Cada 11 segundos se produce un ciberataque. Y el auge de la inteligencia artificial continúa facilitando la creación de ciberamenazas que son ahora capaces de cambiar su forma durante un ataque, con el fin de adaptarse a las estructuras a las que se dirigen. La nueva realidad a la que nos enfrentamos implica que los humanos no somos capaces de contrarrestar todos los ataques de manera simultánea y por nuestra propia cuenta.
Localizar a los ciberdelincuentes requiere tanto o más ingenio del que emplean ellos al desplegar sus ataques y atraparlos no solo es posible, sino muy recomendable para aprender de sus técnicas de explotación y construir un mapa de amenazas verdaderamente útil. Las herramientas y metodologías empleadas por los atacantes se han convertido en su secreto mejor guardado y el despliegue de honeypots en la mejor estrategia de defensa para revelar esta información.
¿Qué son los honeypots?
Los honeypots son recursos falsos utilizados para atraer a los ciberdelincuentes y recabar información sobre sus actividades. Mediante su uso, las organizaciones pueden detectar las operaciones de los ciberdelincuentes antes de que se propaguen por su infraestructura. Son máquinas virtuales que se instalan en los ordenadores de una organización y que simulan cualquier otra máquina legítima. Así, cuando los ciberdelincuentes intentan apoderarse de estos dispositivos, en realidad están atacando dispositivos que están bajo vigilancia de especialistas en ciberseguridad.
Los honeypots nos permiten acceder a los datos relativos a cómo navegan los ciberatacantes por redes y servidores y quiénes son. Por cada minuto que los ciberatacantes pierden en este cebo, obtenemos información sobre sus intenciones e identidad y, además, conseguimos dirigirlos hacia sistemas ficticios. Además de las muchas medidas de ciberseguridad conocidas, como reforzar la seguridad de la red y salvaguardar todas las aplicaciones y datos, los honeypots son capaces de atraer a los atacantes y grabar sus métodos para investigación e inteligencia y servir para fines forenses, recopilando limpiamente datos sobre los hackers que les roban información.
Aunque estos honeypots existen desde hace décadas y son utilizados habitualmente por agentes de ciberseguridad o hackers éticos para rastrear actividades fraudulentas en la red, su formato anteriormente estático hizo que perdieran valor con el tiempo. Un grupo de ciberdelincuentes que haya interactuado con un honeypot estático permanecerá cada vez menos tiempo durante sus incursiones, o incluso se alejará de él, porque habrá comprendido cómo funciona y perderá interés.
Una nueva generación de señuelos al servicio de la ciberinteligencia
Para contrarrestar este fenómeno, los honeypots se están volviendo nómadas. Tras recopilar información, el objetivo se borra y se reprograma en otra parte de la red, hasta varias veces por semana o incluso varias veces al día, desdibujando el rastro para los ciberdelincuentes. Al maximizar la vida útil y, por tanto, el valor del dispositivo de vigilancia, esta nueva generación de señuelos permite captar más información sobre el desarrollo de las actividades delictivas y detectar más rápidamente las campañas de ciberataques para neutralizarlas a tiempo.
De hecho, el honeypot nómada es una de las primeras aplicaciones del concepto emergente de Defensa Automatizada de Objetivos Móviles (AMTD), derivado de la estrategia militar Moving Target Defense, que afirma que un objetivo en movimiento es más difícil de alcanzar que uno estático.
Por tanto, la tecnología AMTD marca claramente la transición de un enfoque de defensa pasiva a uno proactivo, mediante el despliegue de nuevos mecanismos dinámicos de señuelo y capacidades de automatización para actuar con mayor rapidez en la superficie de ataque. Según Gartner, se trata de una tecnología que mejorará profundamente las técnicas de ciberdefensa. Para 2025, se espera que el 25% de las aplicaciones en la nube de todo el mundo utilicen capacidades AMTD. Y para 2030, el concepto también debería haber surgido para hardware y software.
El poder de la colaboración: aprovechar el conocimiento colectivo
Cuando la red de honeypots se amplía a un área global, el sistema puede funcionar para fortalecer las redes mundiales y garantizar que las organizaciones que están repartidas en múltiples ubicaciones puedan permanecer ciberseguras. Un sistema global de honeypots e información asociada puede ser una mina de oro de datos para los ciberespecialistas que intentan salvaguardar sus empresas, hogares, organizaciones o países de los atacantes maliciosos. Además, gracias a la evolución hacia unas redes compuestas por honeypots nómadas, las organizaciones podrán recopilar ciberinformación sin precedentes y en tiempo real sobre la evolución del panorama mundial de las ciberamenazas, dejando menos espacio para el error manual y la toma de decisiones erróneas.
Pero la cartografía más precisa posible de las amenazas sólo puede lograrse mediante una auténtica colaboración entre todos los actores implicados en la ciberseguridad. Frente a unos ciberdelincuentes más organizados y motivados que nunca, todo el ecosistema debe adoptar un enfoque de colaboración que vaya más allá de sus medidas de seguridad individuales. Porque un potente ciclo de inteligencia conlleva una gran responsabilidad. Y eso empieza por compartir análisis con instituciones cibernéticas punteras como la ANSSI y la Cyber Threat Alliance.
Pedro Morcillo, Country Manager de TEHTRIS para España
