Parafraseando al recordado agente Mulder, de Expediente X, en realidad es la información, más que la verdad, lo que está ahí fuera. Ahí fuera (es decir, fuera del perímetro IT de las compañías) es donde está la información que utilizan los cibercriminales para saltarse los complejos sistemas de ciberseguridad de muchas de las empresas que son víctimas de ataques casi a diario. Empresas que, especialmente si hablamos de grandes compañías, habrán invertido una enorme cantidad de dinero en el equipo y los sistemas de ciberseguridad destinados a protegerles de tales ataques.
En Enthec, una de las primeras líneas en el manual de comunicación corporativa es jamás hacernos eco de un ataque en el que se pueda identificar a la organización afectada. Primero, por respeto a un equipo que habrá hecho todo lo posible por evitarlo y que estará en la etapa de recuperación, análisis y valoración de daños. Segundo, porque, en muchos casos, lo que se busca es precisamente la difusión del ataque. Y tercero porque la ciberseguridad corporativa es una lucha tremendamente desigual en la que todos los días salen fuera del perímetro IT de las compañías enormes cantidades de información, lo que constituye vías directas de acceso a los sistemas de las compañías.
La ciberseguridad corporativa es una lucha tremendamente desigual en la que todos los días salen fuera del perímetro IT de las compañías enormes cantidades de información
Control de la información
Es posible controlar la información que se filtra o a la que se puede acceder en los sistemas corporativos. Pero esimposible controlar cada una de las acciones que hacen los empleados de las empresas; ni tampoco los sistemas y trabajadores de las terceras partes con las que se relacionan. Todos ellos pueden filtrar información que puede ser una amenaza potencial que termine en repositorios de Internet, la Deep Web o la Dark Web, y que se comparta en foros de cibercriminales en las redes sociales.
Una vez asumido esto como un hecho cierto, es imprescindible incluir su gestión dentro de la estrategia de ciberseguridad de la organización. Sin embargo, hasta la fecha ha sido imposible localizar toda la información de la compañía que está en la Red, estructurarla, interpretarla, categorizarla y entregarla a los responsables de ciberseguridad de las empresas de forma que puedan tomar las medidas de remediación de las posibles brechas y vulnerabilidades que necesiten. Y en el tiempo más corto posible, para reducir la posibilidad de que se aprovechen por cibercriminales.
Esto es exactamente lo que hacemos en Enthec. Nuestra herramienta Kartos utiliza la Inteligencia Artificial para crear un ejército de bots que emulan el comportamiento de los cibercriminales cuando, sin acercarse al perímetro de las organizaciones, buscan la información en Internet, la Deep Web y la Dark Web que les permita saltar sus defensas. O cuando se organizan en las redes sociales para coordinar un ataque simultáneo que puede tener que ver con la reputación de la compañía o con una campaña de fake news, por ejemplo.
Esa información se recopila, se clasifica y se entrega a los responsables de ciberseguridad para que puedan tomar las acciones correctivas y defensivas que crean necesarias. Unos responsables que pueden ser equipos internos o los proveedores de servicio de ciberseguridad gestionada en los que las empresas tengan delegada esa función. Para ello, toda la información encontrada puede volcarse en sus herramientas de gestión directamente mediante una API específica.
El hecho de que Kartos funcione de manera cien por cien automatizada y continua, sin intervención humana en ningún punto del proceso, permite que las potenciales amenazas se detecten prácticamente en tiempo real y se comuniquen de forma inmediata para que las compañías puedan protegerse cuanto antes. Por ejemplo, si hablamos de un ataque de phishing, Kartos puede detectar la creación de un subdominio con el nombre de una empresa determinada (donde se alojaría la construcción de la landing page a la que se dirigen las víctimas del ataque) en un máximo de 10 minutos desde el momento en el que se levanta. Esto deja tiempo suficiente para notificar al proveedor de hosting, avisar a los clientes o tomar cualquier otro tipo de acción preventiva.
Cambio de paradigma
Este cambio de paradigma en la forma en la que se hace frente al problema de la ciberseguridad es el complemento perfecto al tradicional modelo de Deep Protection y, además, presenta varias ventajas adicionales. Por una parte, detecta posibles vulnerabilidades relacionadas con infraestructura y sistemas, lo que puede servir para ratificar y/o completar la información proporcionada por los sistemas de la empresa dentro del perímetro. Pero al mismo tiempo puede detectar también brechas que provengan de fallos humanos que el sistema de ciberseguridad no puede detectar y que, además de ciberataques, puedan causar ataques reputacionales, legales o robos de información confidencial, ya que detecta las filtraciones de documentos de todo tipo.
Por otra parte, el hecho de que sea una herramienta no intrusiva la hace ideal para evaluar la cadena de suministro y de los terceros que interactúan con la compañía, ya que no se incurre en problemas legales ni se necesita pedir autorización para su utilización. La información que se recopila está en fuentes públicas de la Red y en ningún caso se realiza ninguna acción sobre la infraestructura de la compañía.
Como ejemplos de caso de éxito reales en muy grandes empresas con miles de clientes podemos citar la filtración del código fuente de la app móvil, el acceso sin restricciones al plan de marketing bianual con sus creatividades, interlocutores y costes o el acceso ilimitado a una aplicación de gestión del backoffice. Esta información se encontraba públicamente disponible en la Red y habría podido ser utilizada por cualquier ciberdelincuente que hubiera sabido cómo encontrarla. Evidentemente, ninguno de los responsables había detectado estos fallos y cualquiera puede imaginar el daño que una mala utilización de esta información hubiera podido causar a cualquiera de estas corporaciones.
Porque como dice el título de este artículo, es un hecho que la información está ahí fuera. Y nuestra obligación, que los ciberdelincuentes no accedan a ella y la utilicen.