El pasado diciembre Carlos Seisdedos, Responsable del Área de Ciberinteligencia en Internet Security Auditors y profesor de LISA Institute participó en la XV Jornadas STIC CCN-CERT. Aquí damos algunas claves de su intervención en la que habló de cómo se puede utilizar OSINT en la lucha contra el Ransomware.
Han transcurrido ya quince años desde la primera edición de las Jornadas STIC CCN-CERT organizadas por el Centro Criptológico Nacional. Desde que en el año 2007 se celebraran las primeras en el Centro Superior de Estudios de la Defensa (CESEDEN), el Centro Criptológico Nacional y su Capacidad de Respuesta a Incidentes, CCN-CERT, han sido fieles a su cita anual con el sector de la ciberseguridad en España.
Este año la jornada se celebró en formato híbrido, con una asistencia presencial de 2.500 personas y una audiencia online de 14.584 personas procedentes de 27 países. En ellas participó Carlos Seisdedos, Responsable del Área de Ciberinteligencia en Internet Security Auditors y profesor de LISA Institute en la ponencia “OSINT en la lucha contra el Ransomware” junto a Vicente Aquilera, socio fundador de Internet Security Auditors.
La ponencia se centró en explicar y analizar cómo el OSINT cobra un significado especial en la lucha contra el ransomware, cuyo incremento y evolución en el último año se ha visto motivado por el deseo de obtener una mayor influencia sobre las organizaciones de las víctimas.
En este sentido, se mostraron ejemplos de cómo el uso de herramientas y técnicas OSINT puede ayudar a entender el ecosistema ransomware, monitorizar fuentes de información, e identificar actores involucrados en toda la cadena que ayuden a prevenir incidentes o investigarlos en caso de producirse.
Conflictos: del mundo físico al cibernético
En la presentación inicial, Vicente Aguilera recordó la exposición de la ministra española de Defensa, Margarita Robles, y cómo centró su discurso durante su intervención en las Jornadas STIC CCN-CERT en la importancia de las personas frente a la tecnología y en el viraje de los conflictos bélicos del mundo físico al plano cibernético.
“Margarita Robles recordaba en su intervención cómo cuando se reúne con sus homólogos, hoy en día se habla poco de guerra. Más allá de que no haya que olvidar que hay 34 conflictos bélicos abiertos en la actualidad, se habla más de ciberseguridad. Esto es un cambio muy importante”.
Aguilera también puso el contexto de cómo en el pasado mes de junio, el asesor de Seguridad Nacional de los Estados Unidos comentó en una rueda de prensa antes de la cumbre del G7 que Biden pondría sobre la mesa el Ransomware y qué planes se iban a poner sobre la mesa para luchar contra él.
“Estos son solo dos ejemplos de hasta qué punto preocupa el Ransomware a día de hoy”, aseguraba el socio fundador de Internet Security Auditors.
Contexto de la importancia del cibercrimen
Antes de comenzar la exposición de ejemplos de cómo el uso de herramientas y técnicas OSINT puede ayudar a entender el ecosistema Ransomware, monitorizar fuentes de información, e identificar actores involucrados en toda la cadena que ayuden a prevenir incidentes o investigarlos en caso de producirse, Seisdedos consideró necesario contextualizar con un “estado del arte” de la cuestión.
En este sentido apuntó que en España en 2020 se habían presentado un total de 287.963 denuncias relacionadas con algún tipo de elemento del cibercrimen. Más allá de esta cifra, destacó lo que es conocido como “cifra negra”, es decir, la cantidad de personas que han sufrido algún tipo de percance o delito relacionado con un tema de ciberseguridad y la ciberdelincuencia pero que no lo han denunciado. Entre los motivos por los que no se presentan estas denuncias mencionados por el experto se encuentran el desconocimiento, vergüenza o temas reputaciones.
En este sentido apuntaba que estos casos suponen entre un 75% y 80% de los casos reales. Es decir, 1.371.252 no presenta denuncias. Y, si se realiza la suma combinatoria, en 2020 ha habido más de un millón y medio de víctimas relacionadas con el cibercrimen.
¿Por qué está aumentando el cibercrimen y el uso de Ransomware?
Carlos Seisdedos señaló en su exposición la importancia del volumen de casos y cómo estos estaban aumentando en los últimos años. Así desgranaba la serie de elementos que tenían como consecuencia que este tipo de ciberdelito sea “tan lucrativo” y que, por ello, haya aumentado.
Uno de los motivos que señaló fue el coste económico. El experto aseguró que este ciberataque había evolucionado, siendo en la actualidad más barato realizarlo. “Ya no es como antes cuando se necesitaban herramientas muy sofisticadas. Ahora cualquier equipo tiene suficiente potencia como para poder realizarlo”, apuntó.
También mencionó la ubicuidad y cómo ya no era requisito indispensable estar físicamente en algún lugar concreto para realizar un ciberataque. Hoy en día, puede realizarse desde cualquier lugar del mundo. También se puede realizar simultáneamente desde diferentes lugares al mismo tiempo, lo que dificulta, por ejemplo, la dificultad de atribución de un ciberataque.
Además, las herramientas necesarias para realizar un ciberataque, también han evolucionado. “Ya no es necesario desarrollar herramientas propias. Se pueden encontrar en el mercado, también herramientas gratuitas, para lanzar cualquier tipo de ciberataque”, aseguró.
El experto también mencionó el reducido riesgo de realizar un ciberataque en el sentido en el que, recordando la cifra de denuncias anteriormente mencionada, solamente se condenan un 1% de los ciberataques y que “la impunidad es muy alta”.
El ciberdelito como servicio también fue uno de los motivos destacados. En este artículo te contamos cómo funciona esta nuevo modelo del cibercrimen en el que subcontratan sus propios servicios.
También resaltó el aspecto cognitivo en el sentido en el que muchas de las campañas que se realizan se realizan a través de aspectos relacionados con la ingeniería social para acceder a los diferentes contenidos; la hiperconectividad que “tampoco ayuda” en un mundo en el que todos estamos hiperconectados; y el alto impacto de este tipo de ciberataques.
El alto impacto del Ransomware, en datos
El experto en ciberinteligencia, Carlos Seisdedos, también quiso exponer el alto impacto de este tipo de ciberataques en datos de 2020.
En este sentido puso como ejemplo el caso de España en el que, según el Internet Crime Report 2020, se encuentra en el número 14, dentro del TOP 20 de países víctimas de ciberataques registrados durante el año 2020.
Los países más afectados por ciberataques en 2020 fueron Reino Unido (216.633), Canadá (5.399) y la India (2.930).
También resaltó que, en relación a los ámbitos o sectores, que suelen sufrir este tipo de ciberataques “ninguno se puede sentir libre de ellos”. Según, los datos de la empresa de seguridad Blackfog, la Administración es de los sectores más afectados por este tipo de ciberataque, seguido de la Educación y la Sanidad.
En relación al volumen de dinero que mueve el cibercrimen y, en concreto, el uso del Ransomware, Seisdedos destacó cómo el volumen se multiplicaba exponencialmente. “Según los datos, sucede un ataque de Ransomware cada 11 segundos y en el año 2031 se espera que ocurra cada dos segundos”, advirtió.
OSINT y lucha contra el Ransomware
“Si quieres paz, prepárate para la guerra”. Estas fueron las palabras que utilizó Seisdedos para introducir el OSINT o “Inteligencia de fuentes abiertas” en la lucha contra la Ransomware.
“El simple hecho de recopilar información en fuentes abiertas no proporciona inteligencia y, en este caso, necesitamos la obtención de inteligencia para hacer una labor proactiva a la hora de conocer atacantes, metodologías y diferentes modos de operar de los ciberdelincuentes”, aseguró.
Ese ciclo de inteligencia “nos ayudará a poder hacer esa trazabilidad de información desde el primer dato que podemos recopilar hasta esa generación de inteligencia”. A partir de la necesidad concreta de un decisorio, cliente o superior, el objetivo del ciclo de inteligencia debe contribuir a reducir la incertidumbre y ayudar a que el decisor tome una decisión con la mínima incertidumbre posible. El experto explicó que en estas fases del ciclo de inteligencia encontramos el OSINT.
Si quieres saber más sobre el ciclo de inteligencia te recomendamos este artículo de LISA Institute en el te explicamos qué es el Ciclo de Inteligencia en la realidad (y sus varias interpretaciones), en qué nos puede ayudar y, sobre todo, cuáles son sus límites.
Además el experto también destacó que es tan importante el tener información como la falta de ella. En este sentido expuso un ejemplo concreto para entender esta afirmación. Durante la Segunda Guerra Mundial los aliados querían analizar el tipo de impacto que estaban recibiendo sus aviones para fortalecerlos, blindar su fuselaje y así conseguir que fueran más resistentes a sus impacto.
Hasta que alguien se dio cuenta de que se estaban equivocando en el análisis. ¿Por qué? Porque estaban analizando únicamente los aviones que habían vuelto. En ellos, obviamente, los aviones tenían menos impactos y lo que realmente era importante analizar eran aquellos aviones que no habían vuelto.
“Esto quiere decir que es tan importante el análisis de la información que se tiene como la falta de datos e información. De esto muchas veces nos olvidamos y es una tarea principal del analista”, recordó.
Antes de comenzar la exposición sobre casos concretos de cómo luchar contra el randsomware, Seisdedos también quiso destacar el caso del troyano bancario Emotet, utilizado para entrar y distribuir Ransomware, por poner un caso de éxito.
En este sentido puso el ejemplo de la operación que realizó Interpol a principios de este año en la que participaron nueve países y en la que se desmanteló la web más peligrosa del mundo. Durante la ponencia, el experto enseñó algunas fotografías de la operación, que se muestran más abajo, para demostrar que cuando hablamos del cibercrimen tendemos a pensar en organizaciones criminales con una infraestructura “muy potente” y que “no siempre esa es la realidad”.
“Idealizamos la figura del ciberdelincuente” y, al ver esta realidad de la fotografía, se puede demostrar que “podemos creernos que podemos luchar contra él”, dijo.
Así, existen diferentes manera de luchar contra el ransomware: proactiva y reactiva. En el sentido de la reactiva Seisdedos quiso destacar la célebre frase de “si seguimos las drogas llevaremos al drogadicto, si seguimos el dinero a saber a dónde llegamos” comparándolo con esas diferentes maneras de luchar contra los ciberdelincuentes.
Si quieres ver la ponencia completa y ver casos concretos de cómo luchar contra el Ransomware puedes hacerlo aquí (a partir del minuto 18.35):