Reconociendo y Defendiendo Contra el Cibercrimen Automatizado

Tecnologías automatizadas utilizadas en ciberataques

Hace varios años, los ciberataques impulsados por malware llamados WannaCry y NotPetya capturaron la atención de los expertos en cibercrimen en todo el mundo.

Diseñar e implementar estrategias avanzadas de ciberseguridad para combatir estas amenazas se convirtió en la necesidad del momento. ¿Por qué? Los tiempos y el cibercrimen estaban cambiando:

• Los objetivos de los ataques han cambiado. Los ataques comenzaron con datos de clientes y propiedad intelectual en empresas grandes, pero se trasladaron a las pymes y agencias gubernamentales. Ahora, el énfasis está en los ataques de ransomware y phishing, a menudo en empresas más pequeñas.
• Los ciberataques se volvieron más eficientes. Los ciberdelincuentes han estado utilizando la automatización para causar más daño a más objetivos en menos tiempo.
• Las consecuencias empresariales, legales y de cumplimiento siguen creciendo. Simplemente no vale la pena negar los ciberataques.

Ataques de malware + automatización = grandes problemas para los usuarios de redes

Durante años, los ciberdelincuentes han modificado el malware para que el software de seguridad no pueda descubrirlo o identificarlo como malicioso.

Se iniciaron esfuerzos de inteligencia de amenazas a gran escala para detectar todas las variaciones de malware conocido y poner copias de él en bases de datos para que cada instancia pudiera ser identificada y neutralizada.

Pero identificar millones de piezas de malware es difícil, especialmente cuando están disfrazadas intencionalmente. Cada vez más, los profesionales de seguridad comenzaron a utilizar el aprendizaje automático para detener tipos conocidos y nuevos de malware desconocido.

Conociendo una herramienta efectiva cuando la ven, los ciberdelincuentes también comenzaron a usar el aprendizaje automático. Lamentablemente, adaptan y entregan software que es más adaptable y sofisticado que el de los desarrolladores legítimos.

Ahora, los malos han desarrollado ataques habilitados por el aprendizaje automático y los están utilizando contra empresas y agencias gubernamentales.

El uso de la automatización y tecnologías relacionadas son explotaciones familiares. Pero esto es una noticia vieja. ¿Qué hace que el cibercrimen automatizado sea más arriesgado para las operaciones comerciales de menor escala?

Un informe de Europol advierte que la inteligencia artificial (IA) y otras formas de automatización podrían hacer que los ciberataques sean más peligrosos y difíciles de detectar.

Por ejemplo, el malware basado en el aprendizaje automático puede enviar automáticamente mensajes de correo electrónico de phishing para aprender qué idioma funciona mejor en ciberataques y cómo diseñar ataques para tipos específicos de objetivos.

Los ciberataques modernos utilizan varios tipos de automatización: automatización de procesos robóticos, inteligencia artificial y aprendizaje automático, un subconjunto específico de la IA.

Cada uno aporta sus capacidades para encontrar, organizar, analizar y distribuir grandes volúmenes de datos a velocidades vertiginosas.

Automatización de procesos robóticos (RPA)

Este es un proceso en el que el software automatiza de manera inteligente (subcontrata) tareas aburridas y repetitivas, generalmente realizadas por humanos, a dispositivos mecánicos u otros programas de software.

La RPA es importante porque puede delegar tareas manuales y aburridas a bots, que pueden realizarlas sin que los humanos tengan que supervisarlas o controlarlas.

Rol de la RPA en el cibercrimen automatizado. Subcontratar tareas a trabajadores no humanos ahorra enormes cantidades de tiempo y dinero, y permite realizar muchas tareas que los humanos no pueden hacer. (Ejemplo: Escanear 1.2 millones de instancias de malware en una base de datos de inteligencia de amenazas).

Sin embargo, la comodidad que proporciona la RPA fomenta una mentalidad de «configurar y olvidar» y todos sus riesgos de seguridad.

Los bots a menudo tienen acceso a datos y sistemas sensibles de la red. Los bots de RPA utilizan acceso privilegiado para realizar tareas, moviendo datos entre sistemas y procesos.

Los bots de RPA proporcionan una útil vía de acceso a los datos de una organización cuando se explotan. Debido a que los bots de RPA necesitan acceder a diferentes aplicaciones para manejar datos, las credenciales de acceso a menudo están codificadas en scripts o se obtienen de ubicaciones inseguras.

Estas malas prácticas son fuentes comunes de entrada ilegal a redes y almacenamientos de datos.

Aprendizaje automático

El aprendizaje automático es el término general para la capacidad de las computadoras de adaptarse, aprender y responder a cambios en el entorno sin estar específicamente programadas para tareas específicas.

En el cibercrimen moderno, el aprendizaje automático ocupa un lugar central con ataques habilitados por el aprendizaje automático (MLEA). Al utilizar el aprendizaje automático, los hackers pueden automatizar algunos o todos los pasos en el proceso de violación de datos, que incluyen:

• Descubrir vulnerabilidades, encontrar una debilidad en la red objetivo.
• Explotar debilidades iniciales, utilizar una debilidad para acceder a la red.
• Explotar una debilidad específica, encontrar vulnerabilidades dentro de la red.
• Robar datos, eliminar datos sensibles o valiosos de la red.

La prensa especializada en seguridad señala estas tendencias y predicciones relacionadas con MLEA:

• Con MLEA, se espera que los ataques de phishing se vuelvan más sofisticados. Los programas informáticos pueden aprender lo suficiente sobre ti para imitar con precisión a un jefe, compañero de trabajo, amigo u organización de renombre.
• Los hackers aumentan el número de ataques que llevan a cabo en cada campaña. Los hackers utilizan técnicas de aprendizaje automático para llevar a cabo un mayor número de ataques con una tasa de éxito más alta.
• Las pymes son los objetivos preferidos de los hackers. Los hackers consideran que las empresas más pequeñas carecen de recursos de TI, lo que las hace más fáciles de explotar con herramientas de automatización masiva y aprendizaje automático.

Inteligencia artificial

Los ciberdelincuentes ahora utilizan la IA para escalar sus ataques de ingeniería social y hacerlos más eficientes. Algunos hackers con visión de futuro también utilizan la IA para identificar nuevas debilidades en redes, dispositivos y aplicaciones a medida que surgen.

Al identificar rápidamente oportunidades para los hackers humanos, mantener la información segura se vuelve mucho más difícil. La supervisión en tiempo real de todo el acceso y actividad de la red, junto con la aplicación frecuente y constante de parches, es fundamental para combatir estas amenazas emergentes.

Servicios basados en la nube

La nube no es una tecnología de ataque, pero proporciona un nuevo y fértil entorno de TI donde los ciberataques automatizados ocurren con mayor frecuencia.

Pequeñas suposiciones generan grandes peligros

Los operadores de pequeñas empresas a menudo asumen que los servicios en la nube comprometidos causan menos interrupciones que los servicios tradicionales en las instalaciones.

Este error puede llevar a los administradores y a los equipos de TI a tomar atajos en cuanto a la infraestructura segura en la nube.

También existe una creencia ingenua de que los proveedores de servicios alojados se responsabilizan de la seguridad de los datos del cliente.

Los servicios alojados en la nube todavía requieren monitoreo continuo, gestión de riesgos, copias de seguridad, actualizaciones y mantenimiento, al igual que las infraestructuras de TI tradicionales.

Si hace tiempo que no revisas la seguridad de tus recursos en la nube, ahora es un buen momento. Los ataques están tan automatizados que se puede hacer un daño significativo en poco tiempo.

Esto se aplica a los objetivos de ataque y al daño colateral (los servidores comprometidos se utilizan para llevar a cabo más ataques).

Tipos de ciberataques automatizados

Entonces, ¿qué formas toman los ciberataques automatizados? Los investigadores estudiaron las economías cibernéticas clandestinas y enumeraron 10 de los servicios de automatización más comunes que utilizan los hackers. La mayoría de estas herramientas y servicios forman parte de campañas de hacking activas.

O se negocian en foros de la dark web. ¿Por qué automatizar? Es la forma más simple, rápida y eficiente de lanzar más ataques y generar mayores ganancias.

Violaciones de datos y ventas de bases de datos

Los hackers que distribuyen bases de datos robadas a menudo utilizan la automatización para elegir y ofrecer los datos más valiosos (direcciones de correo electrónico, datos de tarjetas de pago, contraseñas e información personal.

• Ataques de fuerza bruta.
  Los ataques de relleno de credenciales y fuerza bruta son formas comunes en que los actores de amenazas utilizan la automatización en ciberataques. Al usar listas de contraseñas robadas o frecuentemente utilizadas, los hackers automatizan por completo el proceso de acceso a cuentas con herramientas de descifrado de contraseñas automáticas, que hacen todo el trabajo.
• Cargadores y cifradores.
  Estos programas permiten a los hackers entregar y ocultar otro software malicioso de los programas antivirus. Los autores de malware automatizan los procesos de ataque con anticipación, permitiendo a los hackers instalar el malware sin esfuerzo manual.
• Stealers y keyloggers.
  Estos tipos de malware proporcionan a los ciberdelincuentes herramientas preconfiguradas que roban las credenciales de inicio de sesión de sitios web populares o monitorean cada tecla pulsada en un sitio web específico.
• Inyecciones bancarias.
  Ampliamente disponibles en la dark web, estos módulos generalmente se incluyen con troyanos bancarios (virus) que inyectan código HTML o JavaScript en un proceso. El malware redirige a los usuarios de sitios web financieros legítimos a sitios falsos diseñados para el robo de datos. Los operadores de la dark web proporcionan a los usuarios un kit de explotación automatizado, sin necesidad de experiencia en TI.
• Kits de explotación.
  Estas herramientas integrales incluyen varios tipos de exploits, que infectan daños a las debilidades conocidas del navegador web sin atención ni esfuerzo humano. Como el kit de explotación Fallout (un gran favorito de los hackers), estas herramientas se pueden encontrar a la venta en la dark web.
• Phishing dirigido.
  El phishing dirigido es un tipo de explotación de ingeniería social que requiere técnicas más complejas que los ataques de spam. Los hackers abordan esta complejidad mediante la automatización de varios pasos de un ataque de phishing y utilizando plantillas y marcos fácilmente comprados en la dark web.
• Servicios de alojamiento a prueba de balas.
  Estos servicios de terceros son la piedra angular de la economía del cibercrimen. Con la promesa de un refugio para los ciberdelincuentes, los proveedores de BHS ocultan actividades maliciosas e impiden el cierre por parte de las fuerzas del orden. Los servicios de BHS a menudo se basan en técnicas automatizadas como el geo-spoofing, que evita todos los métodos de detección.
• Sniffers de tarjetas de crédito.
  Los foros clandestinos ofrecen un comercio completo de sniffers. Este malware roba datos de tarjetas no presentes en las páginas de pago de sitios web en línea. Los atacantes utilizan estos valiosos datos ellos mismos o los venden a terceros.
  El proceso de sniffing utiliza una inyección maliciosa de JavaScript, recolectando automáticamente información de la tarjeta de pago y datos personales. Los datos se envían directamente a un sistema de comando y control controlado por el atacante para su uso posterior.

Pero, a medida que los actores de amenazas utilizan la automatización para escalar sus esfuerzos, los equipos de defensa de seguridad de redes no se quedan de brazos cruzados. Están utilizando un enfoque similar y muchas de las mismas herramientas automatizadas que los delincuentes.

Tecnologías y Soluciones de Defensa Automatizada

Las medidas de ciberdefensa cada vez más potentes pueden ayudar a las organizaciones a evitar o reducir el daño de los ciberataques. Y las herramientas y soluciones automatizadas pueden hacer que las medidas de ciberdefensa sean más eficientes y efectivas.

La automatización proporciona impresionantes capacidades de defensa a los profesionales de seguridad informática en todas partes.

Tecnologías y Procesos de Ciberdefensa Automatizada

Es seguro decir que los hackers de alto nivel se han vuelto corporativos. Con sus presupuestos de investigación, los ciberladrones del siglo XXI mejoran constantemente sus productos. El software malicioso y los procesos son más sigilosos, inteligentes y capaces de paralizar las infraestructuras de TI.

Los criminales están utilizando servicios en la nube y tecnología automatizada para acelerar los ataques, disminuyendo el tiempo que las empresas tienen para identificar y responder a una violación de datos o un ataque de interrupción.

Los especialistas en seguridad desarrollan constantemente formas innovadoras de recuperar gran parte de ese tiempo. Utilizan tecnologías automatizadas para defender los datos y las infraestructuras de red del daño.

Tecnologías de ciberdefensa

Esta es la alineación de tecnologías que desempeñan roles importantes en la defensa de la ciberseguridad.

Inteligencia artificial/aprendizaje profundo. La IA desempeña un papel cada vez más importante en la ciberseguridad. Las herramientas de análisis de datos participan en procesos de alta velocidad y alto volumen para identificar, recopilar y analizar datos de millones de incidentes cibernéticos. Los resultados ayudan a identificar posibles amenazas, como una cuenta de empleado que actúa de manera extraña al hacer clic en un enlace de phishing o una nueva variante de malware, por ejemplo. La IA ahora defiende la ciberseguridad de la red al:

• Identificar patrones de comportamiento anormal en la red
• Identificar nuevos malware.
• Responder y limitar el daño de incidentes sospechosos en tiempo real.

Las herramientas basadas en aprendizaje profundo detectan amenazas o actividades no autorizadas mediante el análisis de registros, datos de transacciones y comunicaciones en tiempo real.

Análisis de comportamiento de la red. Esta técnica, que sedirige a las redes sociales y anuncios en línea para un público cuidadosamente definido, también tiene un lugar en la ciberseguridad.

Cuando se combina con métodos de aprendizaje automático, el análisis del comportamiento ayuda a los profesionales de seguridad a detectar patrones de comportamiento dañinos en el sistema o la red y a responder a las ciberamenazas en tiempo real.

Dispositivos conectados a Internet (IoT). Los dispositivos IoT permiten a las organizaciones conectar dispositivos a redes y transferir datos sin intervención humana. Impulsan la automatización, la productividad y la eficiencia, lo que los hace valiosos en los esfuerzos de ciberseguridad.

Hardware de autenticación incorporado. Los autenticadores integrados son tecnologías emergentes que confirman la identidad de un usuario. Introducido por primera vez en 2016 como el chip vPro de sexta generación de Intel, este enfoque de autenticadores de hardware se consideró que ofrecía una mejor protección contra interferencias y manipulaciones que sus equivalentes de software.

Estas potentes herramientas de autenticación de usuarios están integradas en el hardware de un dispositivo. Cada dispositivo utiliza varios niveles y métodos de autenticación que trabajan juntos. Ahora, el interés y el valor de mercado de esta tecnología están creciendo rápidamente.

Procesos de ciberseguridad automatizados

La automatización de estos procesos de TI brinda a las organizaciones mejoras notables en sus defensas de ciberseguridad.

Detección de malware y actividad disruptiva. La implementación de una buena gobernanza de datos a través de técnicas automatizadas limita el riesgo total cuando ocurre un incidente. Sin embargo, es necesario detectar e intentar detener un ataque antes de que avance.

Desafortunadamente, cuando los defensores de la seguridad utilizan técnicas convencionales como escáneres de virus, el malware moderno como Sodinokibi es difícil de detectar.

Una de las razones de esta dificultad es que el malware aprovecha el software existente de Windows, como PowerShell y otras utilidades estándar.

Responder a los ataques en tiempo real. El software defensivo basado en aprendizaje automático identifica y reacciona a problemas sospechosos casi de inmediato, evitando posibles problemas que interrumpan el negocio sin depender de que los humanos tengan que monitorear todo al mismo tiempo.

El software de seguridad avanzado compara los datos que describen el comportamiento actual de la aplicación con los datos básicos almacenados en línea. (Esto incluye todos los aspectos del comportamiento normal de una aplicación web, como directorios, URL, parámetros y entradas de usuario aceptables).

El análisis basado en reglas determina si el comportamiento de la aplicación es «seguro». Si la situación no es segura, la aplicación bloquea los ataques en cuestión de segundos.

Capacidades Avanzadas de Ciberdefensa

Con sus presupuestos de I+D, los ciberdelincuentes del siglo XXI siempre están mejorando sus productos, haciéndolos más rápidos, sigilosos e inteligentes para detectar y eliminar copias de seguridad y debilitar otras defensas.

Encontrar datos sensibles entre millones de archivos, ajustar permisos y luego monitorear las amenazas en estos enormes sistemas de archivos corporativos está más allá de las capacidades de los equipos de TI. A menos que cuenten con una ayuda importante de la automatización de software.

Detección de software malicioso y procesos disruptivos

Descubrir nuevos tipos de malware no es la única forma en que el aprendizaje automático puede mejorar la ciberseguridad. Otras capacidades importantes incluyen:

• Describir el comportamiento típico de la red. Las herramientas de monitoreo de red basadas en inteligencia artificial también pueden rastrear lo que hacen los usuarios a diario: construir una imagen del comportamiento típico de la red, para detectar anomalías y reaccionar en consecuencia.
  La IA puede ser muy efectiva en el monitoreo detallado de la red y el análisis, estableciendo una línea de base del comportamiento normal y señalando discrepancias. La diferencia entre máquinas y humanos: eficiencia. Las herramientas de IA pueden realizar muchas más operaciones en poco tiempo (piense en milisegundos) con menos falsos positivos.
• Aprender cuándo las alertas son efectivas. A medida que el conjunto de datos crece y recibe más retroalimentación sobre su toma de decisiones, puede adquirir más experiencia y mejorar en la tarea de defender su red.
• Encontrar y neutralizar intrusiones. Los tiempos de respuesta rápidos ofrecen la mejor oportunidad para limitar los diversos tipos de daños que los hackers, invasiones y exploits sigilosos pueden causar. El software de seguridad avanzado proporciona a los usuarios la autoridad para anular amenazas y bloquear intrusiones en tiempo real.

Papel de las herramientas y procesos automatizados

Un primer paso importante es tener prácticas automatizadas de gobernanza de datos: software para escanear eficientemente los sistemas de archivos, determinar patrones de acceso de los empleados y luego establecer permisos que limiten el acceso a aquellos que lo necesitan.

Además, el software de defensa cibernética debe poder clasificar los datos corporativos para encontrar información sensible, como números de tarjetas de crédito, contraseñas y otros datos de cuentas, y bloquear estos archivos con permisos especiales.

Requisitos de Recursos

Los beneficios de utilizar un proveedor de infraestructura como servicio (IaaS) son evidentes. No hay necesidad de gastar dinero en comprar y mantener servidores costosos y potencia informática para administrar sus datos y operaciones de TI. Y se tiene la sensación de que sus datos están seguros. Después de todo, están en la nube.

Bueno, quizás. Dueños de negocios: echen un vistazo detenido a la letra pequeña de su contrato de servicio. Sus datos podrían no estar tan protegidos como piensan.

Cuando publica sus datos en la nube, el proveedor de IaaS (alojamiento en la nube) es responsable de proteger la infraestructura básica de TI que contiene sus datos y aplicaciones.

Usted, como dueño del negocio, es responsable de proteger sus propios datos. Miren este gráfico. (Fuente: Amazon Web Services)

Este modelo muestra claramente cómo los clientes y los servicios en la nube se comunican entre sí. El proveedor de IaaS puede apoyarlo proporcionándole infraestructura segura, acceso a ancho de banda y recuperación de desastres, pero depende de usted estar consciente de las limitaciones de la computación en la nube y cómo proteger su información.

Contratar a un Proveedor de Servicios de Seguridad Administrados por Terceros

Las pequeñas y medianas empresas continúan enfrentando amenazas de cibercrimen. Los informes técnicos de seguridad y los documentos técnicos presentan un panorama sombrío para los propietarios de pymes. Y sus posibilidades de pasar desapercibidos para los ciberdelincuentes no son buenas.

La demanda actual de servicios de seguridad confiables ha creado un servicio adicional: el MSSP. Los proveedores de servicios de seguridad administrados venden servicios especializados basados en la nube a organizaciones de todos los tamaños. Los MSSP respaldan algunos o todos los aspectos de las funciones de seguridad de sus clientes, que normalmente incluyen algún nivel de:

• Monitoreo de seguridad continuo.
• Evaluación de riesgos de vulnerabilidad.
• Monitoreo de inteligencia de amenazas.
• Respuesta y gestión de intrusiones.

Antes de quejarte, «¡Pero no puedo pagarlo!», considera esto: En términos de tiempo, dinero y talento en las instalaciones, ¿puedes permitirte:

• Reunir las herramientas y el talento para monitorear la seguridad de tu red las 24 horas del día, los 7 días de la semana? Los ciberdelincuentes (o más bien, sus bots automatizados) no duermen.
• Contratar talento que realice evaluaciones de riesgo prelimabilidades en tus activos de red?
• Realizar todas las tareas administrativas relacionadas con la seguridad que odias (¡parches!) de manera minuciosa y consistente?
• Reunir las herramientas y el software más recientes para minimizar el daño de una violación de seguridad o un ataque de ransomware?

Entendemos si respondes «no» a cualquiera de estas preguntas. Pero, en última instancia, todo se reduce a evaluar los costos de los servicios de soporte de seguridad en curso frente al valor esperado de que algo salga mal en tu negocio.