En el ámbito de la ciberseguridad, la atribución de amenazas se asemeja a los métodos de investigación del legendario detective Sherlock Holmes. Al igual que Holmes utilizaba sus agudas dotes de observación y razonamiento deductivo para descubrir al autor de un crimen misterioso, la atribución de amenazas implica analizar meticulosamente los ciberataques para rastrear sus orígenes e identificar a los atacantes. En su forma clásica, los expertos en atribución de amenazas reúnen pistas y conectan sucesos aparentemente inconexos para llegar a una comprensión exhaustiva del delito en cuestión.  

La desafiante naturaleza encubierta del Internet

Desgraciadamente, la naturaleza encubierta del Internet podría incluso poner a prueba las astutas dotes detectivescas de Sherlock Holmes. En el caso de los ciberataques, los responsables no son el mayordomo o el cónyuge traicionado. En su lugar, los autores rara vez guardan relación con la víctima y suelen ser lo bastante listos como para no dejar pistas evidentes. Los actores de amenazas experimentados emplean técnicas como la suplantación de direcciones IP, las botnets, los túneles VPN y la Dark Web para ocultar su rastro, lo que hace que su identificación sea una tarea sólo apta para los investigadores más hábiles.

De hecho, los ciberdelincuentes activos no sólo se esfuerzan por camuflarse durante sus misiones de reconocimiento y ataque, sino que incluso imitan las tácticas y los patrones de otros grupos de hackers para despistar a los investigadores. Este despiste deliberado puede llevar a los investigadores por el mal camino, lo que no sólo provoca retrasos en la investigación, sino que además puede conducir a una identificación errónea de los sospechosos. La posibilidad de acusar a las personas equivocadas añade otra capa de complejidad y posible bochorno a la ya difícil tarea de atribuir las ciberamenazas.

¿Qué es la atribución de amenazas?

La atribución de amenazas en ciberseguridad hace referencia al proceso consistente en identificar el origen o la fuente de un ciberataque. Esto implica analizar varias huellas digitales dejadas por los atacantes, como firmas de malware, direcciones IP y métodos de ataque. El objetivo es rastrear el ataque hasta llegar a individuos, grupos o naciones-estado concretos. Una atribución precisa de las amenazas es crucial para comprender los motivos de los atacantes, prevenir futuros ataques y, potencialmente, emprender acciones legales.

La inteligencia sobre amenazas desempeña un papel fundamental a la hora de facilitar información detallada sobre metodologías de ataque, actores de amenazas conocidos y amenazas emergentes para la ciberseguridad. Sin embargo, es una tarea compleja debido a los sofisticados métodos que suelen utilizar los atacantes para enmascarar sus identidades y ubicaciones, lo que dificulta la atribución definitiva. Desgraciadamente, pocas organizaciones disponen de las capacidades de supervisión avanzadas o de los conocimientos necesarios para detectar e investigar ataques elaborados.

Los IOC siguen siendo relevantes, aunque no tan eficaces

Estaría bien que los ciberdelincuentes dejaran algún tipo de tarjeta de visita que les identificara tras un ataque. Sin embargo, a veces lo hacen en forma de indicador de compromiso (IOC). Un IOC es una parte de los datos forenses que sugieren que la red de una organización puede haber sido vulnerada y por quién. Los IOC incluyen varios elementos, como direcciones IP inusuales, firmas de malware, nombres de dominio sospechosos o patrones de tráfico de red irregulares, que se utilizan para detectar actividades potencialmente maliciosas.  

Aunque siguen teniendo relevancia, los IOC han perdido eficacia en el cambiante panorama de la ciberseguridad de los últimos diez años debido a la creciente sofisticación que los hackers y ciberdelincuentes emplean en sus ataques. Las metodologías de los ciberataques son muy dinámicas hoy en día y utilizan métodos avanzados como el malware polimórfico, el cifrado, el malware sin archivos y técnicas de ofuscación que les permiten actuar sin ser detectados. La evolución constante de las técnicas de ataque ha obligado a los equipos forenses digitales y de respuesta a incidentes a modificar también sus enfoques.

Pistas para atribuir las amenazas

En la era digital actual, enmascarar la propia dirección IP es relativamente sencillo para un usuario de Internet con conocimientos, y más aún para un actor de amenazas experimentado. Esto obliga a los analistas de ciberseguridad a profundizar, buscando indicadores sutiles que puedan revelar el origen de los ataques y la identidad de sus autores. Las pistas siguen estando ahí, sólo hay que tener un ojo muy entrenado para encontrarlas.   

Tomemos por ejemplo el código que hay detrás de un ataque de ransomware o malware. Al igual que ocurre con la escritura, cada programador tiene un estilo único que determina cómo estructura su código, nombra las variables y gestiona los errores. Otras sutilezas pueden incluir marcas de tiempo que delatan la zona horaria del atacante, el uso de un idioma nativo concreto o traducciones complicadas en el código. El uso frecuente de bibliotecas o herramientas de programación específicas también puede indicar conexiones con determinados grupos o regiones geográficas. Reconocer estos intrincados detalles es crucial en el complejo campo de la búsqueda de ciberamenazas.

Uso del marco MITRE ATT&CK

Para mantenerse al día en el arte de la detección e identificación temprana de los ataques, los equipos de seguridad están profundamente inmersos en el estudio de las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes conocidos en la actualidad. El análisis de las TTP se utiliza en gran medida en la atribución de amenazas para diseccionar cómo podría actuar un atacante. Los analistas de ciberseguridad examinan los cómos y los porqués de un ataque de exfiltración de datos así como los procedimientos y técnicas utilizados para infiltrarse en una red, como por ejemplo un correo electrónico de phishing. En conjunto, esto ayuda a comprender el comportamiento, las capacidades y los objetivos del atacante.

Estas TTP se encuentran sistemáticamente documentadas en el marco MITRE ATT&CK, una base de conocimientos de acceso global sobre las TTP de los adversarios basada en observaciones del mundo real. Este marco permite a los equipos de seguridad asignar los patrones de ataque observados al marco para identificar posibles atacantes y anticipar cuál puede ser el siguiente movimiento u objetivo. También constituye una valiosa herramienta para la formación de los profesionales de la seguridad, permitiéndoles prepararse y responder con mayor rapidez y eficacia a una gran variedad de ciberamenazas.

La velocidad también es importante

La realidad es que hoy en día no existe una manera única de hacer las cosas en lo que concierne a la ciberseguridad. Los responsables de la defensa deben utilizar hábilmente las herramientas y la información de que disponen. Además de detener la propagación de un ataque y localizar al autor, estas acciones deben ejecutarse con rapidez. Esta urgencia es clave porque, una vez que comienza un ataque, puede escalar rápidamente, haciendo de la velocidad un elemento crítico en la eficacia de la ciberdefensa.

Conclusión

En sus historias, Sherlock Holmes siempre cerraba sus casos con una conclusión definitiva. Por desgracia, la atribución de las amenazas no siempre es igual de definitiva en ciberseguridad. Aunque los esfuerzos por atribuir las amenazas puedan parecer ambiguos para el ojo inexperto, hoy en día es un ejercicio esencial en el ámbito de la ciberseguridad que desempeñará un papel vital en la configuración de las futuras estrategias y políticas de defensa.