{"id":23005,"date":"2020-06-26T10:38:21","date_gmt":"2020-06-26T08:38:21","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=23005"},"modified":"2020-06-26T10:38:21","modified_gmt":"2020-06-26T08:38:21","slug":"kaspersky-threat-attribution-engine","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/kaspersky-threat-attribution-engine\/23005\/","title":{"rendered":"\u00bfQu\u00e9 grupo de ciberdelincuentes est\u00e1 atacando tu red corporativa? \u00a1No lo adivines, compru\u00e9balo!"},"content":{"rendered":"

Hace unos cuatro a\u00f1os, la ciberseguridad se convirti\u00f3 en un pe\u00f3n en los juegos geopol\u00edticos de ajedrez. Los pol\u00edticos de todas las tendencias y nacionalidades se se\u00f1alan y se culpan mutuamente por las operaciones hostiles del ciberespionaje, mientras que, al mismo tiempo (aparentemente sin iron\u00eda) ampl\u00edan las ciberarmas<\/span>herrramientas de ataque en sus propios pa\u00edses. Y atrapados en el fuego cruzado<\/a> de travesuras geopol\u00edticas,<\/a> est\u00e1n las compa\u00f1\u00edas independientes de ciberseguridad<\/a>, que tienen la capacidad y el valor para descubrir este juego tan peligroso.<\/p>\n

\u00bfPero por qu\u00e9? Todo es muy simple.<\/p>\n

En primer lugar, \u201cciber\u201d es y ha sido un t\u00e9rmino genial\/rom\u00e1ntico\/de ciencia ficci\u00f3n\/hollywoodiense\/glamuroso desde su inicio. Vende, no solo productos, sino tambi\u00e9n prensa. Es popular, incluso entre los pol\u00edticos. Y es una distracci\u00f3n \u00fatil, dada su frescura y popularidad, cuando la distracci\u00f3n es necesaria, algo que ocurre muy a menudo.<\/p>\n

En segundo lugar, \u201cciber\u201d es muy tecno. La mayor\u00eda de la gente no lo entiende. Por ello, cuando los medios cubren algo que tiene que ver con esto y siempre con el objetivo de obtener m\u00e1s clics en sus historias, pueden escribir todo tipo de cosas que no son del todo ciertas (o que son completamente falsas), pero pocos lectores se dan cuenta. El resultado son muchas historias en la prensa que afirman que este o ese otro grupo de ciberdelincuentes de tal pa\u00eds es responsable de este o aquel ciberataque vergonzoso o costoso o da\u00f1ino o indignante. Pero \u00bfpodemos creer algo de todo eso?<\/p>\n

Nos ce\u00f1imos a la atribuci\u00f3n t\u00e9cnica. Es nuestro deber y lo que hacemos como empresa.<\/p><\/blockquote>\n

En general, es dif\u00edcil saber qu\u00e9 podemos creer. Dicho esto, \u00bfes realmente posible atribuir con tanta precisi\u00f3n un ciberataque?<\/p>\n

La respuesta consta de dos partes:<\/p>\n

Desde un punto de vista t\u00e9cnico, los ciberataques poseen una serie de caracter\u00edsticas particulares, pero el an\u00e1lisis imparcial del sistema solo puede llegar tan lejos como para determinar cu\u00e1nto parece un ataque que es obra de este o aquel grupo de ciberdelincuentes<\/em>.<\/p>\n

Sin embargo, si el grupo de ciberdelincuentes pertenece a la Subunidad de Inteligencia Militar 233, el Grupo Nacional de Proyectos de Investigaci\u00f3n de Defensa Avanzada o el Grupo de Trabajo Conjunto de Capacidades Estrat\u00e9gicas y Reducci\u00f3n de Amenazas (ninguno existe, puedes ahorrarte la b\u00fasqueda en Google) \u2026 se trata de un problema pol\u00edtico, y all\u00ed, la probabilidad de manipulaci\u00f3n objetiva es casi total. La atribuci\u00f3n pasa de ser t\u00e9cnica, basada en pruebas, y precisa a\u2026 bueno, lo puedes imaginar. Por esta raz\u00f3n, dejamos esta parte a la prensa. Nos mantenemos bien alejados.<\/p>\n

Mientras tanto, curiosamente, el porcentaje de pol\u00edticos que aprovechan y se basan en hechos de ciberseguridad pura y dura aumenta con la llegada de eventos pol\u00edticos clave. \u00a1Oh, como el que est\u00e1 programado para dentro de cinco meses!<\/p>\n

Conocer la identidad del atacante hace que combatirlo sea mucho m\u00e1s f\u00e1cil: la respuesta a un incidente se puede implementar sin problemas y con un riesgo m\u00ednimo para la empresa.<\/p><\/blockquote>\n

Por lo que s\u00ed, evitamos la atribuci\u00f3n pol\u00edtica. Nos atenemos a los aspectos t\u00e9cnicos; de hecho, es nuestro deber y lo que hacemos como empresa. Y podr\u00eda agregar con modestia que lo hacemos mejor que nadie. Vigilamos de cerca<\/a> a todos los grandes grupos de ciberdelincuentes y sus operaciones (m\u00e1s de 600), y no prestamos atenci\u00f3n a su posible afiliaci\u00f3n. Un ladr\u00f3n es un ladr\u00f3n y deber\u00eda estar en la c\u00e1rcel. Y ahora, finalmente, despu\u00e9s de m\u00e1s de 30 a\u00f1os en este juego, despu\u00e9s de recopilar tantos datos sin parar sobre las irregularidades digitales, sentimos que estamos listos para comenzar a compartir lo que tenemos, en el buen sentido.<\/p>\n

El otro d\u00eda lanzamos un nuevo servicio incre\u00edble para expertos en ciberseguridad. Se llama Kaspersky Threat Attribution Engine<\/a>. Analiza archivos sospechosos y determina de qu\u00e9 grupo de ciberdelincuentes proviene un ataque cibern\u00e9tico determinado. Conocer la identidad del atacante facilita mucho la lucha, ya que permite una serie de contramedidas contrastadas. Se pueden tomar decisiones, elaborar un plan de acci\u00f3n, establecer prioridades y, en general, implementar una respuesta a incidentes sin problemas y con un riesgo m\u00ednimo para el negocio.<\/p>\n

\"Interfaz<\/p>\n

\u00bfC\u00f3mo lo hacemos?<\/p>\n

Como he mencionado anteriormente, los ciberataques tienen muchas caracter\u00edsticas puramente t\u00e9cnicas o \u201cindicadores\u201d: la hora y la fecha en que se compilaron los archivos, las direcciones IP, los metadatos, los exploits<\/a><\/em>, los fragmentos de c\u00f3digo, las contrase\u00f1as, el idioma, las formaciones de los nombres de archivos, las rutas de depuraci\u00f3n, la ofuscaci\u00f3n y herramientas de cifrado, etc. Individualmente, tales caracter\u00edsticas resultan \u00fatiles<\/a> solo para que (a) los pol\u00edticos puedan se\u00f1alar con el dedo a sus oponentes en el \u00e1mbito internacional y reforzar una agenda oculta o (b) para malos periodistas que buscan noticias sensacionalistas. Pero para determinar el grupo al que pertenecen, deben evaluarse en conjunto.<\/p>\n

Adem\u00e1s, es f\u00e1cil fingir o emular una bandera.<\/p>\n

Por ejemplo, los ciberdelincuentes del grupo Lazarus<\/a> parecen haber usado palabras rusas transcritas en letras latinas en su c\u00f3digo binario implantado. Sin embargo, la construcci\u00f3n de la oraci\u00f3n no queda natural en ruso y los errores gramaticales\/de sintaxis hacen que parezca algo generado por el Traductor de Google. Es posible que su idea fuera enviar a expertos en seguridad en la direcci\u00f3n equivocada:<\/p>\n

\"Banderas<\/p>\n

Pero, de nuevo, cualquier grupo de ciberdelincuentes puede usar el Traductor de Google, incluso para su idioma nativo, lo que har\u00eda que el \u201cidioma utilizado\u201d no sonara natural.<\/p>\n

Hay otro caso que destaca este aspecto de una forma ligeramente diferente: el grupo Hades<\/a> (autor del infame gusano OlympicDestroyer<\/em> que atac\u00f3 la infraestructura de los Juegos Ol\u00edmpicos del 2018 en Corea del Sur) plant\u00f3 algunas banderas tal como lo hac\u00eda el grupo Lazarus, lo que llev\u00f3 a que muchos investigadores pensaran que Hades en realidad era Lazarus (otras diferencias entre el \u201cestilo\u201d de ambos grupos llevaron a la mayor\u00eda a concluir que no se trataba de Lazarus).<\/p>\n

Sin embargo, con recursos limitados y en busca de una calidad de resultados aceptable, es pr\u00e1cticamente imposible que a corto plazo se pueda realizar un an\u00e1lisis manual de expertos de cientos de caracter\u00edsticas y la comparaci\u00f3n de los estilos propios de otros grupos de ciberdelincuentes. El problema es que este tipo resultados son muy necesarios. Las empresas quieren atrapar r\u00e1pidamente al ciber\u2026 -pulpo que los est\u00e1 atacando y clava todos sus tent\u00e1culos para que no se arrastre a un lugar donde no deber\u00eda volver a hacerlo y poder [apt-intel-rep placeholder]contar[\/apt-intel-rep placeholder] a todo el mundo c\u00f3mo mantenerse protegidos de este peligroso ciber-molusco.<\/p>\n

Los \u201cgenotipos\u201d del malware<\/em> ayudan a encontrar similitudes de c\u00f3digo de malware<\/em> con actores de amenazas APT conocidos con casi una precisi\u00f3n del 100 %<\/p><\/blockquote>\n

Entonces, \u00bfeso es lo que tanto se necesitaba? Bueno, eso es lo que se nos ocurri\u00f3\u2026<\/p>\n

Hace unos a\u00f1os desarrollamos para uso interno un sistema de an\u00e1lisis automatizado de archivos. Este es su funcionamiento: extraemos de un archivo sospechoso algo que llamamos genotipos<\/em> (fragmentos cortos de c\u00f3digo seleccionados con nuestro algoritmo patentado) y lo comparamos con m\u00e1s de 60.000 objetos de ataques dirigidos de nuestra base de datos en un espectro completo de caracter\u00edsticas. Esto nos permite determinar los escenarios m\u00e1s probables en cuanto al origen de un ciberataque y proporcionar descripciones de los grupos de ciberdelincuentes responsables y enlaces a recursos gratuitos y de pago<\/a> para una informaci\u00f3n m\u00e1s detallada y para el desarrollo de una estrategia de respuesta a incidentes.<\/p>\n

Es probable que te preguntes si esta b\u00fasqueda es de confianza. Bueno, digamos que en tres a\u00f1os el sistema no ha cometido un solo error a la hora de se\u00f1alar una investigaci\u00f3n en curso en la direcci\u00f3n correcta.<\/p>\n

Algunas de las investigaciones m\u00e1s conocidas que han utilizado el sistema incluyen: el implante LightSpy iOS<\/a>, TajMahal<\/a>, Shadowhammer<\/a>, ShadowPad<\/a> y Dtrack<\/a>. En todos estos casos, el resultado coincidi\u00f3 plenamente con la evaluaci\u00f3n de nuestros expertos. \u00a1Y ahora nuestros clientes tambi\u00e9n pueden usarlo!<\/p>\n

\"Kaspersky<\/p>\n

Kaspersky Threat Attribution Engine viene en forma de un kit de distribuci\u00f3n basado en Linux que podr\u00e1 instalarse en un ordenador con Air Gap del cliente (para una m\u00e1xima confidencialidad). Las actualizaciones son suministradas por USB. Cualquier muestra de malware<\/em> que encuentren los analistas internos del cliente puede agregarse a la base de datos de la soluci\u00f3n y tambi\u00e9n utiliza una interfaz API para conectar el motor a otros sistemas, incluso un SOC (centro de operaciones de seguridad) de terceros.<\/p>\n

Para concluir, me gustar\u00eda a\u00f1adir que ninguna herramienta para el an\u00e1lisis automatizado de ciberactividad maliciosa tiene una garant\u00eda de atribuci\u00f3n de ataque del 100 %. Todo se puede falsificar o enga\u00f1ar, incluidas las soluciones m\u00e1s avanzadas. Nuestros objetivos principales son orientar a los expertos en la direcci\u00f3n correcta y probar posibles escenarios. Adem\u00e1s, a pesar de los coros ubicuos y rotundos sobre la efectividad de la IA<\/a> (que a\u00fan no existe<\/a>), los sistemas de \u201cIA\u201d existentes, incluso los m\u00e1s inteligentes, actualmente no pueden desempe\u00f1ar la totalidad de sus funciones sin la ayuda del Homo sapiens. Se trata de una sinergia entre m\u00e1quinas, datos y expertos, lo que llamamos Humachine<\/a><\/em>, que hoy ayuda a combatir con eficacia incluso las ciberamenazas m\u00e1s complejas.<\/p>\n

En este webinar<\/a> que tuvo lugar el 17 de junio, los expertos hicieron una demostraci\u00f3n en vivo del producto.<\/p>\n

Eso es todo en cuanto a la presentaci\u00f3n de nuestra nueva soluci\u00f3n. Para m\u00e1s informaci\u00f3n, puedes visitar su p\u00e1gina<\/a>, la ficha de producto<\/a> y la ficha t\u00e9cnica<\/a>.<\/p>\n

P.D. Te recomiendo encarecidamente que leas esta publicaci\u00f3n<\/a> de Costin Raiu, uno de los padres de este producto, en la que explica la historia de c\u00f3mo se desarroll\u00f3 y tambi\u00e9n algunos de los detalles m\u00e1s sutiles de Kaspersky Threat Attribution Engine.<\/p>\n","protected":false},"excerpt":{"rendered":"

Hemos lanzado una nueva soluci\u00f3n que proporciona a las empresas el an\u00e1lisis de similitud de c\u00f3digo y ofrece evidencias t\u00e9cnicas para la atribuci\u00f3n de APT.<\/p>\n","protected":false},"author":13,"featured_media":23007,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[368,3132,3076],"class_list":{"0":"post-23005","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-atribucion","11":"tag-soluciones"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kaspersky-threat-attribution-engine\/23005\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kaspersky-threat-attribution-engine\/21437\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kaspersky-threat-attribution-engine\/16901\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/kaspersky-threat-attribution-engine\/22540\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kaspersky-threat-attribution-engine\/20688\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kaspersky-threat-attribution-engine\/22093\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kaspersky-threat-attribution-engine\/28574\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kaspersky-threat-attribution-engine\/35852\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kaspersky-threat-attribution-engine\/15103\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/kaspersky-threat-attribution-engine\/13569\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/kaspersky-threat-attribution-engine\/28717\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kaspersky-threat-attribution-engine\/22475\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kaspersky-threat-attribution-engine\/27719\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kaspersky-threat-attribution-engine\/27561\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23005","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=23005"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23005\/revisions"}],"predecessor-version":[{"id":23023,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/23005\/revisions\/23023"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/23007"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=23005"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=23005"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=23005"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}