En el dinámico y complejo panorama de la ciberseguridad, la atención se centra a menudo en las últimas tecnologías, los dispositivos más seguros y las soluciones de vanguardia ofrecidas por los fabricantes. Sin embargo, para construir defensas verdaderamente efectivas, es fundamental comprender al enemigo: el cibercriminal.
Los ciberdelincuentes son adversarios sofisticados y en constante evolución. No se limitan a explotar vulnerabilidades técnicas; emplean una amplia gama de tácticas psicológicas y sociales para lograr sus objetivos. Al igual que un jugador de ajedrez experto, estudian los movimientos de sus oponentes, anticipan sus reacciones y adaptan sus estrategias en consecuencia. Y de eso precisamente es de lo que hemos hablado con Federico Teti, CTO de Zscaler, quien asegura que, en base a ciertas investigaciones, “es increíble ver cómo ha ido ‘in crescendo’ el mercado de los ciberdelincuentes”. Recuerda el directivo en la entrevista que fue a partir de 2011 o 2012 cuando se ven “las primeras grandes manifestaciones de un mercado que empieza a subdividirse en funcionalidades”. Habla de un mercado, el de los ciberdelincuentes, que “no tienen problemas en contratar recursos”, se han organizado, subcontratan algunos servicios y, en definitiva, “adoptan tecnologías muchísimo más rápido de lo que lo pueden hacerlo las organizaciones”.
LockBit es una familia de ransomware que se ha convertido en una de las mayores ciberamenazas en los últimos años. Si en una misma frase incluyéramos ransomware as a service (RaaS), Lockbit y Smoke, ¿qué podría contarmos Federico Teti? Partimos de la base de que LockBit destaca por su rápida evolución y adaptación; ha introducido nuevas técnicas de cifrado, ha aumentado la frecuencia y la escala de sus ataques, y ha desarrollado un modelo de negocio RaaS altamente eficiente. LockBit es el ejecutor principal del ataque, y Smock Loader suele ser la herramienta que abre la puerta inicial. Se trata de un malware diseñado para infectar sistemas y crear una puerta trasera. Habla el CTO de Zscaler de Ransomware as a Hub, que funciona como una plataforma que ofrece a los ciberdelincuentes un servicio completo para llevar a cabo ataques de ransomware, y de una disrupción de Smoke Loader gracias a una operación que ha realizado Europol en distintos países que ha “desacelerado su crecimiento por este golpe”.
Sobre Smoke Loader nos cuenta Federico Teti que “comienza en 2011 siendo una herramienta que permitía acceder a las organizaciones y después comprometerlas”. Aunque no es el único dropper, un es un tipo de malware diseñado para «soltar» u «instalar» otro malware en un sistema infectado, Smoke Loader se caracteriza por ser “el primero que ha ido adoptando nuevas tecnologías y muy rápidamente”. Incluso se han desarrollado plug-ins que permite a los clientes “seleccionar qué es lo que se quiere hacer e integrarte con otro fabricante, con otro ciberdelincuente”.
¿Qué importancia tuvo Operation Endgame para interrumpir las operaciones de Smoke y reducir su impacto en las organizaciones de todo el mundo? ¿Cuáles fueron las consecuencias inmediatas y a largo plazo para los actores de amenazas que utilizan Smoke? Operation Endgame es una operación conjunta que se lleva a cabo con la Europol, y en la que ha participado Zscaler, explica Federico Teti. Se trata de una operación compleja, una operación conjunta entre la seguridad pública y los proveedores privados de seguridad, que ha permitido capturar cientos de servidores, romper más de dos mil dominios “y ayudar a muchas organizaciones a recuperar su información”. Explica durante la entrevista cómo se fueron encontrando pistas y se dejaban otras para que los ciberdelincuentes no se sintieran cómodos ni seguros, “hasta que pudimos atraparlos”.
La IA, con su capacidad para analizar grandes cantidades de datos y aprender de ellos, ha demostrado ser una herramienta invaluable en este ámbito de la ciberseguridad. Federico Teti considera “fascinante” todo lo que se está viviendo y asegura que se está entrando en “un estadio donde permite acelerar muchísimo el análisis de estas nuevas amenazas”. Recuerda que los ciberdelincuentes también encuentran formas de confundir esa automatización y que “llegaremos al punto donde la inteligencia será más inteligencia que artificial. Creo que es muy importante el conocimiento humano”.