En el blog que publiqué hace unas semanas, titulado “De la cíberseguridad pasiva a la investigación activa”, hice una distinción entre las organizaciones dependiendo de su nivel de madurez en temas de seguridad. Mencionaba que algunas, particularmente aquellas que cuentan con un esquema básico de seguridad, junto con aquellas que tienen equipos cuyo único objetivo es proteger su infraestructura y su información, frecuentemente no cuentan a nivel interno con expertos que se encarguen de adelantar investigaciones cuando quiera que se detecten ataques que las ameriten.
Finalmente, indicaba cómo existe un nivel de madurez en el que las organizaciones pasan de una postura pasiva en seguridad (en la que simplemente se protegen), a una actitud más o menos agresiva en la que investigan activamente los ataques cumplen determinados criterios.
De manera frecuente se encuentra que, independientemente de la madurez en seguridad de una organización víctima, tras la detección de un incidente en cyber suele surgir la pregunta acerca de si procede compartir la información con las autoridades para que ellas inicien una investigación formal. Y, entre las razones por las que es conveniente hacerlo, se encuentran algunas que son simplemente prácticas y objetivas y algunas que son meramente subjetivas, según la víctima y las circunstancias.
Menciono acá las siguientes, que corresponden a lo práctico y objetivo: primero, porque las investigaciones de las unidades cyber pueden terminar en arrestos. Y, cuando una organización está lidiando con adversarios motivados y con suficientes recursos, neutralizarlos ayuda a disminuir el riesgo que ellos representan a un nivel aceptable.
Segundo, porque como resultado de las investigaciones es posible desarticular la infraestructura utilizada por las organizaciones delictivas, es decir, las unidades cyber pueden quitar a los grupos de atacantes el control de sus botnets con lo que, por ejemplo, no podrán enviar más phishing, ni dirigir la actividad maliciosa que corresponda. Tercero, porque las investigaciones suelen arrojar luces sobre grupos de atacantes asociados a los directamente investigados, siendo posible detectar y mitigar formas adicionales de actividad delictiva, con más posibles víctimas que pueden necesitar ayuda.
Y cuarto, porque las unidades cyber de policía no se mantienen actualizadas por arte de magia, en cuanto a información de inteligencia y entrenamiento. Ellas deben destinar recursos, que frecuentemente no tienen, para conocer las últimas tendencias de ataque y para acceder a capacitación, que frecuentemente se ofrece en países diferentes del suyo.
En otras palabras, al compartir información con ellas, las unidades cyber se mantienen actualizadas en cuanto a los TTPs (tácticas, técnicas y procedimientos) más nuevos utilizados por los atacantes para afectar a las víctimas en su propia jurisdicción, lo que de paso les sirve para hacer correlaciones, identificar puntos de contacto entre diferentes atacantes, campañas maliciosas y víctimas e identificar agencias de policía en otros países que estén investigando a los mismos atacantes para buscar colaboración mutua, entre otras cosas. También, al recibir esta información las unidades cyber pueden priorizar sus recursos y concentrarlos en determinada línea investigativa o de prevención ciudadana, para que los usuarios mismos eviten ser victimizados.
Sin embargo, las organizaciones víctimas generalmente no tienen la obligación de compartir información sobre los ataques con las agencias de policía (excluyendo, claro está, a las clases de entidades que tienen la obligación legal de reportar incidentes a las autoridades en sus países). Por esto, debe existir un presupuesto sin el que no es razonable esperar que las unidades cyber reciban información acerca de los ataques de que son víctimas las organizaciones privadas y públicas en sus jurisdicciones.
Ese presupuesto necesario es la confianza. Sin ella, no habrá poder humano que convenza a las organizaciones de que pueden y deberían compartir información con las autoridades o de que pueden y deberían reportarles los ataques que sufren.
En la siguiente entrada tocaré este tema, precisamente: la confianza entre las organizaciones y las unidades cyber. ¿Cómo hacer que surja y se mantenga? ¿Qué papel juegan las expectativas que pueden tener las organizaciones al momento de decidir si informan a la policía cuando sufren un ataque?
Antes de concluir esta entrada, quiero dejar planteadas estas preguntas:
- ¿Su organización está 100% protegida frente a cualquier clase de ataque?
- Cuando su organización ha detectado ataques en el pasado, ¿ha compartido la información con las unidades cyber de policía?
Si respondió afirmativamente a la pregunta #1, lamento informarle que su respuesta es equivocada. No existe seguridad al 100%. Tarde o temprano todos nuestros dispositivos pueden ser comprometidos por un atacante.
Si respondió afirmativamente a la pregunta #2, lo felicito. ¡Siga adelante! Si la respondió negativamente, busque una forma de iniciar una relación profesional con la unidad cyber de su ciudad. Puede ser durante una pausa de café en alguna conferencia, o a través de amigos mutuos. Puede ser una invitación a tomar café, si es que usted quiere o debe ser más proactivo. Busque entender los métodos y procedimientos de esa unidad cyber, busque claridad acerca de las cosas que le preocupan. Ellos, no lo dudo un segundo, le ayudarán a resolver sus dudas de la mejor manera.
Nota: la imagen que encabeza esta entrada fue tomada de https://www.fbi.gov/investigate/cyber .
Carlos Álvarez
blogladooscuro @ gmail.com
@isitreallysafe