecen en las conversaciones de la industria. Sin embargo, existe la preocupación de que estos nombres atractivos puedan exagerar sus capacidades al referirnos a ellos casi en susurros y con asombro, porque utilizan herramientas sofisticadas, desarrollan malware y muestran un nivel de inteligencia e ingenio que nos impresiona.

Pero ¿es posible detenerlos? Sí, por supuesto. Es posible lograrlo si entendemos quiénes son, cuáles son sus objetivos y estamos preparados para interceptarlos y evitar que alcancen sus metas.

A pesar de la apariencia amenazante que puedan tener, los cibercriminales son personas como nosotros. Por ello, cada organización debe asegurar una sólida capacitación y entrenamiento para sus equipos de defensa, con el fin de prevenir y responder eficazmente a los ataques.

En principio, los equipos de defensa en ciberseguridad deben dominar fundamentos esenciales como la seguridad de redes, control de acceso y autenticación, protección de datos mediante cifrado, y gestión de vulnerabilidades. También es crucial conocer los procedimientos de respuesta a incidentes, asegurar aplicaciones, utilizar herramientas de monitoreo y análisis, y promover la concienciación y formación en seguridad. Además, deben estar al tanto de las leyes y regulaciones relevantes en ciberseguridad para garantizar el cumplimiento y proteger adecuadamente los activos de la organización.

Pero además, los equipos de ciberseguridad pueden beneficiarse enormemente al aprender más allá de la tecnología, incluyendo áreas como psicología y comportamiento humano para entender las tácticas y motivaciones de los cibercriminales. También es importante desarrollar habilidades en investigación forense, conocer aspectos legales y regulatorios para garantizar el cumplimiento, comprender los objetivos de negocio para alinear estrategias y manejar el estrés para mantener la salud mental y la eficiencia del equipo.

Es fundamental recordar que cada ciberataque tiene un ser humano detrás del teclado. Por lo tanto, además de enfocarse en prácticas como la gestión de vulnerabilidades y parches, la seguridad del perímetro de la red y los puntos finales, y la autenticación multifactor, es crucial considerar cómo los seres humanos, cuando están bien preparados y tienen objetivos claros, pueden utilizar sus habilidades para llevar a cabo ciberataques. Así, debemos prepararnos para contrarrestar estas capacidades y detenerlos cuando intenten utilizar sus habilidades en ataques.

Para mayor información visite: https://www.silikn.com/