Cómo derrotar a 'todo lo malicioso' como servicio

En la economía compartida y colaborativa en la que vivimos se observan dos grandes tendencias en juego.

En primer lugar, un número cada vez mayor de personas se conectan a Internet. Estadísticas recientes sugieren que más de 4.000 millones de personas en todo el mundo están utilizando Internet (esto es la mitad de la población mundial):

La segunda es la consumerización de las TI. Los líderes empresariales y las líneas de negocio están consumiendo cada vez más servicios tecnológicos procedentes de su propio departamento de TI o directamente de los proveedores de servicios cloud (una tendencia conocida como “Shadow IT”) en un sistema de pago por consumo (PAYG o Pay-as-you-Go). Este marco de TI como servicio -o TI-as-a-service- posee una serie de características básicas:  

• Estandarización
• Automatización
• Disponibilidad de un catálogo de servicios (“menú de servicios”)
• Orquestación
• Un modelo de negocio y cobro basado en el consumo/PAYG (Pay-as-you-Go)
• Capacidad de autoservicio

En la actualidad vivimos en un modelo impulsado por la demanda frente al antiguo modelo inspirado en la oferta, que se centraba en la tecnología heredada y disponible y sus limitaciones. 

Los ganadores en los mercados súper competitivos de hoy en día son aquellos que pueden superar a su competencia, pensando y maniobrando mejor que ellos. Para ello, aprovechan un modelo operativo de autoservicio basado en un alto grado de estandarización y automatización, con un incremento del modelo de negocio basado en el consumo (PAYG).

Como resultado, la tecnología está cada vez más presente en todas las fuentes de ingresos. Y los agentes maliciosos han seguido su ejemplo. Están aprovechando las tendencias mencionadas anteriormente para obtener grandes beneficios económicos.  

Están poniendo a disposición de las masas códigos maliciosos y ataques en forma de "kits" que pueden consumirse como un servicio fuera de los menús de servicio creados sobre arquitecturas altamente automatizadas y escalables. Si se añaden todos los datos robados a la mezcla, se obtiene una propuesta de valor muy poderosa (y desalentadora).   

Ahora es muy fácil, rentable y rápido para los agentes maliciosos modificar hashes y crear nuevas variaciones de malware que esquivan las firmas. Esto explica la enorme cantidad de código malicioso que hay circulando por ahí.

Crecen los ejemplos de "Todo malicioso-as-a-Service”

• Ataques de phishing. Ya existen kits de phishing disponibles a la venta. Incluyen recursos de sitios web de phishing y herramientas que solo necesitan instalarse en un servidor. Una vez instalado, todo lo que el autor del fraude necesita hacer es enviar correos electrónicos a las posibles víctimas. Las direcciones de correo electrónico de las víctimas potenciales están disponibles en la deep web, al igual que los kits de phishing.
• Ransomware-as-a-Service, o RaaS, son kits de distribución de ransomware que se venden en la dark web por unos pocos cientos de dólares que permiten a los usuarios maliciosos con escasas habilidades técnicas realizar ataques con relativa facilidad. Algunos de estos kits permiten a los agentes del fraude crear su propia versión personalizada de un determinado ransomware. Un ejemplo es Satanás, con un modelo de negocio de "participación en los beneficios" (por ejemplo, el desarrollador del RaaS se lleva un 30% de cualquier pago realizado por las víctimas, y el atacante se queda con el 70% restante).
• Las herramientas de ataque DDoS también se encuentran fácilmente disponibles. Una simple búsqueda en la web saca a la luz un número significativo de servicios de arranque y estrés anunciados abiertamente que dan a individuos no cualificados la capacidad de lanzar ataques DDoS significativos. 2016 marcó un punto de inflexión con el malware Mirai, que desencadenó ataques DDoS procedentes de bonets de dispositivos de Internet de las cosas (IoT) comprometidos. Una serie de devastadores ataques de la botnet Mirai golpeó a varios objetivos de alto perfil. A día de hoy, las variaciones del malware Mirai siguen activas. Más detalles en: https://en.wikipedia.org/wiki/Mirai_(malware)

Uno de los servicios más activos para lanzar ataques de denegación de servicio distribuido (DDoS), WebStresser.org, se retiró en abril de 2018. El servicio tenía más de 136.000 usuarios registrados, y se estima que contribuyó a millones de ataques en un período de solo tres años. Y todo esto por tan solo 15 euros/mes para que los usuarios pudieran lanzar ataques destructores.

En los tres ejemplos mencionados, los kits de phishing, las herramientas de ataque Raas y DDoS, el modelo de negocio, la automatización, la estandarización, el menú de servicios y las capacidades de autoservicio son cinco atributos que se alinean estrechamente con las TI-as-a-Service y la economía colaborativa mencionada anteriormente.

Avalancha de malware, URL comprometidas y ataques DDOS

El fenómeno de "Todo malicioso-as-a-Service" y el rápido crecimiento del volumen de kits altamente estandarizados que están disponibles han provocado una avalancha de malware, software de criptominado, URL comprometidas, ataques DDoS (a raíz de Mirai), etc.

Tal y como se mencionó con anterioridad, es fácil y rápido crear nuevo malware o mutar** los existentes para evitar su detección. Las amenazas de malware actuales son mucho más avanzadas y prolíficas que antes. La creación de malware moderno está automatizada. Como resultado, se requiere muy poco esfuerzo por parte de los atacantes para cambiar una pieza de malware. (**La mutación de malware es el proceso de cambiar el software malicioso existente sin alterar su funcionalidad. Esto se realiza a menudo cambiando una pieza del hash de malware. La mutación permite que el malware evite las soluciones antimalware basadas en firmas, como el antivirus tradicional).

La necesidad de que el hombre y la máquina trabajen juntos

El rápido aumento del volumen de ciberamenazas avanzadas y evasivas está provocando la necesidad urgente de la participación humana tradicional para hacer frente al tratamiento de las amenazas de TI (a través del suministro de firmas, listas blancas, listas negras, heurísticas, etc.) que se complementan con las inmensas capacidades de la inteligencia artificial (IA). En particular, la capacidad de los modelos de machine learning y de deep learning para tratar con vastos conjuntos de datos, es la que los seres humanos no poseen.  

Las máquinas y los algoritmos aportan automatización, tiempos de respuesta más rápidos, reducen las tasas de error y ofrecen capacidades de ejecución previa. Se trata de procesar y analizar grandes cantidades de datos relevantes y a escala.

Los analistas humanos aportan conocimientos humanos a dos niveles críticos: una vez que los modelos de inteligencia artificial (IA) han clasificado los datos, el análisis humano puede tomar el relevo y examinar los patrones sospechosos de actividad para confirmar si se trata o no de ataques reales o de falsos positivos.

Ese análisis humano luego retroalimenta los modelos de machine learning (por ejemplo, añadiendo otra capa de seguridad o clasificando y ajustando continuamente una combinación de modelos de machine learning supervisados y no supervisados, o una combinación) para mejorar los resultados previos a la ejecución y las predicciones futuras.

Este es el poder del hombre y la máquina trabajando juntos para hacer frente a la producción cada vez más automatizada y estandarizada del "Todo malicioso” suministrado como servicio a los aspirantes a hackers que están inundando las empresas, organismos gubernamentales y a los consumidores con sitios web comprometidos, ataques DDoS, software de criptominado y malware de todo tipo.