Contenido Exclusivo

“¿Y quién lo hizo?” La difícil tarea de atribuir ciberataques

Atribuir ataques a determinados actores o grupos de ciberdelincuentes es una tarea complicada, particularmente los que proceden de bandas patrocinadas por estados. Y, es que, los ‘malos’ se han especializado en ocultar sus huellas e, incluso, en desviar la atención hacia otros grupos.

Por ello, el mejor método para realizar una inculpación sólida pasa por examinar la infraestructura y las técnicas utilizadas en el ataque, aunque no garantiza el éxito, ni mucho menos.

Los investigadores suelen confiar en tres fuentes de inteligencia, tal y como asegura Paulrasgneres, directivo de Talos, la división de ciberinteligencia de Cisco. Por una parte, se basan en la inteligencia de código abierto (OSINT), que es la información pública que se encuentra en Internet; inteligencia técnica, que pasa por el análisis del malware; y los datos patentados disponibles sólo para las organizaciones involucradas en el incidente.

Asimismo, las agencias de inteligencia nacionales también sirven como fuente ya que tienen más información y recursos adicionales que el sector privado, pero a menudo éstas son reservadas en sus métodos, según el experto.

Para poner de manifiesto este problema de atribución, Rascagneres recurrió al malware WellMess, descubierto por el CERT nacional japonés en 2018 y que el Centro Nacional de Ciberseguridad Cibernética de Reino Unido (NCSC) atribuyó directamente al grupo APT29, más conocido como Cozy Bear, que está respaldado por Rusia. Fueron varios los organismos internacionales los que apoyaron esta justificación, sin embargo, y a pesar de las técnicas empleadas, se equivocaron de atacantes o, por lo menos, no pudieron saber con certeza si era Cozy Bear quien estaba detrás de este malware.

El análisis de código compartido es otra técnica comúnmente utilizada en el proceso de atribución, aunque puede llevar a error si el código es público. En esos casos, sus similitudes pueden dar lugar a una atribución incorrecta. Además, las banderas falsas también pueden llevar a los investigadores a conclusiones desacertadas.

“Es en estos casos en los que las agencias de inteligencia tienen ventaja”, asegura Vitor Ventura, analista de Cisco Talos. “Tienen información que nosotros no tenemos. Tienen inteligencia de señales y todo tipo de datos con los que los demás no contamos”. En cualquier caso, dice, lo mejor es afrontar que habrá cosas que nunca se sabrán. “Debemos aceptar que es posible que no puedan compartir ese tipo de informaciones”, afirmó Ventura.

Lo Más Reciente

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización...

Los ‘Scam-Yourself Attacks’ aumentan 614% en el tercer trimestre del año: informe

Los 'Scam-Yourself Attacks' o "ataques de estafa”, en los...

Newsletter

Recibe lo último en noticias e información exclusiva.

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube de Tenable descubrió nuevas técnicas de ataque en los Lenguajes Específicos de Dominio (DSLs, por...

“Mejorar la visibilidad en el ecosistema tecnológico, interno y de cara al cliente” : José Armando López Flores, CISO de Crediclub

“Queremos ser esa institución financiera que cubra con las expectativas de los clientes a través de garantizarles que su patrimonio estará seguro”. Con el objetivo...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización en la atención al cliente por medio de la tecnología, PepsiCo México desarrolló a Shopperbot....