En la conferencia Black Hat de este año en Las Vegas, el centro de atención pasa de la defensa al ataque.
Ahora que se producen cada vez más ciberataques contra la valiosa propiedad intelectual, las empresas deben estudiar sus opciones para devolver el golpe a los atacantes. Es lo que oyeron el miércoles pasado en Las Vegas los asistentes a Black Hat, la conferencia anual de seguridad informática.
“Durante mucho tiempo nos hemos centrado en la defensa, pero hay que hacer algo más. La industria tiene que atenuar la amenaza e ir a por el agresor”, explicó Shawn Henry, que hizo la ponencia inaugural de la conferencia, a la que asisten 6.500 expertos en técnicas de ciberataque y defensa, tanto legales como de otro tipo.
Hasta el mes de marzo pasado, Henry dirigía los programas criminales y de ciberataque del FBI en todo el mundo. Ahora es presidente de CrowdStrike, una empresa que está desarrollando una tecnología para ayudar a las empresas amenazadas a lanzar contramedidas. Y Henry no es el único que hace llamamientos para que las empresas consideren la posibilidad de responder a los atacantes.
Muchos creen que responder a los ataques podría tener más éxito a la hora de disuadirlos que simplemente fortalecer los sistemas diseñados para impedir la entrada de atacantes. Sin embargo, aún no queda claro qué tipo de contraataque será tecnológicamente posible y legalmente admisible.
Henry hizo hincapié en que no estaba defendiendo el 'contrapirateo' –algo que probablemente sería ilegal- sino pasar de intentar construir sistemas de seguridad impenetrables a diseñar sistemas que permitieran identificar la identidad y las posibles motivaciones de quienes pagan los ataques. A partir de ahí se podrían usar varios medios legales para frustrar o retrasar los esfuerzos de los atacantes, según Henry.
Lo que más preocupa a los defensores de este enfoque son las denominadas amenazas avanzadas persistentes (APT, por sus siglas en inglés), es decir, sofisticados ataques que implican el robo de propiedad intelectual valiosa y que se han usado con éxito contra empresas tan destacadas como Google y la empresa de seguridad RSA en los últimos años. Muchos de estos ataques los apoyan gobiernos extranjeros, según Henry. “Es como jugar al póker con cartas marcadas cuando te sientas a tratar con una empresa que tiene” el apoyo de un gobierno extranjero, afirmó, añadiendo que durante su estancia en el FBI tuvo conocimiento de un ataque que copió 10 años de trabajo de investigación y desarrollo, valorado en aproximadamente mil millones de dólares (unos 800 millones de euros), de una empresa.
Evaluar qué información es más valiosa y diseñar sistemas de seguridad que reúnan pistas sobre los intereses del adversario permite un contraataque eficaz, explicó Henry. “Puede ser negación y engaño: les mandamos algunos paquetes corruptos”, afirmó. “O podemos tener información falsa capaz de hacer daño al adversario, porque les ha costado cuatro meses y dos ataques de día cero [vulnerabilidades del software recientemente descubiertas] llegar ahí y no ha funcionado”.
Henry explicó que un análisis más inteligente de los registros de red de una empresa podría ofrecer la base necesaria para este tipo de estrategias y defendió que se produzcan cambios legales para establecer métodos o incluso la obligación de compartir datos entre empresas privadas y el Gobierno sobre ataques o amenazas. En la actualidad, las empresas atacadas no suelen compartir datos que podrían ayudar a otras a no correr la misma suerte, afirmó. Y las empresas suelen acusar a las agencias gubernamentales del mismo tipo de secretismo.
Antes de Henry habló Jeff Moss, fundador de la conferencia Black Hat y jefe de seguridad de la ICANN, conocido también como 'Tangente Oscura'. Moss afirmó que también cree que la seguridad informática civil debería ser más activa. “Necesitamos glóbulos blancos ahí fuera, empresas dispuestas a forzar los límites, vivir un poco más al límite forzando a los atacantes y ver qué pasa”.
Moss mencionó a Crowdstrike como ejemplo. Otro ejemplo, según afirmó, es Facebook, que ha sido pionero en el uso de pruebas reunidas antes de un ataque para perseguir al atacante independientemente de la aplicación de la ley. En enero, la red social presentó una demanda civil contra la empresa de marketing Ascend alegando que había usado software malicioso para esconder botones de 'me gusta' de Facebook detrás de fotos obscenas, engañando a los usuarios de la Web para que aumentaran la cuenta de 'me gusta' de sus clientes.
“No soy un Gobierno, no tengo tratados, no tengo la fuerza de un Ejército”, afirmó Moss, “pero puedo contratar a abogados y eso es casi igual de bueno”. Moss cree que este enfoque también serviría para establecer reglas de penalización internacionales.
Algunos observadores se oponen a la idea de que las empresas privadas se encarguen del trabajo de investigación y persecución, porque sostienen que debería quedar en manos de las agencias gubernamentales, sobre todo porque muchos ataques sobre empresas parecen tener su origen en Estados nación. Henry replicó diciendo que las empresas de Estados Unidos se han visto obligadas a considerar este enfoque.
“En el mundo cibernético, el Departamento de Interior tiene la responsabilidad y la autoridad de proteger las .gov y la Agencia de Seguridad Nacional tiene la autoridad y la responsabilidad de proteger las .mil, pero nadie tiene autoridad para proteger a las .com” afirma Henry. “El FBI responderá, pero no patrullan activamente”, concluye.
Copyright Technology Review 2012.
No hay comentarios:
Publicar un comentario