Español | English
rss facebook linkedin Twitter

Inteligencia en Seguridad

Decía Stephen Hawking en su libro de ‘Historia del Tiempo’ que, si pusiese todas las publicaciones que aparecen diariamente de su especialidad una detrás de otra, tendría que viajar a 60 Km/hora para mantenerse delante de ellas. Esta metáfora sirve para hacernos una idea de la cantidad de información que se genera diariamente en cualquier campo, pero teniendo en cuenta que el libro está escrito en 1988, creo que todos estaremos de acuerdo en que en la actualidad tendríamos que viajar notablemente más rápido que el Dr. Hawking.

El análisis de tal cantidad de información necesita de un pre-proceso de selección, eliminación de "ruido blanco", contrastar su veracidad, análisis técnico y de impacto, medidas de mitigación y aplicación en escenarios reales. Es un proceso complejo en el que intervienen multitud de componentes, desde la selección de fuentes apropiadas (muchas veces propias) hasta la creación de procesos automáticos que ayuden en la "digestión" de las mismas. Hay que sumar a las dificultades la velocidad de proceso, ya que la información caduca rápidamente y es necesario hacer llegar a todos los actores implicados la información lo antes posible. Por supuesto, el formato de entrega debe ser el adecuado para cada uno de los receptores, lo más sintético posible y orientado a su negocio, junto con las implicaciones y mitigaciones cuando lo aplicamos al entorno de la seguridad.

Sin duda se trata de una tarea nada sencilla. Los clientes de servicios de inteligencia son los primeros que exigen estar perfectamente informados de cualquier novedad que les pueda afectar, tanto a nivel técnico como en lo que atañe a sus procesos productivos. Es necesario, por tanto, generar una relación cercana con ellos para conocer qué esperan y cómo desean recibir la información. Este último es un tema muy importante, ya que enfocar el detalle de una información a un perfil distinto al receptor puede hacer que ésta sea totalmente inútil.


Los servicios de inteligencia orientados al fraude son un buen ejemplo de un campo de batalla en plena ebullición. La velocidad a la que se mueven los delincuentes para desarrollar nuevas formas de lograr su cometido es vertiginosa, luchando siempre para mantenerse un paso por delante de las medidas defensivas establecidas por las entidades. Éstas necesitan los detalles de cualquier nuevo tipo de técnica para poder desarrollar contramedidas antes de que el fraude tenga lugar, o en el peor de los casos, antes de que se generalice.La diferencia entre estar preparados para combatir un nuevo tipo de ataque y no estarlo no sólo puede suponer un perjuicio puramente económico, también puede ser una señal de desprestigio y mala prensa que puede costar la confianza de nuestros clientes. Sin duda las noticias referentes a ataques contra compañías, la pérdida de datos de las mismas o el fraude cometido contra sus usuarios, son candidatas a acaparar portadas.

Personalización.

Es normal y acertado pensar que si la cantidad de información existente es tan basta, por mucho filtrado que se realice el volumen de información que llegue al cliente final también será más de lo que puede llegar a analizar. Es por ello que la personalización es un factor clave. Los entregables deben responder a las expectativas del cliente, dividiéndose entre entregables automáticos y manuales. Los primeros son procesados por sistemas automáticos, y normalmente el formato de entrega es un XML que comunica con un WebService del cliente y que procesa la información para mostrarla en un cuadro de mando o similar. Los segundos tienen como destinatario a un interlocutor con un rol asignado, por lo que la información entregada debe ser lo más sintética y adecuada al mismo. Aquí es muy importante la relación con el cliente, dado que cada uno tiene sus preferencias, para lograr un formato que le satisfaga totalmente.

Pero donde sin duda la personalización tiene un mayor valor es cuando se aplica al entorno de negocio del cliente. Los informes de análisis técnico sin un receptor definido pueden ser de una calidad excelente, pero pueden perderse entre toda la información que recibe un cliente al no ser el tipo de informe que espera. Es posible que simplemente no vea la aplicación a su negocio, ya que en ocasiones no es nada evidente, o puede que el lenguaje tenga un registro muy alejado de su rol. Es aquí donde un informe adecuado puede tener un gran valor.

Siguiendo con el caso de fraude, pongamos el ejemplo del troyano ZeuS. Éste es el troyano bancario con mayor difusión a día de hoy, presente en millones de equipos de los que roba cantidades ingentes de datos. Dichos datos posteriormente se venden en el mercado negro para intentar realizar fraudes de todo tipo con ellos, desde compras con tarjetas de crédito robadas, transferencias fraudulentas o incluso suplantación de personalidad.

Una de las técnicas que sigue este troyano para robar el máximo de información posible es inyectar código Html fraudulento dentro del código legítimo que recibe el usuario infectado al visitar una página web, por ejemplo, la de su banca electrónica. En este nuevo código se piden credenciales adicionales, como puede ser toda la tarjeta de coordenadas, para posteriormente usar esos datos en una transferencia fraudulenta. Por desgracia hay muchos usuarios que ponen todos los datos cuando se les solicita.

Para distinguir dónde tiene que hacer la inyección y que el código quede integrado con la web original para parecer creíble, ZeuS tiene dentro de su archivo de configuración delimitadores para localizar el punto exacto de inyección dentro del código legítimo.
Veamos un pequeño ejemplo:


[003A]

[BEFORE] [/BEFORE]

[AFTER] function lanzaFormulario [/AFTER]

[INJDATA]

1.warnmsg="AVISO DE SEGURIDAD: Hemos mejorado mucho nuestro sistema de seguridad. Por eso tenemos que reactivar las tarjetas de coordenadas. Pedimos disculpas por las molestias
temporales. Por favor, introduzca las siguientes coordenadas.";

[/INJDATA]

Los tags [BEFORE] y [AFTER] del ejemplo delimitan la posición en la que inyectar el código fraudulento.

Sin embargo la “inteligencia” que tiene el troyano para adaptarse a nuevas situaciones es muy limitada. Un ligero cambio en el código Html de la web legítima puede inutilizar el funcionamiento del troyano en lo que respecta a la entidad afectada, haciendo que todos sus usuarios dejen de estar afectados por esta inyección aún estando infectados. Cambiar cualquiera de los valores que delimitan la inyección de ZeuS, por ejemplo el nombre de la función lanzaFormulario por cualquier otro, serviría.

Este tipo de información personalizada es la que realmente puede suponer una diferencia. Permite una reacción ante una amenaza que ya se encuentra ampliamente extendida entre los usuarios de nuestra entidad mediante una sencilla modificación.

Líneas de investigación futuras

Aunque este tipo de servicios es muy maduro en otro tipo de ámbitos, en lo referente al fraude y seguridad todavía está en plena definición. Hay muchos frentes abiertos en cuanto a fuentes de información, especialmente en lo referente al análisis de códigos maliciosos y técnicas de fraude. Es necesario disponer de medios de análisis de código automático, monitorización de sitios fraudulentos, relaciones con otras compañías y organizaciones, así como investigar todo el mercado underground para conocer las novedades y tendencias.

De este modo, los servicios de inteligencia se convierten en grandes colectores y procesadores de datos de todo tipo que hay que limpiar, normalizar y tratar debidamente. Posteriormente, es necesario un proceso de inferencia de conocimiento a partir de los mismos que permita idealmente la predicción de tendencias. El último paso consiste en adaptar este conocimiento al formato y necesidades del cliente final.

El desarrollo de herramientas de monitorización, crawling y minería de datos, adaptadas al contexto del fraude, es un campo de investigación y desarrollo en plena expansión. En paralelo, el formato de presentación del proceso de estos datos en tiempo real cada vez cobra una mayor importancia, orientándose a entornos de toma de decisiones y cuadros de mando no técnicos, así como nuevos formatos de presentación más allá de los intemporales gráficos de tarta.

Sin duda la inteligencia aplicada a seguridad es un campo apasionante y con mucho recorrido. Cada vez cobra una mayor importancia dada la velocidad de aparición de nuevos riesgos de todo tipo para las compañías, por lo que los análisis de inteligencia y alertas tempranas son un elemento clave para evitar pérdidas tangibles e intangibles.

Para acabar, me gustaría destacar el elemento clave en todo este proceso, que son las personas que están a las riendas de toda esta maquinaria. Por fortuna, sigue siendo el elemento definitivo en cuanto a inteligencia se refiere.

Vicente Díaz

Intelligence manager de S21sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login