Asimetría en la batalla, la eterna constante en la ciberseguridad
Ciudad de México– El campo de batalla en el ciberespacio guarda una asimetría mayor a la que se observa en los conflictos físicos. Como si fuera un mantra de la ciberseguridad, quienes protegen las redes, la infraestructura y las aplicaciones digitales están conscientes de que mientras que ellos cargan con la responsabilidad de cuidar todos y cada uno de los puntos de acceso a éstas, los ciberatacantes sólo tienen que encontrar una pequeña debilidad, una rendija minúscula, por la que penetrar, para afectar los sistemas de una compañía, una instalación crítica o un Estado.
Esta asimetría es la tendencia más clara para los especialistas en ciberseguridad israelíes, una tendencia que se ha mantenido desde la aparición de los primeros virus informáticos, que afectaban directamente los dispositivos de los usuarios finales y contra los que se crearon los primeros antivirus, hasta las Amenazas Persistentes Avanzadas (APT) o los llamados ataques polimórficos, cuyos movimientos parecen tener vida propia y contra los que se ha desarrollado complejos modelos de análisis de comportamiento que sin embargo presentan aún muchas deficiencias.
Una de las afirmaciones que más llamó mi atención durante la cobertura que realicé a la novena Conferencia Internacional de Ciberseguridad (Cyber Week 2019), que se llevó a cabo en Tel Aviv, Israel, en la semana del 24 al 28 de junio, fue que estamos entrando a una época en la que esta asimetría entre defensores y atacantes del ciberespacio se está ampliando de forma exponencial hacia el lado de los atacantes, y la inteligencia artificial sumada a una mayor cantidad de dispositivos conectados a la red parecen ser la principal causa de esta inclinación extrema.
Inteligencia artificial e IOT
Los modelos de análisis de comportamiento de amenazas han utilizado herramientas de inteligencia artificial, como el aprendizaje automático, desde hace al menos 10 años. Una vez que han sido entrenadas, la capacidad de las computadoras para detectar anomalías en el tráfico de una red o movimientos sospechosos en un dispositivo son mucho mayores a las de cualquier ser humano. Un fragmento de código poco confiable basta para que salten las alarmas y los riesgos de sufrir un ataque puedan reducirse al mínimo posible.
Pero, ¿qué sucede cuando son los atacantes quienes utilizan estas herramientas para descifrar el comportamiento de una solución de ciberseguridad automatizada? Y ¿qué pasa cuando se utilizan para encontrar vulnerabilidades en un sistema? De acuerdo con Menny Barzilay, director de Tecnología del Centro Interdisciplinario de Investigación en Ciberseguridad de la Universidad de Tel Aviv, el uso de inteligencia artificial por parte de los ciberatacantes hace que la industria de la ciberseguridad sea prácticamente obsoleta.
Si de por sí ya era difícil proteger cada puerto de entrada de un sistema informático, una búsqueda automatizada por parte de los atacantes parece significar una avalancha que cae en contra de los ciberdefensores de la cual será muy difícil escapar.
Malware en código abierto
El aprendizaje de las máquinas no es el único enemigo a vencer. La ingeniería social, que ha sido utilizada como un elemento habitual para penetrar en los sistemas informáticos, también juega un papel fundamental en la asimetría de la batalla en el ciberespacio. El phishing ha sido la más básica y al mismo tiempo más efectiva de estas técnicas de ingeniería social que buscan engañar al eslabón más débil de la cadena, el ser humano, para que sea él mismo el que abra la puerta a los ciberatacantes. Y aunque la tasa de éxito de este tipo de estafas se ha reducido en los últimos años, aún siguen cosechando éxitos, además de que han permitido que la ingeniería social siga buscando nuevas formas de engañar, incluso de forma masiva.
La adopción del llamado código abierto por parte de todo tipo de compañías tecnológicas y no tecnológicas es otro de los problemas que fueron mas frecuentemente mencionados por los asistentes a Cyber Week. Un cibercriminal puede fácilmente hacerse pasar por editor de una aplicación de código abierto y, con la misma facilidad, insertar piezas de malware dentro del código de la aplicación, que después se dispersará en los sistemas de compañías que usan dichas aplicaciones, ya sea para fabricar sus productos o para ofrecer sus servicios. En ambos casos, las líneas de código malicioso pueden incluso llegar a los dispositivos del usuario final.
Está nueva metodología de ataque ya no sólo supone engañar a los usuarios finales de los dispositivos digitales, que en la mayoría de los casos somos ignorantes de los riesgos que implica la conectividad. Desarrolladores, ingenieros y especialistas en ciberseguridad caen como moscas en este tipo de fraude de programación que abarca a toda la cadena de producción de software.