Inteligencia de amenazas

También puedes escuchar este post en audio, ¡dale al play!

Según cifras del Centro Criptológico Nacional (CCN), en 2020 se detectaron un total de 82.530 incidentes a organismos públicos, de los cuales 7.000 fueron categorizados de peligrosidad “muy alta”, duplicando la cifra con respecto al año anterior .

En el año 2021, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó desde su Centro de Respuesta a Incidentes de Seguridad 109.126 incidentes con afectación a ciudadanos, pymes y empresas de nuestro país.

En España, estos incidentes de seguridad han estado protagonizados, principalmente, por figuras estatales y cibercriminales, y la crisis sanitaria ha favorecido el incremento de campañas emprendidas por grupos APT (Advanced Persistent Threat) contra organismos vinculados al ámbito sanitario.

En los últimos años, hemos observado que los límites entre los diferentes actores de amenazas se han vuelto más difusos. Los métodos y herramientas que antes solo suponían una amenaza para un número limitado de grandes organizaciones se han extendido al mercado en general.

El volcado de código de ‘Shadow Brokers’, que supuso la disposición de exploits avanzados a cualquier grupo delictivo, ha favorecido que casi cualquier actor pueda comprometer los activos de una organización a partir de código altamente sofisticado.

A su vez, la profesionalización del sector, la conclusión de la ciberdelincuencia como actividad lucrativa rentable, la continuación del malware-as-a-service (MaaS), el aumento de phishing BEC (Business Email Compromise) y las credenciales comprometidas, la triple extorsión en los ataques de ransomware o las campañas APT, no solo centradas en ciberespionaje, sino en extracciones económicas para financiar otras actividades; cambian casi a diario el panorama de las ciberamenazas.

En las últimas semanas, hemos presenciado la aparición de programas de bug bounty lanzados por grupos de ransomware, solicitando a investigadores el envío de informes de errores a cambio de recompensas que pueden llegar al millón de dólares.

Ante este panorama actual, la ciberinteligencia se convierte en una técnica cada vez más necesaria para hacer frente y prevenir ciberamenazas de forma proactiva. Esta disciplina, desarrollada desde el ámbito militar y defensa, es cada vez más común en el ámbito privado, y no solo en grandes multinacionales.

Es cada día más una inversión rentable dentro de unos servicios de ciberseguridad completos, ya que proporciona un mayor conocimiento de la superficie de ataque, ayudando a identificar cuáles son los objetivos de mayor valor o cómo pueden ser explotadas las vulnerabilidades detectadas.

Permite pensar como un atacante, cuáles son los activos clave de una organización y qué conjunto de datos y procesos empresariales son vitales. Asimismo, contribuye a desarrollar técnicas para contrarrestar, identificar y vigilar, así como entender las motivaciones, comportamiento y perfil de grupos, actores y campañas.

El proceso de ciberinteligenia consta de una serie de fases (ciclo de ciberinteligencia), y suele incluir la compartición de descubrimientos sobre modelado de amenazas en tecnologías o industrias específicas: planificación, recopilación, procesamiento, análisis, integración y evaluación. Y en estas fases, junto con la tecnología, es determinante la figura del analista.

Pero el número y la complejidad de los ciberataques continuarán la tendencia al alza, aprovechando vulnerabilidades existentes y acontecimientos que favorezcan la desestabilidad e incertidumbre.

El incremento del uso de las redes sociales, tanto en el ámbito laboral como en el personal, supondrá una mayor exposición para empresas y organizaciones y, en consecuencia, un reto para la imagen reputacional de los las mismas, así como un aumento de casos de fraude corporativo o suplantación de marca corporativa.

A nivel estatal, los actores patrocinados y financiados por estados continuarán desarrollando sus actividades cibercriminales con objetivos principalmente políticos. Prácticas como el ciberespionaje continuarán adaptándose y aprovechando los avances tecnológicos.

La infoxicación o sobrecarga de información es uno de los principales obstáculos en la fase de recopilación y filtrado de información. La cantidad de desinformación presente, las técnicas de deep fakes, el uso de bots o la automatización de las interacciones en redes sociales continuarán generando un volumen de información inmanejable en los próximos años.

Donde, además, la credibilidad de las fuentes se seguirá viendo afectada por sesgos e información incompleta. Por ello, la figura del analista con capacidad para recopilar, filtrar y analizar la información seguirá siendo fundamental.

Es por todo ello que la ciberinteligencia precisa también de la aplicación de nuevos avances tecnológicos para abordar los riesgos actuales y futuros.

El big data, la hiperautomatización, la inteligencia artificial, el blockchain analytics, el empleo de machine learning o el risk intelligence vislumbran otro futuro en el panorama de la ciberinteligencia, dirigiéndonos a una inteligencia de amenazas gestionada.

Todas estas disciplinas, incorporadas ya en mayor o menor medida, permitirán ir un paso más allá tanto en la atribución de ciberataques, como en la detección de estos, incluso antes de que se produzcan.

El análisis de la ingente cantidad de información, su monitorización y correlación nos permitirá predecir comportamientos, individuales y colectivos, campañas de desinformación o la detección de zero-day antes de que estos puedan materializarse.

En paralelo con el desarrollo y evolución de herramientas, técnicas y procesos, la ciberinteligencia continúa haciendo frente a la emergencia de nuevos desafíos y amenazas caracterizados por un entorno VUCA: altamente volátil, con alta incertidumbre, complejo y ambiguo, que favorecerá la sofisticación de los ataques perpetrados por figuras estatales, organizaciones cibercriminales, grupos terroristas y actores de ciberamenazas en general.

Es evidente que una defensa satisfactoria de los activos digitales precisa de nuevos métodos y las organizaciones necesitan un nuevo enfoque proactivo para protegerse, adaptando sus controles de seguridad a un entorno complejo y cambiante de ciberamenazas.

No basta con reaccionar ante un incidente, los entornos ofrecen cada vez más oportunidades para los atacantes. Todo ello introduce una enorme cantidad de variables en los posibles métodos de ejecución de un ataque, así como en las nuevas variaciones.

El contexto actual y las tendencias emergentes llevan a concluir que la inteligencia avanzada de amenazas se hace, y se hará, imprescindible en los próximos años para cualquier organización y debe estar muy integrada con la gobernanza y las políticas de gestión de la seguridad, así como con los equipos de tecnología.