Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
volver
POR:
Mauricio Orellana
(Cybersecurity Researcher & Trainer)
COMPARTIR
Beaconing: Rastreando atacantes
Periódicamente surgen nuevos ataques a empresas que intentan recolectar información sensible, o algunos datos importantes. Lo que cualquier ciber-atacante busca es llevarse algo que esté ligado a su objetivo, ya sea un documento, foto, o archivo. Es cierto que es importante estar siempre preparado para lo peor cuando ocurra, y con la ciberdefensa activa podemos estar un paso adelante para contrarrestar los ataques, en vez de estar esperando que esto simplemente suceda. Este método, ya sea utilizándolo o en conjunto con honeypots, nos puede dar un buen panorama en cuanto a los resultados.
Repaso de Ciberdefensa Activa
En la Ciberdefensa Activa contamos con 3 grupos de técnicas según sea su ámbito de acción: redes, software y procesos. En el primer grupo se encuentran: los atractores (honeypots), el balizamiento o señuelo (beaconing), y los sumideros (sinkholing). En segundo grupo se toma el concepto de objetivo móvil como base, y se aplica en técnicas como: ofuscación proactiva, variantes diversificadas, y aleatorización de espacios. El tercer grupo se representa en la inteligencia de amenazas (Cyber Threat Intelligence, CTI) y la caza de amenazas (Threat Hunting).
¿Qué es Beaconing?
El beaconing es una técnica que permite demostrar conocimiento de que cierta información protegida ha salido de una red o zona de confianza autorizada, y que puede identificar potencialmente la ubicación de archivos en caso de que sean robados. Se considera una técnica activa, en tanto que las marcas de agua la complementan como técnica pasiva. Además puede combinarse con la técnica de canario, que implica asociar una pieza de información a una persona en base a la generación de un elemento identificatorio específico.
Esta técnica permite que un defensor coloque fragmentos camuflados de código, archivos o artefactos en sus sistemas de almacenamiento y aplicación. Una vez robado, este código puede activarse en las computadoras de los atacantes para registrar información de identificación, evaluar a la víctima del robo, la ubicación de sus datos de propiedad, y más.
Existen acciones más agresivas de ciberdefensa, a veces llamadas "hack back”. Hace tiempo el Washington Post se publicó un artículo titulado “Cyber attacks trigger talk of ‘hacking back’” en el que se señala que a pesar de ser una actividad prohibida, algunos bancos instalan los denominados “beacons” (señuelos) los cuales potencialmente pueden ser adjuntados a datos sensibles, haciendo que sea más fácil tanto seguir el camino de los datos robados como determinar el camino que siguió a través de Internet. Los autores afirman además, que el mero hecho de hablar de ello dentro de los círculos de ciberseguridad puede la conversación acerca de los riesgos que acarrea, empezando por el hecho de que la mayoría de las formas de hackeo inverso (hack back) son ilegales y terminando con advertencias de represalias que podrían provocar una guerra cibernética a gran escala, con daños colaterales a través de Internet.
Marco legal en algunos países
En EE.UU., el Proyecto de Ley ‘Active Cyber Defense Certainty Act’ (ACDC), pretende que los actores privados debidamente autorizados puedan “salir de sus propias redes para 1) establecer la atribución de un ataque, 2) perturbar el ciberataque sin dañar equipos de terceros, 3) recuperar o destruir los archivos robados, 4) monitorizar el comportamiento del atacante, y 5) utilizar tecnologías de balizado”, comportamientos que actualmente podrían vulnerar la vigente ‘Computer Fraud and Abuse Act’ (CFAA).
Algunos países parecen estar siguiendo esta senda, como por ejemplo Reino Unido, cuya Estrategia de Ciberseguridad Nacional 2016-2021 insta a “desarrollar y aplicar medidas de defensa activa que mejoren significativamente los niveles de ciberseguridad a través de las redes del Reino Unido”, si bien resta por concretar el ámbito de libertad que se dará a las empresas para ejecutar tales medidas, así como sus características concretas. El liderazgo en la materia lo asume por el momento Singapur, que ya en 2014 modificó su legislación para permitir a los actores privados, a través de un mecanismo de autorizaciones previas y de inmunidades penales, a llevar a cabo medidas de defensa activa frente a los ataques contra infraestructuras críticas, incluso con carácter preventivo.
En España, Estrategia Nacional de Ciberseguridad la busca una “transición de un modelo de ciberseguridad de carácter preventivo y defensivo hacia un esquema que incorpore elementos de mayor fuerza disuasoria”, así como “una aproximación más proactiva de la ciberinteligencia”, si bien no atribuye expresamente facultades para ello a los actores privados, más allá de reconocerles “un papel relevante como uno de los gestores y propietarios de los activos digitales de España”. Además, la estrategia se refiere expresamente a la ciberdefensa activa (“La defensa de ciudadanos, autónomos y empresas debe ir más allá de las medidas de autoprotección que ellos puedan tomar, por lo que es conveniente implantar medidas para su ciberdefensa activa”), contemplándolo además entre sus líneas de acción (“se implantarán medidas de ciberdefensa activa de ciudadanos y pymes”) si bien no concreta qué tipo de medidas activas podrán adoptarse, o si dicha defensa activa únicamente incluye un intercambio reforzado de información entre los distintos actores o deja la puerta abierta a otras medidas más agresivas.
Del lado de Latinoamérica, Perú cuenta con una ley que da lugar a la ciberdefensa, la Nº 30999 en el Capítulo II (Uso de la fuerza en y mediante el ciberespacio) refiere a esto en dos artículos: Artículo 10. De la legítima defensa: “Toda amenaza o ataque en y mediante el ciberespacio que ponga en riesgo la soberanía, los intereses nacionales, los activos críticos nacionales y recursos claves para mantener las capacidades nacionales, da lugar al ejercicio del derecho de legítima defensa.” y Artículo 11. Requisitos para el ejercicio del uso de la fuerza: “El ejercicio del derecho de legítima defensa en el contexto de las operaciones de ciberdefensa está sujeto a los principios de legalidad, necesidad y oportunidad. En el caso de conducir una operación de respuesta en y mediante el ciberespacio que contenga un ataque deliberado, debe realizarse de acuerdo a ley.” Dicho esto, podemos asimilar que habilitan la forma de realizar un contraataque en caso de ser atacado estaría contemplado por la ley ejecutar acciones de “hack back”.
Discusión
Es cierto que hoy en día se considera ilegal en empresas el "hack back” para recuperar los archivos que fueron robados, en teoría para no desatar una guerra cibernética a gran escala, pero no tiene sentido quedarnos de brazos cruzados a la expectativa de saber que es lo que harán con nuestra información, en donde estará, quien la tendrá, cómo lo hicieron, y gastar grandes cantidades de dinero para recuperar lo robado o perder la confianza de nuestros clientes. Por esto, tiene sentido una invitación a reflexionar y opinar sobre el tema, y formar nuevos puntos de vista con respecto a la posibilidad de poder recuperar los datos e información robada.