Imagínese un ladrón de bancos (con una pequeña máscara negra y un saco de gran tamaño, por supuesto). Opera de noche, pasando las cámaras de seguridad y las alarmas para entrar. Chantajeó a un empleado para que le diera la combinación de la bóveda, pero cuando abre la pesada puerta, lo recibe con una sorpresa. En el interior hay 100 cajas fuertes más pequeñas, cada una con su propia cerradura de combinación y cada una etiquetada como "dinero".
Esa es básicamente la escena que encontraron los piratas informáticos rusos cuando intentaron meterse con las elecciones presidenciales francesas de 2017. Según los informes del personal de seguridad del presidente Emmanuel Macron, la campaña de Macron engañó a los ciberatacantes , o al menos ralentizó sustancialmente su progreso, al llenar sus propios servidores con documentos falsos y contraseñas inventadas.
"Creamos cuentas falsas, con contenido falso, como trampas", dijo el director digital de Macron, Mounir Mahjoubi, a The New York Times . "Hicimos esto masivamente, para crearles la obligación de verificar, para determinar si era una cuenta real. Incluso si les hizo perder un minuto, estamos contentos".
Se llama "cyber-blurring" o "cyberengaño", y el frustrado truco electoral francés proporcionó uno de los primeros ejemplos públicos de una técnica creativa de ciberseguridad que aleja el poder de los piratas informáticos y lo devuelve al equipo local.
"Se trata de tomar el control", dice Gadi Evron, experto en ciberseguridad y director ejecutivo de Cymmetria , una empresa de seguridad que ayuda a las organizaciones a proteger los datos confidenciales atrayendo a los piratas informáticos a una sala de espejos construida a partir de servidores señuelo y documentos falsos.
"El engaño cibernético dice: 'Ya no nos lo tomamos en serio. Ya no estamos esperando a que entren'", dice Evron. "Se trata de controlar tu propia red. Controlar la geografía del campo de batalla. Si entran en mi casa, sé cómo quiero arreglar las cosas para que vayan a donde quiero que vayan".
La estrategia de ciberseguridad convencional para las grandes organizaciones era jugar a la defensa, luchando para identificar los ataques entrantes y parchear los agujeros en la red. El trabajo del equipo de seguridad era monitorear atentamente la red para descubrir qué actividad benigna del usuario y qué amenaza. Asimismo, era responsabilidad de los empleados habituales decidir qué correos electrónicos son legítimos y cuáles son estafas de phishing.
Pero gente como Evron sintió que los departamentos de TI con poco personal gastaban demasiados recursos tratando (en muchos casos, sin éxito) de mantener a los malos fuera de la red. ¿Y si, en cambio, dejamos la puerta abierta y ponemos una trampa adentro? (Gracias, " Solo en casa ").
Cymmetria vende un producto llamado MazeRunner que está diseñado específicamente para detectar "movimiento lateral" dentro de una red segura. Cuando un pirata informático se infiltra en un sistema, tal vez con un nombre de usuario y datos de contraseña robados a través de una estafa de phishing, no sabe exactamente qué quiere robar, por lo que se mueve de un servidor a otro en busca de los activos más jugosos.
MazeRunner establece rutas de navegación realistas para que los hackers involuntarios las sigan, llevándolos a servidores señuelo que están manipulados para alertar al equipo de seguridad. Todo lo que se necesita es un movimiento en falso, un giro equivocado en el laberinto y el hacker dispara la alarma.
Otras herramientas de defensa activa que ofrecen las empresas de seguridad cibernética incluyen el " tejón de miel ", que es un servidor en vivo sin uso real, completo con controles administrativos. Sin embargo, si es pirateado, localiza la fuente del ciberataque y rastrea su ubicación con una imagen de satélite. Otra herramienta es colocar "balizas" en documentos que detectan cuándo y dónde se accede a los datos. Incluso existe la controvertida - e ilegal - técnica de hackear , donde la empresa accede a la computadora del hacker para borrar sus datos o vengarse de alguna manera.
Evron dice que las medidas de seguridad proactivas como MazeRunner se han convertido en el estándar de la industria, compradas e instaladas por grandes instituciones financieras, empresas de tecnología y otras empresas de Fortune 500. No siempre fue así. Hace apenas tres años, una empresa privada que adoptara una postura de contrainteligencia tan agresiva habría estado al margen.
Pero John Hultquist, director de análisis de ciberespionaje de FireEye , todavía cree que muchas empresas se resisten a entrar en el mundo de la contrainteligencia.
"¿Son estas contramedidas el ámbito de la aplicación de la ley o los activos de seguridad nacional, o las empresas privadas se sienten cómodas en ese espacio, alterando la información, realmente interactuando con el adversario en lugar de asumir un papel más pasivo?" pregunta Hultquist.
Para las organizaciones que piensan en intentar una campaña de engaño al estilo de Macron creando montones de documentos falsos, la técnica no está exenta de riesgos.
"El mayor peligro es que ahora está publicando información que otros pueden creer que es suya, y puede que no sea verdad", dice Hultquist. "Eso puede causar todo tipo de consecuencias comerciales que no necesariamente había considerado".
Evron dice que depende de la organización cuán profundamente quieran involucrarse en el engaño cibernético. Simplemente conectando MazeRunner, los equipos de seguridad pueden controlar el movimiento lateral en la red. El siguiente paso, para aquellos con activos específicos que proteger, es crear una historia: ¿Qué busca el hacker y qué espera ver una vez dentro? ¿Y cómo se usa la propia psicología del atacante para construir un engaño convincente?
