¿Cuánto pagaríamos por recibir un chivatazo de un ciberataque antes de que nos impacte de lleno, y así poder evitarlo?

Esta es una pregunta que algunas de las grandes compañías de nuestro país muy preocupadas por la ciberseguridad se hicieron hace tiempo, y es también el motivo por el que hoy están un paso por delante de sus atacantes.

Si estás leyendo este artículo es probable que estés muy al día del panorama de la ciberseguridad (seas entusiasta, estudiante o profesional dedicado al 100% a este campo), sabrás cómo está afectando a muchos negocios, independientemente de su tamaño y localización geográfica, y cuál es el precio que algunos están pagando por haber tenido la desgracia de sufrir un incidente de alto impacto.

En la última década hemos visto una gran transformación relacionada con la seguridad, de hecho, si miramos un poco más atrás, hace 20 años, apenas existía como industria lo que hoy llamamos Ciberseguridad, y muchos de los que hoy tenéis puestos de relevancia en este campo, estabais viendo surgir los cimientos de lo que hoy es un negocio de miles de millones en todo el planeta.

Los atacantes se han profesionalizado una barbaridad, la aparición del ransomware, las criptodivisas, y el anonimato que éstas proporcionan han facilitado nuevas vías de generación de ingresos para muchos grupos de delincuentes, que disponen de complejos entramados para blanquear su botín tras cada operación satisfactoria.

A día de hoy vemos cada vez más frecuentemente cómo los atacantes se centran en objetivos concretos, telcos, entidades financieras, hospitales, ayuntamientos, etc, ningún sector está a salvo. Penetran sus redes, y realizan movimientos laterales sigilosamente, aplicando su conocimiento y aprovechando todas las facilidades que encuentran a su paso (vulnerabilidades, fallos de configuración, credenciales hardcodeadas, servicios inseguros, etc), hasta conseguir su meta, que en muchas ocasiones es tomar el control del Directorio Activo, acceder al repositorio de información más relevante o cifrar las bases de datos y los backups.

A veces es rápido, a veces, tras conseguir el primer acceso, les lleva meses conseguir comprometer el resto de servidores clave que les permitirán saltar entre entornos bien segmentados. Si tienen que esperar a que se publique un 0-day de una tecnología para conseguir el siguiente paso lo harán, recordemos que son profesionales y paralelizan sus proyectos. Mientras tanto seguirán trabajando en el siguiente objetivo. Sin embargo, a pesar de la heterogeneidad (entornos tecnológicos, tipos de atacantes, intereses, vectores, etc), lo que es común en muchos de estos incidentes, es que la compañía no tiene capacidad para detectarlos, y en muchas ocasiones cuando lo hace es demasiado tarde y hay poco que hacer.

¿Y por qué no cambiar el punto de vista? Llevamos años y años protegiendo compañías en todo el mundo, mediante distintos enfoques. En muchas ocasiones atacándolas (Hacking Ético/Red Team) para detectar sus fallos, emitiendo recomendaciones precisas, desplegando soluciones concretas, verificando las medidas aplicadas para que nada se quede sin solventar, iterando periódicamente para detectar nuevos fallos, etc.

Por este motivo, algunos responsables de seguridad de estas compañías que mencionaba en el primer párrafo cambiaron el chip, por eso en su día nos preguntamos: ¿Cuánto valdría esa información privilegiada? ¿Existe? ¿Cómo podríamos conseguirla? Está claro que o bien se tienen contactos de dudosa reputación en grupos muy alejados de la ley, o es hártamente complicado. En cualquier caso el objetivo no podía depender de conseguir tantos contactos como grupos de delincuentes. Así que la siguiente pregunta fue: ¿Podemos generar nosotros esta información? ¿Hay algún mecanismo que nos permita conseguir información clave en tiempo real, y anticiparnos a un ciberataque?

La respuesta es que, si conocemos la tecnología, las herramientas que se utilizan hoy en día para llevar a cabo ataques, e incluso conocemos las tácticas y las técnicas subyacentes, así como los procedimientos de los adversarios (aka TTPs), ¿Por qué no íbamos a poder diseñar distintos escenarios personalizados, en los que nos aseguremos de estar un paso por delante de los atacantes en todo momento?

Dicho y hecho. Nos pusimos manos a la obra y analizamos el panorama tecnológico actual para entender quién podría proveer tecnología de Deception suficientemente potente como para ser la base de un servicio perfecto de contrainteligencia: avanzado hasta el punto de ser invisible, y tan flexible que permitiera diseñar escenarios ad-hoc para cada uno de los involucrados, y por tanto, no fuera algo ni estándar ni de despliegues automáticos, ya que un atacante profesional lo detectaría inmediatamente.

Y ahí entró en juego CounterCraft, una compañía española y pionera en el mundo. Ellos habían desarrollado una solución completa de Deception, con agentes capaces de ocultarse a la perfección en el kernel de distintos sistemas operativos, reportar eventos personalizados y vitales para nuestro propósito, y una potente consola para realizar la detección temprana de amenazas, y el seguimiento de las acciones de nuestros atacantes.

Con esta combinación estábamos listos para el diseño de escenarios con los que proteger las plataformas específicas y a los grupos de personas que interesaban en cada caso (Entorno de Directorios Activos, la red SWIFT, los SCADAS/OT, el DIRCOM/VIPs, etc.).

Cada compañía tiene sus preocupaciones particulares, y centra sus esfuerzos en proteger aquellos aspectos detectados en su Modelado de Amenazas. Partiendo de ese ejercicio, es más fácil diseñar e implementar escenarios de deception, que pueden ser internos o externos, y pueden superponerse en paralelo al entorno tecnológico de cada compañía. Esto permite engañar a los atacantes, dejándoles breadcrumbs (migas de pan) realistas y cuidadosamente diseñadas, y distribuirlas estratégicamente, a modo de tela de araña, para detectarlos, monitorizarlos en tiempo real, y guiarlos hacia donde hayamos planificado. Mientras tanto, estudiamos sus acciones, sus objetivos, y tomamos decisiones en el entorno de producción para protegernos de cada amenaza.

En algunos casos detectamos cómo el atacante pretendía tomar el control del Directorio Activo (creemos que para desplegar ransomware en los equipos de empleados), mediante la ejecución de exploits concretos en el entorno de deception de AD, y esto permitió proteger la red de producción, donde se bloqueó el tráfico hacia el servicio/puerto que estaba siendo atacado. Mientras, se verificaban las medidas de seguridad y que se disponía del nivel adecuado de protección (parcheo, filtrado, etc.). En otra ocasión en las que los atacantes estaban buscando información concreta muy sensible, referente a una licitación, se guía al atacante hacia el servidor donde se le da una información tan veraz que cree que ha conseguido su objetivo, lo descarga y se marcha. Sin embargo, se ha llevado lo que la compañía había preparado para ellos, convirtiendo un claro caso de competencia desleal en una ventaja competitiva.

Cada entorno tiene un objetivo y se debe diseñar de manera personalizada. Así, los atacantes no pueden detectar si el fallo que ven ante ellos es real o les conducirá a una trampa. Mantener estos entornos de deception en secreto es esencial para cada una de las compañías que disponen de un servicio de contrainteligencia de este nivel, de lo contrario es evidente que no sería efectivo, por eso se omitirán detalles concretos adicionales.

Sin embargo, como ejemplo os remito a un artículo que escribí hace unos días donde BMW decidió contar cómo estuvieron varios meses estudiando a atacantes que habían penetrado en sus redes, y cómo los mantuvieron en su entorno de deception, de manera que pudieron proteger su red de producción a la par que analizar cuáles eran sus intereses y aprender más de ellos. Esto los hace más conscientes de sus amenazas, de sus adversarios, y les permite desplegar nuevas medidas de seguridad en su red de producción haciendo su negocio más seguro.

Juan Carlos Díaz

Director de Ciberseguridad de PwC