Interrumpir y molestar, una respuesta avanzada persistente a las APT

Gobiernos y organizaciones privadas han tardado demasiado tiempo en descubrir, o bien asumir, lo obvio: la victoria total contra los hackers es imposible. Ahí fuera hay un enemigo que es más coordinado, más ágil y cauteloso, y está mejor financiado que nunca. Pude tratarse de personas que actúan individualmente, pueden formar parte de bandas criminales, o podrían estar patrocinados por Estados, pero todos tienen –a excepción de la mayoría de los hacktivistas- las herramientas para llevar a cabo ataques combinados y organizados con un alto nivel de sofisticación como las amenazas persistentes avanzadas (APTs). Entones ¿qué hacer?

Hoy, basta con una pequeña fracción de minuto de aquellos que operan en la clandestinidad para que no sean descubiertos por varias razones: la atribución de un delito es muy difícil, especialmente entre fronteras; los gobiernos de ciertos regímenes que tienen institucionalizado el hacking/piratería; y la aplicación de la ley que carece de herramientas para perseguir a los malhechores. Sin embargo, lo más importante, es que sus actividades son apoyadas por un gran número de compañías de hosting “legítimas” y proveedores de pago de todo el mundo. Es en estas organizaciones en las que se necesita hacer foco para su bloqueo con el fin de desestabilizar y causar molestias al enemigo.

Por utilizar la metáfora de un taburete de tres patas: una pata es la capacidad para piratear –la destreza de un individuo para conseguir a alguien para crear malware, o lanzar un ataque; la otra son los canales monetarios alternativos que permiten el pago de los servicios prestados; y la última es el alojamiento web, que proporciona la orden de suma importancia y el centro de control para los ataques. Un hacker se basa en estas tres partes para prosperar y el “asiento” del taburete es su reputación en la comunidad de hackers – si cortamos las patas, el asiento también se derrumba.

Para que esto suceda, las pasarelas de pago y las industrias de hosting web necesitan intensificar su juego y establecer un estándar de atención, simple y universal, que consista en lo siguiente: verificar quiénes son sus clientes; establecer una relación para compartir la información 24/7 con los cuerpos y fuerzas de seguridad; y cerrar cualquier cuenta ante la petición de la policía o de las corporaciones. Este estándar o norma podría estar condicionado por las normativas gubernamentales, al igual que la industria ya tiene un colectivo para actuar sobre la pornografía infantil que puede ser empleado como un punto de partida y actuar como estímulo para ir más allá cubriendo otras formas de cibercrimen.

Siempre hay jurisdicciones donde esto no ocurre y lugares donde los hacker pueden huir para continuar sus ataques, pero se trata de estrechar el cerco a sus posibilidades, eliminando territorios, interrumpiendo sus actividades y dañando su reputación. Ésta es la forma en que tenemos que pensar para lograr resultados contra estos delincuentes.

Del mismo modo, muchas organizaciones siguen viendo todavía la seguridad de la información como un ejercicio de construcción de castillos impenetrables en el espacio cibernético. Esto es imposible dadas las capacidades que tienen de la mayoría de los hackers. Nunca vamos a ser capaces de mantenerles fuera de nuestros sistemas de forma indefinida –en lugar de esto, necesitamos reconocer que pueden estar presentes y, después, aumentar su nivel de malestar con el fin de obligarles a reconsiderar si quieren gastar tiempo, dinero o ancho de banda con nosotros. Puede, incluso, que hayan irrumpido en el domicilio, pero podemos retenerlos en el sótano mientras actuamos ante algo que requiera alta seguridad, como puede ser abrir la caja fuerte.

Para lograr esto, tenemos que dejar de mirar lo que está entrando de la red y centrarnos más qué es lo que se está dejando –qué datos son robados y enviados, qué servidores de terceros son contactados y así sucesivamente-. Se trata de tener un mayor conocimiento y claridad de la situación a través de herramientas que ayuden a monitorizar la integridad de los archivos y la información para luego actuar sobre esa inteligencia desbaratando los planes de los hackers.

En este sentido, los administradores de sistemas son un arma clave, pero infrautilizada, en el arsenal de los responsables de seguridad TI, y deben ser entrenados como bomberos de seguridad. Deben actuar como la fuerza policial del entorno TI –ser capaces de detectar y contener las amenazas, alternando arriba y abajo los recursos informáticos pertinentes si ven signos que indiquen un ataque. De esta manera se podrían desmantelar las máquinas o hosts antes de que un hacker se infiltre en ellas.

Al final todo se reduce a ponérselo tan difícil como sea posible al hacker cuando quiera extraer tus datos en tiempo real, elevando el malestar a un nivel donde ellos tengan que reconsiderar el ataque. Ésta es una respuesta avanzada y persistente para hacer frente a las amenazas persistentes avanzadas que están causando estragos en todo el mundo, pero se requerirá un cambio de mentalidad en la mayoría de las organizaciones para lograrlo. Nunca vamos a ganar la guerra contra los hackers. Sin embargo, con el esfuerzo de todos, incluidas las compañías de hosting y las firmas de pago, podemos ayudar a dañar su posición en la economía sumergida y quizá, incluso, conducir a algunos a la quiebra. Lo mejor que los directores de TI pueden hacer es complicar la existencia lo más posible a estos ciberdelincuentes.