En los últimos años se ha desarrollado una nueva internet, “el Internet Oscuro”, donde criminales, terroristas y “hacktivistas” compran, venden y colaboran para realizar sus actividades ilícitas de una forma completamente anónima.
En él se exponen los activos digitales de empresas y ciudadanos, pero, a la vez, se ha convertido en una herramienta de trabajo para el mundo de cibercrimen clásico, donde también se orquestan los ataques físicos como, por ejemplo, la explosión de una bomba de un ataque terrorista, que es preparada y orquestada a través de las redes digitales.
En 2002 asistimos al nacimiento de Tor, una red que permite enmascarar nuestro origen a través de varios saltos anónimos y crea una Internet paralela, solo accesible para sus usuarios. En 2009 nace Bitcoin, la moneda virtual que permite comprar y vender de forma anónima. En 2011 nos encontramos con Silk Road, el famoso mercado negro dedicado a la compra/venta online de drogas, armas e incluso asesinatos, que acabó siendo clausurado por el FBI con su fundador encarcelado de por vida.
¿Otros ejemplos de la web oscura? El nuevo terrorismo usa masivamente las redes digitales. La “cyberyihada” de ISIS no se explica sin la utilización masiva de estos medios, y fue el refugio que buscó cuando la red “hacktivista” Anonymous decidió atacarle. Información de miles de brechas es comprada y vendida a diario. Wikileaks recoge la información y promueve el uso de la red Tor. Los “Papeles de Panamá” hacen temblar al mundo y ponen en riesgo la economía de un país.
Los recientes robos de información como los de Yahoo, Linkedin y Dropbox, que en total suman más de 2 billones de credenciales en lo que va de año, abren una nueva era en la necesidad de proteger los negocios de la exposición masiva de credenciales y datos personales. Efectivamente, el ataque de Yahoo ha puesto de manifiesto el peligro de las grandes bases de datos, que cuando se filtran y son utilizadas con fines criminales, las empresas, o bien no son conscientes o bien no son capaces de reaccionar cuando el propio hacker les informa. Esta información se usa en la fase de “reconocimiento” de los ataques dirigidos, que cuando tienen éxito terminan robando cuentas bancarias, o generando gastos de salud, o compras en Amazon falsas.
Como respuesta el mundo de la inteligencia, basado en métodos clásicos y la monitorización del mundo real, tiene que evolucionar, adaptarse e incluir la monitorización de este nuevo campo de batalla digital que posee cuatro dimensiones: la web abierta, las redes sociales, la web profunda y la web oscura. Esta fue la razón de lanzar 4iQ, que en inglés significa “inteligencia en los 4 nuevos espacios de inteligencia”.
La ciberseguridad clásica debe basarse en la monitorización de activos técnicos, sistemas que analizan números IP, cabeceras TCP, etc. La ciberinteligencia monitoriza activos de negocio, es decir, personas, grupos de personas, empresas, marcas y productos. Es una tecnología completamente distinta y más compleja. Un número IP es un objeto muy simple y poco cambiante, una persona es todo lo contrario. Monitoriza el exterior. Se trata de la monitorización fuera de la red de las empresas, mirar hacia afuera, frente a la tecnología clásica de seguridad que siempre ha mirado al interior.
Debemos centrarnos en la llamada ciberinteligencia y su campo de juego son los 4 dominios de exposición digital, incluyendo las llamadas web profunda (Deep web) y la Web oscura (Dark web), una red paralela donde se mueven los cibercriminales, grupos terroristas… Hace años percibí la relevancia de esta web oscura y me pareció que era un capítulo nuevo que debe ser monitorizado por todas las empresas y los grupos de inteligencia y cuerpos de seguridad del estado.
Los riesgos a los que se enfrentará un CISO en 2017
Debido a la proliferación de móviles y tecnologías cloud, ya no resulta suficiente proteger el perímetro de una compañía solo con firewalls: continuamente hay documentos que se filtran accidentalmente en google drive, credenciales que se roban cada vez más a menudo y que pueden ser utilizadas para ingeniería social o para cometer cualquier tipo de fraude. Debemos admitir que seremos hackeados y robados y si tomamos esta perspectiva debemos centrarnos en remediar estas exposiciones, limitar la propagación y el daño. Después del DLP (Data Leakage Protection) llega el DLD (Data Leakage Detection).
Debido a la llegada de nuevas normativas, como la europea NIST, que siguiendo al “breach law” del FTC americano obliga a las empresas a controlar su exposición y en el caso de sufrir un ataque, reportar la pérdida de datos a los reguladores y a sus clientes, lo que repercutirá negativamente tanto en su reputación como en sus ingresos.
Las empresas deben afrontar la convergencia del mundo de inteligencia, seguridad lógica y seguridad física. La web profunda y oscura, está haciendo converger los mundos de ciberinteligencia y ciberseguridad que tradicionalmente se han considerado mundos muy separados, con perfiles y conocimientos muy diferentes.
Las empresas deben elevar su capacidad de medir el riesgo, de riesgo técnico a riesgo de negocio. Es decir, la seguridad ha llegado al equipo directivo, al consejo de administración. La monitorización de las amenazas a los activos y el riesgo corporativo como por ejemplo la protección de ejecutivos, de infraestructuras críticas y protección de la marca es ya una necesidad.
Un cuarto peligro son los ataques basados en Identidad. Los ataques sofisticados, los ataques dirigidos comienzan siempre con el “recoinassance” o reconocimiento del objetivo, donde se intenta obtener el máximo número de datos posibles. Se está dando un incremento exponencial de casos de robos de información o de capital a través de lo que se llama “impersonalización” de correos y comunicaciones. Un ejemplo: un fondo de inversión americano transfirió varios millones de euros a una cuenta porque lo había pedido un delincuente que se hizo pasar por un cliente suyo.
El mayor problema de los últimos 18 meses han sido los ataques basados en suplantar y engañar. En Estados Unidos el crecimiento de los delitos de robo de identidad supera a los delitos de cualquier otra categoría.
Los SOC o centros de operación de seguridad, serán sustituidos por iSOC, centros de inteligencia de seguridad. Estos centros tendrán una visibilidad más amplia del riesgo, incluyendo riesgos de negocio. Ofrecerán soporte a los equipos de seguridad corporativa, así como de seguridad física. Protegerán la marca y permitirán investigar a las razones de los ataques y a los enemigos: quién, cómo, cuándo y por qué.
Julio Casal
Cofundador de 4iQ y emprendedor en serie
