A medida que se complejiza el malware y los antivirus no alcanzan para mantener la seguridad de los equipos, surgen nuevas especialidades como la de Inteligencia en seguridad informática, una actividad incipiente en Argentina que está destinada a informar a empresas y organizaciones sobre las amenazas que pueden afectarlas, para luego poder defenderse.
"Nosotras trabajamos en Argentina pero en conjunto con otros analistas de Canadá, Estados Unidos e India, porque esta tarea requiere actualización las 24 horas. Entonces, cuando nosotras dormimos, el equipo del otro país está en actividad, y viceversa", explicaron a Télam Ruth Barbacil y Gabriela Nicolao, ingenieras en Sistemas de la Información (UTN).

Una de las confusiones más frecuentes -indicaron- es asimilar al virus con el malware, pero en realidad éste último es la categoría que abarca a los diferentes tipos de amenazas, entre las cuales se encuentra el virus.

"Lo que cambia es la finalidad de las amenazas y la forma en que se expanden. Por ejemplo, un virus se conecta a cualquier archivo y se reproduce; en cambio, un ransomware compromete a un equipo y secuestra información para luego pedir dinero por el rescate", aclaró Nicolao, quien además es docente y cursa el posgrado en Criptografía en la facultad del Ejército.

La complejidad de estas amenazas requiere que las analistas, para cada tarea, se informen en profundidad sobre las características de los distintos tipos de malware (ransomware, troyanos, virus, spyware, gusanos) para observar cómo ingresan a los sistemas y detectar los vectores.

Embed
"Además, tenemos herramientas para encontrar malware en Internet, con las que bajamos nuestras propias muestras y después analizamos. Con eso armamos un reporte para informar a la empresa u organización interesada qué fue lo que encontramos y les enviamos indicadores de compromiso (IOCs) para que puedan crear reglas y defenderse de las amenazas que están circulando", señalaron.
"Lo que intentamos es atar cabos para evitar infecciones. Y lo hacemos de una forma rápida, porque en este ámbito cuando se conoce que una amenaza fue detectada, se generan nuevas", remarcaron.

Las analistas indicaron que hay malware específico que ataca a diferentes industrias, y ejemplificaron que en la actualidad las instituciones hospitalarias están siendo víctimas del ransomware.

"Este ataque tiene dos formas, ya sea encriptando la máquina o bloqueando el acceso. Pero también hay ransomware mal programado que, como borra la llave privada y eso hace que no se puedan recuperar los archivos, se pide un rescate pero en realidad el usuario pierde todo", precisaron.

Más allá de la información que los atacantes puedan obtener de las empresas u organizaciones a través del software malicioso, las especialistas subrayaron que hay datos que se pueden conseguir en Internet de forma pasiva.

Nos ponemos la camiseta de un actor malicioso y reunimos toda la información que una empresa publica en Internet y que puede representar insumo para un posible ataque

"Nosotras también reportamos lo que llamamos 'reconocimiento de una organización', que tiene que ver con toda la información que cualquier usuario de Internet puede sacar de una organización de forma pasiva por su propia exposición", ampliaron.

"Es decir, nos ponemos la camiseta de un actor malicioso y reunimos toda la información que una empresa publica en Internet y que puede representar insumo para un posible ataque, con el objetivo de que tome las precauciones necesarias y mida su exposición", sostuvieron.

En este sentido, señalaron que a veces hay organizaciones que publican en las que se ve la sala de servidores, lo cual genera indicios de su ubicación.

Uno de los vectores más comunes para ingresar amenazas son los mails, que suelen ser engañosos para que el usuario descargue sin saberlo un software malicioso, pero no de forma directa. "Lo que envían los atacantes por mail es el lugar donde se tiene que conectar lo que se denomina 'dropper', para descargar desde allí la amenaza que genera el daño en los equipos", indicaron.

El malware no solo tiene distintos tipos sino que también es masivo. Por ejemplo, hay campañas de ransomware que están dirigidas a cualquier persona, y son las "más fáciles de detectar", sostuvieron las analistas.

Pero, además, hay campañas que son muy específicas, las cuales requieren mucha inteligencia e investigación por detrás. Como fue el caso conocido con el nombre del "Malware de Bangladesh", un ataque cibernético a través del cual se robaron de un banco 81 millones de dólares.

Dentro del sector de inteligencia, las analistas también realizan lo que se llama "respuesta ante incidentes", que consiste en analizar los sistemas infectados, aislarlos, ver con qué fueron infectados, tratar de ver quién estuvo detrás del ataque y recuperar los sistemas para que funcionen correctamente.

Además, hacen un análisis forense sobre los equipos (es decir, luego de que fueron vulnerados) para obtener evidencia y analizar qué información pudo haber sido comprometida durante el ataque.

"En Argentina esta actividad aún es muy nueva y se suele ver como un costo en lugar de una inversión. Incluso, muy pocas organizaciones suelen decir que fueron atacadas por un tema de prestigio o para no manchar su nombre", consideraron las especialistas.

"Pero lo cierto es que ante la complejidad de los tipos de malware, la seguridad en informática debe ser cada vez más fuerte y trascender la simple instalación de un antivirus", subrayaron.