REDSEGURIDAD 083

Ciberinteligencia 2.0: predicción E l día que uno de los ransomware más mediáticos se activó y creó el caos en medio mundo, a mí me pilló de vacaciones. No me enteré de nada, pero cuando regresé al hotel me encontré con una conversación en mi correo corporativo en la que se discutía qué había sucedido, cómo había pasado y qué íbamos hacer. En ese momento me hice, por enési- ma vez, la misma pregunta: ¿Por qué no podemos prever estos ataques? Aunque es muy difícil saber cuándo va a aparecer la próxima crisis de ciberseguridad, al menos sería inte- resante conocer de qué manera se va a producir. Sabemos que todos somos vulne- rables, y que siempre habrá alguien que busque nuestras debilidades para aprovecharlas y comprometer a nuestras organizaciones. Durante años las compañías hemos ido por detrás de los cibercriminales, hac- ktivistas y creadores de malware . Nos conocíamos a nosotros mismos, realizando auditorías, analizando los fallos de nuestros sistemas tras un ataque o creando normativas de con- tención (que en su punto más crítico era básicamente "tira del cable si todo falla"), pero no conocíamos a nuestro enemigo tan bien como debíamos. do desarrollo de ambas tecnologías se han podido desarrollar proyectos de ciberseguridad y somos capaces de implementar soluciones prácticas para el blindaje de nuestras organi- zaciones, pero siempre basándonos en datos pasados, siempre un paso por detrás. Predecir amenazas Pero, ¿y si fuésemos un paso por delante?, ¿y si pudiésemos prede- cir cómo serán las amenazas de mañana?, ¿qué hubiera pasado si hubiésemos conocido con anteriori- dad las oleadas de ransomware , el robo de información en redes socia- les o los movimientos hacktivistas ? Solo podemos hacer suposiciones, pero no es difícil imaginar el ahorro que hubiera supuesto para todas las organizaciones implicadas, tanto reputacional como económico. Como respuesta a este escena- rio se ha empezado a desarrollar una idea: teorizar acerca de los riesgos futuros en el ciberespacio basándonos en los datos pasados y presentes en tiempo real, intentando prever cuál será el próximo problema y ayudar a tomar la mejor solución. Con un ejemplo se entenderá mejor. Supongamos que hemos crea- La ciberinteligencia, Cyber Threat Intelligence (CTI), nació para dar res- puesta a esta carencia, se concibió para conocer a los "malos" recaban- do toda la información posible de todas las fuentes hábiles. Si cono- cemos a quien nos ataca, podremos defendernos de forma más eficiente, creando contramedidas avanzadas y realizando una defensa activa; ser proactivos, en definitiva. Se crearon numerosas materias que se centraban en feeds espe- cíficos: búsqueda de datos en fuentes abiertas (OSINT), informa- ción relacionada con las finanzas (FINNIT) o adquisición de referencias de geolocalización (GEOINT), son solo ejemplos de dichas materias. Cada una de estas especialidades nos da una pieza que compone la CTI, y uniendo y entrelazando la información tendremos una foto del estado actual de la amenazas en el ciberespacio; es más, nos puede llegar a mostrar el estado de las amenazas relacionadas con nuestra organización. Como se puede supo- ner, la cantidad de datos a analizar es inmensa, por lo que se necesita de las tecnologías de Big Data y Machine Learning para soportarlas y hacerlas prácticas. Gracias al rápi- 56 red seguridad cuarto trimestre 2018 José Julio Ruiz de Loizaga Ruiz Senior Malware Research de Botech FPI opinión inteligencia especial