En estas épocas electorales, el foco principal es la ventaja competitiva, con el probable robo de información estratégica del adversario, el acceso a las bases de datos electorales rivales, pero también pueden incrementarse las operaciones encubiertas diseñadas para ocultar, engañar, difamar o desinformar a la audiencia para hacerle creer que ciertas actividades son llevadas a cabo por ciertos grupos, partidos u organizaciones completamente distintos de los que realmente las planearon y ejecutaron, de acuerdo con Arbor Networks.
Carlos Ayala Rocha, Solution Architect LATAM de esta firma, opinó que este tipo de amenazas está ligado a la inteligencia para el manejo de la información a través de operaciones psicológicas (PsyOP) que tienen que ver con cualquier acción que tenga la finalidad de causar reacciones basadas en la influencia, motivos, emociones, creencias y manipulación psicológica de las personas, en este caso el electorado.
“Si lo llevamos al terreno del ciberdominio podemos, mencionar operaciones Pay-per-install, las cuales hemos identificado en el Gobierno Mexicano, en donde adversarios talentosos venden acceso a los dispositivos comprometidos al mejor postor”, informó el especialista.
Agregó que estos servicios Pay-per-install son publicados en foros “underground” atrayendo a atacantes y distribuidores de malware quienes han sido contratados para instalar código malicioso como Andrómeda, empleado módulos como troyanos, rootkits, “form grabbers”, “key loggers”, y accesos remotos ocultos para ganar acceso en la víctima objetivo”, explicó Ayala Rocha.
De acuerdo con el 13° Estudio sobre los Hábitos de los Internautas en México de la Asociación de Internet.mx (antes Amipci), el 92% de los usuarios realizó búsquedas específicas de información sobre procesos electorales en Internet, lo que demuestra que existe un gran interés en la evolución de los procesos electorales; en tanto, los sitios preferidos para buscar información sobre procesos electorales son las Redes Sociales (97%), Portales de noticias (79%) y Buscadores (74%).
El especialista recordó que durante las pasadas elecciones presidenciales en México, los ataques durante dicho comicios rompieron las barreras volumétricas de la época y complejidad aplicativa; se recibieron constantemente ataques multi vector y se mitigaron exitosamente, tal y como lo confirmó públicamente al finalizar la elección el CIO del IFE.
Cinco consejos para frustar un ataque
Es común que las organizaciones quieran pasar de una prevención fallida o vulnerada a una respuesta técnicamente irresponsable que, lejos de minimizar el problema ,no sólo se termina por divulgar información táctica al adversario, sino que se pierde evidencia contundente. Es por esto que la detección y análisis es fundamental para irrumpir las operaciones y campañas de los adversarios en el momento preciso después de tener un claro entendimiento de la amenaza.
Arbor Networks destaca que las herramientas defensivas deben cambiar para enfocarse en tácticas, técnicas y procedimientos para detener a los atacantes en su camino, y comparte cinco recomendaciones para que las organizaciones puedan frustrar un ataque.
Implantación de herramientas de detección temprana y forense, así como seguridad en la disponibilidad de servicios. Contar con una visibilidad total de lo que está pasando en materia de riesgo contribuye a una detección oportuna de amenazas o de actividades anómalas. Las compañías deben mejorar la visibilidad en sus puntos ciegos, ya sea en el punto final, en los datos o en la nube. También deberán considerar la protección de disponibilidad de los servicios, ya que DDoS es un gran vector de explotación utilizado en estos casos con motivación política.
Ciber inteligencia de amenazas y Respuesta a Incidentes. Tener una mayor conciencia a través de las vulnerabilidades del negocio significa que las organizaciones pueden predecir el siguiente movimiento de un atacante antes de que suceda. La ciber inteligencia facilita la toma de decisiones a través de una visión razonada de posibles ciber amenazas futuras; busca proporcionar múltiples fuentes de información para agregar contexto, así como tener una visión macroscópica de lo que sucede en el ciberespacio con el objetivo de mejorar el proceso de Respuesta a Incidentes.
Mejorar el proceso de priorización (triaje). La razón por la que las organizaciones tienen dificultad para enfocarse en lo importante no sólo es por la naturaleza avanzada de las amenazas, sino porque tienen muchos datos por analizar. Por lo tanto, se requieren procesos analíticos de largo término, con múltiples fuentes de información para enfocarse en lo significativo y proporcionar Conciencia Situacional.
Educación de los empleados e incrementar personal especializado en seguridad. Las organizaciones deben educar a los empleados hasta asegurarse de que todos son conscientes de los diferentes tipos de amenazas y qué hacer si detectan algo malicioso en la red. Además, la asimetría contra los adversarios se combate con talento humano, por ello será necesario robustecerse con personal especializado en seguridad; las herramientas son necesarias, y los procesos guías pero quien instrumenta ambos son las personas.
Organizar un equipo de caza. Si las compañías no tienen un equipo de caza, están perdiendo la batalla contra la ciberdelincuencia. Requieren de un equipo activo de caza para que la ciber inteligencia de amenaza tenga un impacto positivo en la organización.