¿Puedo engañar a los hackers? Cyber Deception: qué es y qué problemas resuelve

100
Marta Fernández CounterCraft
Marta Fernández

Para entender a fondo qué es Cyber Deception o el ciberengaño y adentrarnos en su mundo, recurramos a una analogía muy cotidiana: el robo en casa. Y es que todos conocemos a alguien que ha sido víctima de este delito, si es que no lo hemos sufrido nosotros mismos. Y cuando ocurre, siempre hay dos preguntas que surgen inmediatamente: cómo han entrado los ladrones y qué se han llevado.

Son las respuestas a esas dos preguntas las que nos dan las claves para tomar las medidas necesarias para que no vuelva a ocurrir o para que los daños, cuando se produzcan, sean mínimos, evitando que los ladrones se lleven lo que buscan.

El inconveniente está en que, normalmente, obtenemos las respuestas a posteriori, una vez que el daño ya se ha producido. Tenerlas te ayudará a evitar que esta situación tan desagradable te ocurra una segunda vez, pero ¿hubiera sido posible contar con esa información de antemano?

Imagina que esa “casa” en cuestión es la infraestructura de TIque estamos intentando proteger. Tenemos las vallas (firewalls), cerraduras (contraseñas) y el sistema de alarma (EDR). Pero aun así, los cibercriminales han entrado y siguen atacando y comprometiendo nuestros sistemas.¿Cómo podemos dar respuesta a esas preguntas que hemos planteado antes utilizando el ciberengaño (cyber deception)?

¿En qué consiste el ciberengaño?

Siguiendo con la analogía de la casa, vamos a generar una extensión (deception environment) que simule para los ladrones (hackers) ser una parte real de la casa (infraestructura TI). Parecerá que está habitada y será difícil ver la diferencia entre la casa real y la falsa. Además, construiremos diferentes estancias (multilayered deception environment) para ver hasta dónde están dispuestos a entrar y cómo se mueven.

¿Cómo dirigir a los atacantes hacia el entorno de engaño?

Probablemente, en este punto te estarás preguntando cómo hacer para que el ladrón caiga en la casa falsa en lugar de la real. O, saliendo del ejemplo: ¿cómo hacer para que el atacante entre en el deception environment en lugar de en la infraestructura real? La respuesta está en las “migas de pan”, elementos atractivos que dejaremos y a los que el ladrón no se podrá resistir.

Por ejemplo, como sabemos que la banda tiene como objetivo las casas de gente adinerada, podríamos poner una noticia en un portal web donde aparezca nuestra casa falsa vendida por mucho dinero a alguien importante. Conociendo el comportamiento de los atacantes, sabemos que acuden a ese tipo de sitios web para  buscar a sus víctimas.

Si trasladamos esta analogía al mundo ciber, las migas de pan pueden ser, por ejemplo, el típico documento con usuario y contraseña para entrar en un portal web interno ficticio de nuestra compañía que dejamos en Shodan.io, certificados SSL… hay tantas como la imaginación permite.

¿Cómo obtener la información de los atacantes?

Ahora que tenemos el área de engaño lista, vamos a monitorizarcon cámaras y sensores lo que ocurre, para obtener toda la información posible de los movimientos de los ladrones. Queremos saber qué herramientas utilizan, cómo operan y cuáles son sus objetivos: ¿es dinero? ¿son las joyas? ¿es tecnología? ¿documentos? Lo que se traduce en obtener TTPs, IOCs e IOS de los atacantes. Y queremos tener toda esta información en tiempo real para reducir al mínimo el tiempo de resolución de la amenaza.

¿Qué conseguimos utilizando el ciberengaño?

  • En primer lugar, detectamos si un ataque se está produciendo. Cuanto más rápido lo detectemos, más rápido podremos poner solución.
  • En segundo lugar, aunque no menos importante, recogemos inteligencia sobre la amenaza para poder priorizar y tomar decisiones en cuanto a qué acciones hay que llevar a cabo. Volviendo al ejemplo del robo de la casa, podremos saber si hay que poner una valla más alta, tener un perro o cambiar las cerraduras. Pero todos tenemos recursos limitados de personal, dinero y tiempo, así que mejor saber qué es lo que va a ser más efectivo.
  • Ganamos tiempo evitando que entren primero en la infraestructura real y controlamos sus movimientos.

¿Cuáles son los beneficios del ciberengaño?

  • Desde nuestro punto de vista, el principal beneficio es que la inteligencia que proporciona es sobre la propia organización, no sobre el vecino u otra organización.
  • La inteligencia generada es indiferente del tipo de ataque que se utilice.
  • La mayoría de las veces sólo alerta cuando realmente se está produciendo un ataque, reduciendo falsos positivos.
  • No interfiere con la infraestructura real de producción, las campañas de Cyber Deception funcionan en paralelo.
  • El entorno de Cyber Deception y las campañas se comunican e integran con el resto de las soluciones de seguridad que componen el SOC.

Quizás para concluir podamos destacar que el ciberengaño cambia las reglas de juego. Sin deception, los atacantes sólo necesitan tener suerte una vez para comprometer los sistemas; sin embargo, el ciberengaño da la opción a que en el intento caigan en una trampa donde se exponen para poder protegernos de forma más rápida y eficiente.

  • Marta Fernández es UK Channel Manager en CounterCraft