Estudios realizados al inicio de este año por el Foro Económico Mundial y otras entidades destacaban que el daño causado por ciberdelitos en 2023 se estimaba en 8 billones de dólares. Se calculaba además un crecimiento del 15% durante este año y es bastante posible que se haya podido quedar corta. Estamos cerrando un año complejo, donde los ciberataques se han convertido en un hecho habitual. Grandes organizaciones e infraestructuras esenciales para los ciudadanos han sido gravemente afectadas.
Sería trivializar indicar que las organizaciones no invierten o no dedican esfuerzos a protegerse. Sabemos de sobra que no es así. De forma desigual, probablemente, pero se invierte. Pero lo que en ocasiones no se tiene en cuenta es que los grupos de ciberdelincuencia son elementos orquestados, tienen su propio I+D y evolucionan sus metodologías para impactar y causar más daño. En esencia, se adaptan.
Hace no mucho, el despliegue de ransomware para cifrar contenido era uno de los métodos de ataque más habituales. Pero los despliegues de soluciones avanzadas de detección de código malicioso que han realizado las organizaciones protegen muy eficientemente contra el ransomware.
¿Qué han hecho los grupos de ciberdelincuencia? Se han adaptado. Atacan y se mueven dentro de los sistemas de la información, emulando las técnicas que emplea el propio personal encargado de la administración de esos sistemas. No emplean aplicaciones que puedan ser detectadas como maliciosas. En cuanto llegan a la información sensible, la exfiltran. Una vez bajo su control, inician la extorsión.
Utilizan para ello las bazas del daño reputacional y las sanciones por incumplimiento legal y les resulta más efectivo este proceso que desplegar un código no autorizado que pueda ser detectado. Además, la información puede ser empaquetada y vendida en entornos underground. Todo dato tiene su valor. Así amplían la forma de monetizar el ‘esfuerzo’ de atacar una organización.
Tampoco debemos obviar que la ciberdelincuencia emplea la tecnología que se encuentre en su mano. Arrancaba febrero con un ataque de CEO contra una multinacional de Hong Kong, consistente en que el ciberdelincuente simulaba ser un directivo c-level de la organización para conseguir, mediante el engaño, una cantidad económica de alguien vinculado a la entidad. En esta ocasión, el ataque clásico evolucionó usando la Inteligencia Artificial como elemento para hacer creíble el engaño.
“Los grupos de ciberdelincuencia se han adaptado y emulan las técnicas que emplea el personal encargado de la administración de los sistemas de información”
El ataque iniciado por correo electrónico, simulando ser el CFO de la organización, llevó a crear una reunión por videoconferencia, dada la desconfianza de la persona a la que se estaba intentando engañar. En dicha reunión virtual se encontraban el supuesto director financiero y otras personas relevantes de la entidad. Pero todas ellas habían sido recreadas por inteligencia artificial (IA) bajo control del grupo de cibercrimen. El engaño resultó satisfactorio y concluyó con una estafa de 25 millones de dólares.
El problema fundamental es que a menudo desconectamos de un contexto importante en ciberseguridad: el del adversario y sus capacidades. Si no conocemos a nuestro enemigo, ¿cómo podemos luchar eficazmente contra él?
Existe un principio fundamental en investigación, que es el de ‘intercambio de Locard’. Muy empleado en el ámbito forense digital, establece que cualquier contacto o presencia deja huellas y se lleva otros. Y es que, en ocasiones, un ciberincidente comienza por algo pequeño. Una huella débil probablemente. Pero existente.
Una contraseña robada, una cuenta usurpada, unos servicios públicos vulnerables… Obviamos o desconocemos la existencia de esas huellas. La venta de las credenciales en un mercado negro, conversaciones que sobre nuestras organizaciones se hablan en grupos de Telegram o evidencias de los escaneos sobre nuestra superficie de ataque son ejemplos de elementos que pueden llegar a detectarse.
La vigilancia digital y la evaluación de la superficie de exposición frente a ataques se convierten en aliados tan importantes como el análisis de registros de actividad realizado por un Centro de Operaciones de Ciberseguridad. Si descubrimos esas huellas y no damos la espalda a nuestros adversarios, tendremos mejores mecanismos para salir triunfadores.