“Una cosa es el robo de credenciales, y otra cosa es el malware”. Así comienza una conversación con Christian Buhrow, regional sales director EMEA de SpyCloud, una empresa fundada en 2016, que ha recaudado 58,5 millones de dólares en cuatro rondas de inversión y que tiene la sede en Austin, Texas, que rápidamente se está convirtiendo en el nuevo Silicon Valley. SpyCloud nace con una misión: eliminar el account takeover, o apropiación de cuentas, y evitar que los delincuentes se beneficien de los datos violados.
La compañía aterriza en España de la mano de Christian Buhrow, un veterano del sector tecnológico que durante los últimos años ha promovido el concepto de NDR dirigiendo ExtraHop y Arista Networks en diferentes regiones europeas, y que hace unos meses apostó por SpyCloud, para asegurar que todas las tecnologías de detección, desde el EDR, XDR o NDR “no funcionan si los ciberdelincuentes tienen ya tus datos”.
Según el Informe DBIR de Verizon de 2022, hasta el 82 % de las infracciones relacionadas con la piratería aprovechan credenciales débiles, robadas o comprometidas. SpyCloud nace para hacer frente al problema de la utilización de credenciales robadas. Nos explica Christian Buhrow que la compañía ha creado una enorme base de datos que recoge todos los datos que se encuentran en la red oscura, o darknet. El objetivo de la compañía es recapturar datos de las capas más profundas de la darknet, procesar y analizar miles de millones de elementos de ciberdelincuencia con un motor patentado y ofrecer soluciones automatizadas que frustren el ransomware, la apropiación de cuentas y el fraude en línea.
“Nuestro punto fuerte es la rapidez con la que llegamos a los datos robados»
Explica el directivo que ya existen empresas que están especializadas en Threat Intelligence, tienen unos bots que escanean de manera continua la red oscura “y recogen los datos que son fácilmente accesibles”, pero que SpyCloud va un paso más allá: recopilamos datos directamente del primer equipo de delincuentes con acceso a ellos. “Estamos conectados a la clandestinidad criminal”, asegura, añadiendo que “Obtener datos tan temprano en la línea de tiempo permite a nuestros clientes tomar medidas (restablecer contraseñas expuestas) antes de que los delincuentes exploten los datos”, porque “la invalidación de los datos violados es realmente la única forma de ganar”.
El motor de análisis de SpyCloud “se centra en la velocidad, la capacidad de acción, la automatización y la precisión”, dice el responsable de la compañía para la región de EMEA, destacando algunas ventajas: contar con el mayor data lake de datos recapturados del mundo; poder resolver los difíciles problemas de correlacionar todos los registros recapturados y enriquecidos para construir elementos analíticos y puntuaciones de riesgo únicos, potentes y precisos. El data lake de SpyCloud reúne 380.000 millones de datos, entre los que hay 800 millones de malware o 25.000 millones de contraseñas.
Asegura el directivo que las llamadas Authentication Cookies y Session Cookies, que guardan información del usuario y su navegación en Internet, también se han convertido en objetivo de los ciberdelincuentes. “Si un malware consigue robarte las cookies no tienen que autenticarse porque automáticamente están dentro. Es una toma de identidad completa y no puedes defenderte. Por eso la nueva generación de datos robados son las cookies de autenticación y las cookies de sesión”.
Asegura Christian Buhrow que la mayoría de los productos del mercado se quedan en la superficie de la web, no profundizan. Explica que en la darkweb hay varias capas, que en la superficie es donde se pueden encontrar datos fácilmente accesibles, pero según avanzas, el acceso a los datos se hace cada vez más complicada, no sólo necesitas herramientas específicas, sino invitación; “y luego está el corazón más profundo de la darknet, donde la gente de SpyCloud lleva más de ocho años con diferentes identidades que cambian continuamente”. La compañía, explica el responsable de la misma para la región de EMEA, tiene más de diez veces la cantidad de datos que el próximo competidor del mercado.
“La autenticación multifactor parecía muy segura, pero cada vez lo es menos”
Cuando a un cliente de SpyCloud se le avisa de que a uno de sus usuarios le han robado sus credenciales, pedirá que verifique su identidad cada vez que acceda por diferentes modos, o pedirá que realice un cambio de contraseña; “en tiempo real la compañía decide cómo quiere actuar frente a un usuario al que le han robado las credenciales”, dice Christian Buhrow. Explica también que los primeros días después del robo de credenciales son los más valiosos porque no los tiene mucha gente. En esos días es cuando se producen los ataques dirigidos, ataques hechos por personas, pero con el tiempo esos datos se van filtrando “y a partir de los 500 días, los datos son prácticamente del domino público”, accesibles de páginas como Have I been Pwned? SpyCloud consigue los datos en los primeros dos días, lo que es muy importante, “especialmente en el mundo de las cookies, que tienen un tiempo de vida muy limitado”.
Cada mes se añaden mil millones de datos reales al data lake de SpyCloud. “Nuestro punto fuerte”, asegura el directivo, “es la rapidez con la que llegamos a los datos, porque la capacidad de acción es muy importante”. La compañía utiliza una API que se conecta con las aplicaciones o directorio activo de las compañías “y habilitamos la automatización de esta información”.
Nos muestra Christian Buhrow la plataforma de SpyCloud. Una infinidad de nombres de usuarios, contraseñas y correos electrónicos, datos que le llevan a decir: “La autenticación multifactor parecía muy segura, pero cada vez lo es menos”. Habla el directivo de Cybercrimen Analytics “porque realmente recopilamos datos de los criminales y muchos de nuestros clientes principales son cuerpos y fuerzas de seguridad del estado”, incluido el Centro Criptológico Nacional, o CCN.
La propuesta de SpyCloud no se centra únicamente en detectar credenciales de usuarios robadas. “También podemos identificar aplicaciones comprometidas”, asegura Buhrow. Hablando de integraciones, confirma el directivo que la propuesta de SpyCloud se puede integrar con un SIEM, mencionando a Splunk como uno de los aliados de la compañía
A nivel de canal, en España se ha firmado un acuerdo en exclusiva con DotForce, y se negocia a nivel de MSSP. En cuanto a la estrategia para el mercado español y qué tipo de clientes está buscando, habla Buhrow de empresas que ven el valor de la automatización de este servicio. Habla de empresas grandes y distribuidas, de un portal de comercio online con millones de clientes que puede protegerse del fraude online con una API.
