Cómo se identifica al autor de un ciberataque
Hay algo interesante en los ciberataques, y es que, aunque los ciberdelincuentes no dejan su tarjeta de visita en el lugar del crimen, sí que dejan evidencias. Y, a pesar de que pueda ser un proceso muy complejo, es posible saber quién o quiénes han atacado un objetivo.
Saber quién o qué ha atacado es fundamental. En el ámbito de la ciberseguridad, la inteligencia sobre amenazas se esfuerza en detectar el garbanzo negro entre su pila de datos, de manera que se pueda actuar rápidamente antes de que el daño se extienda por más sistemas. Lo importante es que también se puede averiguar quién está detrás del ataque.
Antes de ver cómo se puede saber quién realizó los ataques, hay que decir que la ya de por sí difícil tarea de atribuir un ataque de ciberseguridad a un determinado actor se ve dificultada por la naturaleza cambiante de las organizaciones tras los ataques. Por eso, a pesar de los esfuerzos de los investigadores y de su cada vez más sofisticada tecnología para este fin, es posible que algunos atacantes nunca lleguen a ser identificados.
En la conferencia VB2021, los analistas e investigadores de ciberseguridad explicaron las pistas que siguieron para identificar a los ciberdelincuentes detrás de ataques tan sonados como el de Colonial Pipeline, Sony Pictures (2014) o el que afectó al sistema ferroviario de Irán (2021).
La «atribución de amenazas» es efectiva ante ataques de APT
Las amenazas persistentes avanzadas (APT) son rastreables a partir de la atribución de amenazas, porque los grupos de ciberdelincuentes que los llevan a cabo suelen estar vinculados a ataques patrocinados por un estado.
Son ataques avanzados porque los ciberdelincuentes diseñan su propio y sofisticado software para sus actividades. Además, estos grupos son persistentes en su tarea buscando al objetivo, minando sus defensas y moral con semanas o meses de ataques hasta que rompen su seguridad. O quizás permanecen latentes durante años hasta que llega el momento de atacar. Son una amenaza seria y sus objetivos van desde el espionaje al sabotaje, pasando por el robo de datos.
La atribución de amenazas es una solución de alto nivel que implementa lo que se conoce como inteligencia de amenazas. Esta inteligencia es un proceso de cribado que se realiza con grandes cantidades de datos. Estos se examinan de forma contextual para detectar problemas reales e implementar soluciones específicas para los problemas detectados. Por supuesto, es una solución muy costosa y que pocas empresas o instituciones pueden alcanzar. Todo dependerá de lo valiosos que sean los datos en juego, claro.
Los organismos de seguridad nacional y de aplicación de la ley (como la Interpol o el FBI, por citar dos de gran entidad) son los más vulnerables, por tanto, tienen mucho que ganar si descubren quién les está hackeando (y mucho que perder en caso contrario). Otras veces, los ataques APT se dirigen a empresas, organismos gubernamentales o infraestructuras críticas como centrales eléctricas y fábricas.
¿Cómo funciona la atribución de amenazas?
La atribución de amenazas se basa en encontrar similitudes entre los códigos de diferentes piezas de malware, por ejemplo. Si se encuentran fragmentos idénticos en dos software distintos podemos asumir (en cierto grado) su «parentesco» y que hayan sido creados por el mismo grupo u organización criminal. Es como una prueba de paternidad, o de ADN.
Hay que analizar y encontrar pistas, es el trabajo de un detective, en realidad. Es análisis forense. Al analizar el contexto del ataque, y los matices y lenguajes en el código, los investigadores pueden intuir o determinar los orígenes de ese malware. Hoy, es posible averiguar si tenemos nuevo actor en el mundillo, o si lo que se acaba de analizar pertenece a alguien «conocido», pero camuflado. Como análisis forense que es, es un proceso lento y minucioso. A veces es necesario recurrir a la ingeniería inversa de los ataques, algo que puede llevar años. En esos casos, los atacantes lograrán sus objetivos.