{"id":23775,"date":"2020-09-02T09:51:07","date_gmt":"2020-09-02T07:51:07","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=23775"},"modified":"2020-09-02T09:51:07","modified_gmt":"2020-09-02T07:51:07","slug":"cybersecurity-expert-training","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/cybersecurity-expert-training\/23775\/","title":{"rendered":"Aprende a usar las reglas Yara: c\u00f3mo predecir cisnes negros"},"content":{"rendered":"

Ha pasado mucho, mucho tiempo desde que la humanidad no se enfrentaba a un a\u00f1o como este. No creo haber conocido un a\u00f1o con una concentraci\u00f3n tan alta de cisnes negros de diferentes tipos y formas. Y no me refiero a los que tienen plumas<\/a>. Me refiero a esos sucesos inesperados con consecuencias de gran alcance, seg\u00fan la teor\u00eda<\/a> de Nassim Nicholas Taleb<\/a>, publicada en el 2007 en su libro El cisne negro: El impacto de lo altamente probable<\/a><\/em>. Uno de los principios m\u00e1s importantes de esta teor\u00eda es que, en retrospectiva, los eventos sorprendentes que ya han ocurrido parecen obvios y predecibles; sin embargo, antes de que ocurran, nadie los predice.<\/p>\n

Por ejemplo, este espantoso virus que ha tenido al mundo encerrado desde marzo. Resulta que hay toda una extensa familia<\/a> de coronav\u00edridos<\/em>, varias docenas de ellos, y se encuentran otros nuevos con regularidad. Los gatos, los perros, los p\u00e1jaros y los murci\u00e9lagos los tienen. Los humanos, tambi\u00e9n. Algunos provocan resfriados comunes. Otros se manifiestan\u2026 de otra forma. Entonces, seguramente, necesitamos desarrollar vacunas para todos ellos como lo hemos hecho para otros virus mortales como la viruela, la polio y dem\u00e1s. Claro, pero tener una vacuna no siempre ayuda. Mira la gripe: \u00bftodav\u00eda no hay una vacuna que inocule a las personas despu\u00e9s de tantos siglos? Y, de todos modos, incluso para comenzar a desarrollar una vacuna, necesitas saber lo que est\u00e1s buscando, y eso es aparentemente m\u00e1s arte que ciencia.<\/p>\n

Pero \u00bfpor qu\u00e9 te cuento todo esto? Cu\u00e1l puede ser la relaci\u00f3n con\u2026 bueno, seguramente se tratar\u00e1 de una curiosidad cibern\u00e9tica o un viaje ex\u00f3tico, \u00bfverdad? Hoy comenzamos con el primero.<\/p>\n

Actualmente, una de las ciberamenazas m\u00e1s peligrosas que existen son las de d\u00eda cero<\/a>: vulnerabilidades raras y desconocidas (para la gente de la ciberseguridad y otros) en el software<\/em> que pueden hacer da\u00f1os a gran escala, pero que no se suelen descubrir hasta (o a veces despu\u00e9s) el momento en el que se explotan.<\/p>\n

Sin embargo, los expertos en ciberseguridad tienen medios para lidiar con la ambig\u00fcedad y predecir cisnes negros. Y en esta publicaci\u00f3n me gustar\u00eda hablar sobre uno de ellos: YARA<\/a>.<\/p>\n

En resumen, YARA ayuda a la investigaci\u00f3n y detecci\u00f3n de malware<\/em> identificando archivos que cumplen ciertas condiciones y proporcionando una estrategia de reglas para crear descripciones de familias de malware<\/em> basadas en patrones textuales o binarios. (Vale, eso suena complicado. A continuaci\u00f3n, te lo explico un poco mejor). Por lo tanto, se usa para buscar malware<\/em> similar identificando patrones. El objetivo es poder decir que ciertos programas maliciosos parecen haber sido creados por las mismas personas, con objetivos similares.<\/p>\n

Bien, pasemos a otra met\u00e1fora, ya que hablamos de cisne negro, sigamos con el agua: el mar.<\/p>\n

Digamos que tu red es el oc\u00e9ano, que est\u00e1 lleno de miles de tipos de peces y t\u00fa eres un pescador industrial que arroja al oc\u00e9ano enormes redes para capturar peces, pero solo ciertas especies de peces (malware<\/em> creado por grupos particulares de ciberlincuentes) que te resultan interesantes. Ahora bien, las redes de deriva son especiales. Cuentan con compartimentos y en cada uno de ellos solo quedan atrapados peces de una determinada especie (caracter\u00edsticas de malware<\/em>).<\/p>\n

Despu\u00e9s, cuando acabas el turno, tienes una gran cantidad de peces, todos compartimentados, algunos de los cuales son peces relativamente nuevos y nunca vistos (nuevas muestras de malware<\/em>), por lo que no sabes pr\u00e1cticamente nada. Pero pueden estar en un compartimento determinado, por ejemplo \u201cParecido a Especie (grupo de ciberdelincuentes) X\u201d o \u201cParecido a Especie (grupo de ciberdelincuentes) Y\u201d.<\/p>\n

Este art\u00edculo<\/a> relata un caso que ilustra la met\u00e1fora del pez\/pesca. En el 2015, nuestro gur\u00fa de YARA y director de GReAT<\/a>, Costin Raiu, se meti\u00f3 en el papel de Sherlock para encontrar un exploit<\/a><\/em> en el software<\/em> Silverlight de Microsoft. Te recomiendo que leas el art\u00edculo, pero, en resumen, lo que hizo Raiu fue examinar cuidadosamente cierta correspondencia de correo electr\u00f3nico filtrada por ciberdelincuentes para establecer una regla YARA a partir de pr\u00e1cticamente nada, lo que ayud\u00f3 a encontrar el exploit<\/em> y as\u00ed proteger al mundo de un gran problema. (La correspondencia era de una empresa italiana llamada Hacking Team: \u00a1hackers hackeando a hackers<\/em>!)<\/p>\n

Y, en cuanto a estas reglas YARA\u2026<\/p>\n

Llevamos a\u00f1os ense\u00f1ando el arte de crear reglas YARA. Las ciberamenazas que YARA ayuda a descubrir son bastante complejas, por eso siempre impartimos los cursos en persona, sin conexi\u00f3n, y solo para un grupo reducido de los mejores investigadores de ciberseguridad. Por supuesto, desde marzo, las formaciones sin conexi\u00f3n han estado complicadas debido al encierro; sin embargo, la necesidad de educaci\u00f3n apenas ha desaparecido, de hecho, no hemos percibido ninguna ca\u00edda en el inter\u00e9s por nuestros cursos.<\/p>\n

Tiene sentido: Los ciberdelincuentes contin\u00faan ideando ataques cada vez m\u00e1s sofisticados, incluso a\u00fan m\u00e1s tras el encierro<\/a>. Como consecuencia, mantener nuestros conocimientos especializados sobre YARA para nosotros durante el encierro habr\u00eda sido todo un error. Por lo tanto, (1) ahora tambi\u00e9n impartimos nuestra formaci\u00f3n en formato online<\/em> y (2) la hicimos accesible para todos. No es gratis, pero para un curso de este nivel (el m\u00e1s alto), el precio es muy competitivo y est\u00e1 al nivel del mercado.<\/p>\n

Aqu\u00ed est\u00e1<\/a>:<\/p>\n

\"Intercepta<\/p>\n

\u00bfY qu\u00e9 m\u00e1s?<\/p>\n

Ah, s\u00ed.<\/p>\n

Ahora, dados los continuos problemas relacionados con el virus en todo el mundo, continuamos brindando asistencia a quienes se encuentren en primera l\u00ednea. Cuanto todo esto comenz\u00f3, otorgamos licencias gratuitas a las organizaciones de asistencia m\u00e9dica<\/a>. Ahora estamos ampliando el rango, ayudando a una gran variedad de organizaciones sin \u00e1nimo de lucro y no gubernamentales que luchan por los derechos en diversas causas o que se centran en hacer del ciberespacio un lugar mejor (aqu\u00ed<\/a> encontrar\u00e1s la lista completa). Para todos ellos, nuestra formaci\u00f3n sobre YARA ser\u00e1 gratuita.<\/p>\n

\u00bfPor qu\u00e9? Porque las ONG trabajan con informaci\u00f3n muy sensible que puede ser objeto de ataques dirigidos<\/a> y no todas pueden permitirse el lujo de contar con un departamento de expertos inform\u00e1ticos.<\/p>\n

\"Formaci\u00f3n<\/p>\n

Este es un resumen r\u00e1pido de lo que incluye el curso:<\/p>\n