La tarea principal de los profesionales de ciberseguridad, y lo que más tiempo de trabajo les consume, es monitorizar y proteger el entorno de servicios y redes de la organización en la que trabajan. Pero en un mundo hiperconectado, muchas amenazas se gestan fuera de su fuerte, más allá de las fronteras de las redes que ellos tanto se esfuerzan por defender.
Entre otras cosas porque la frontera y el perímetro prácticamente han desaparecido. Por eso, deben mantenerse informados sobre todo lo que sucede y subyace desde Internet. Existen plataformas que facilitan esta labor permitiéndoles optimizar su tiempo. Son tres las amenazas más comunes que podemos encontrar más allá del muro y que pueden afectar gravemente a la reputación de una marca:
• El spearphising (la versión individualizada del phising)
• Las Amenazas Persistentes Avanzas o APTs
• Y los metadatos de malware.
¿Alguna vez has llegado a una página web de la que has sospechado sobre su autenticidad? Seguramente sea porque su creador ha intentado simular una página real. Estas páginas, ya sean creadas específicamente para el espionaje dirigido o para el robo generalizado de credenciales, intentan camuflarse entre los servicios proporcionados por las empresas como puede ser un anuncio de alquiler de Airbnb, un producto de Amazon o la página de contratación de un seguro.
Las páginas falsas utilizan los errores tipográficos cometidos por las personas que realizan una búsqueda. De esta forma, en caso de que el ciberdelincuente registre el dominio “Amazn.es” quizá consiga que aquellos usuarios que introduzcan erróneamente “amazn” en el buscador, aterricen en su página fraudulenta. Otra de las fórmulas que emplean para confundir a sus víctimas consiste en combinar el nombre de marcas conocidas, con el de inicio de sesión de cuenta, como por ejemplo minuevologinmicrosoft.com o amazon-vendedor-login.com
Pero existe la posibilidad de frenar la creación de estas páginas ya que los delincuentes registran estos nuevos dominios días, e incluso semanas, antes de poner en marcha su trampa. Plataformas de este tipo, permiten identificar los nuevos registros de estos dominios para que los profesionales en seguridad informática puedan bloquearlos fácilmente. Así mismo la plataforma permite identificar posibles cuentas en listados como posibles víctimas asociadas.
Los equipos de ciberseguridad deben estar al tanto, en todo momento, de las amenazas que existen fuera de su perímetro de seguridad y que pueden suponer un riesgo para la integridad de los sistemas informáticos de la organización. La revista IT Digital Security asegura que en 2019 los actores de Amenazas Persistentes Avanzadas (aquellos que realizan ataques sigilosos, continuos, dirigidos a una víctima específica y para los que se requieren muchos recursos) “realizarán ataques sofisticados a gran escala en 2019.”
Ahora los equipos de seguridad lo tienen más fácil que nunca para detectar los delitos que se estén cometiendo contra sus productos y marcas registradas en Internet, disponiendo de más tiempo para centrarse en las tareas más críticas
Pero también hay actores que emplean otro tipo de malware, el más utilizado y que está ‘estandarizado’, es decir, no personalizado y disponible para ser comprado o descargado gratuitamente. El seguimiento que los equipos de ciberseguridad tienen que realizar de los actores APT y las muestras de malware de los productos estandarizados más comunes puede ser una tarea desalentadora ya que, para hacerlo con precisión, demanda una multitud de recursos: acceso rápido, fiable y mantenido a nuevas muestras de malware, un repositorio de malware completo y un conjunto preciso de reglas o firmas Yara para clasificar las muestra. Muchos equipos de seguridad no disponen de estos recursos, pero tampoco del tiempo adecuado para realizar ingeniería inversa del malware (es decir, analizar el malware para averiguar cómo funciona y qué hace) que estando en su entorno de amenazas pueda suponer un peligro inminente.
Por eso, este tipo de plataforma ayuda a los equipos sintetizando sus labores. En lugar de monitorizar grandes cantidades de cuentas, informes de malware y otras fuentes, podemos, además de identificar las informaciones publicadas en forma de hashes que se encuentran fácilmente en Twitter y Virus Total, detectar otras fuentes de información no tan fáciles de encontrar. Para ello basta con realizar una búsqueda sobre “Any Hash” en la plataforma introduciendo los nombres comunes o cadenas de actores de amenazas. Verás cómo surgen nuevos hashes asociados con actores de interés. Obtener esta información desde el servicio resulta realmente sencillo.
Estos hashes de malware se pueden suministrar casi automáticamente a las herramientas de Endpoint Detection and Response (EDR) para identificar los puntos finales infectados o generar alertas, en el caso de que esos archivos estén presentes. Se puede alertar de la presencia de estos hashes con una cadencia regular para que sean enviados al SIEM (Sistema de gestión eventos e información de seguridad) o para generar el bloqueo de un equipo, con la frecuencia que se estime apropiada. Esto ayudará a los equipos a gestionar la información de sitios de paste de malware, o a continuar actualizando los sitios de noticias con las menciones de actores de amenazas o malware de interés. Minimizamos así el tiempo de recopilación, maximizando el tiempo de análisis de los expertos.
El valor de marca es el bien más preciado que poseen las empresas. Por eso invierten grandes cantidades de dinero en marketing y publicidad, con el objetivo de construir una buena imagen de marca. Pero esto no es suficiente. Salvaguardar la reputación de una empresa es igualmente importante y, en numerosas ocasiones, se descuida demasiado la seguridad digital, ignorando la multitud de riesgos provenientes del mundo cibernético que pueden dañar profundamente una marca. Los daños provocados son exponenciales comparados con el capital invertido en la creación de la marca.
En numerosas ocasiones, el malware consigue burlar los filtros y barreras de seguridad instauradas por los equipos de ciberseguridad. Este malware puede infiltrarse, por ejemplo, a través de un correo electrónico infectado, la descarga de un archivo o una aplicación ejecutada y, a menudo, pasa desapercibido mientras recopila información que puede ser usada de forma fraudulenta contra proveedores, clientes o los propios trabajadores, es decir, contra la marca. La identificación a tiempo de estos archivos infectados puede ayudar a evitar una crisis reputacional. Además pueden establecerse alertas para que se activen cuando la plataforma detecte un comportamiento anómalo. Con el servicio de vigilancia se generan alertas sobre estos comportamientos, siempre desde el contexto del servicio que tiene en cuenta los activos de la empresa.
Ahora los equipos de seguridad lo tienen más fácil que nunca para detectar los delitos que se estén cometiendo contra sus productos y marcas registradas en Internet, disponiendo de más tiempo para centrarse en las tareas más críticas.