La masificación de la inteligencia artificial y el desarrollo de tácticas automatizadas por parte de las organizaciones cibercriminales, han transformado el panorama de la seguridad digital. Frente a este escenario, la protección tradicional basada únicamente en soluciones reactivas resulta insuficiente, lo que obliga a las empresas a adoptar un enfoque dinámico fundamentado en la anticipación y el conocimiento profundo del adversario.
Este fue el eje central de la décima quinta edición del ESET Security Days en Venezuela, el encuentro anual de ciberseguridad que reunió a especialistas y directivos del sector. La apertura de las ponencias estuvo a cargo de David González, investigador de ESET Latinoamérica, quien expuso sobre la relevancia de la inteligencia de amenazas y la emulación de adversarios como herramientas críticas para la toma de decisiones estratégicas.
Ciberseguridad proactiva frente a amenazas automatizadas
De acuerdo a González, el paradigma actual de la ciberseguridad exige ir más allá de la simple contención o el bloqueo de indicadores de compromiso estáticos.
«Los atacantes modernos emplean herramientas sofisticadas para automatizar sus procesos y diversificar sus objetivos una vez que comprueban la efectividad de un vector de ataque en un sector específico», explica.
Esta evolución, destaca, ha reducido significativamente la barrera técnica para los ciberdelincuentes, permitiendo la proliferación de servicios ilícitos en los mercados negros y disminuyendo el tiempo necesario para la planificación y ejecución de los incidentes. El uso de la inteligencia artificial por parte de los atacantes acelera el impacto, logrando comprometer infraestructuras en cuestión de minutos y desafiando la capacidad de respuesta de los equipos de defensa tradicionales.
Ante la velocidad de estas acciones, la monitorización constante y la correlación de datos se vuelven indispensables, alerta. «Los grupos cibercriminales buscan permanecer desapercibidos el mayor tiempo posible dentro de las redes corporativas utilizando herramientas legítimas del propio sistema operativo, una técnica orientada a evadir las detecciones convencionales que no analizan el comportamiento global de la red», dijo.
Marcos de trabajo para descifrar el comportamiento del atacante
Para estructurar una defensa efectiva, las organizaciones deben comprender la metodología del atacante. El uso de marcos de trabajo estandarizados permite establecer un lenguaje común dentro de la industria para analizar las tácticas, técnicas y procedimientos utilizados en los incidentes.
Uno de los modelos fundamentales es el Modelo Diamante, explicó el experto, el cual analiza el desarrollo de un ciberataque a través de cuatro vectores interconectados: el adversario, la infraestructura utilizada, las capacidades técnicas desarrolladas y la víctima.
«Este análisis ayuda a identificar el talón de Aquiles de la infraestructura corporativa, que frecuentemente se manifiesta en puntos de acceso simples como correos electrónicos diseñados para engañar al usuario final», dijo.
Por otra parte, explica, la pirámide del dolor clasifica los elementos de un ataque según la dificultad que representa para el cibercriminal modificarlos. Mientras que elementos básicos como los valores hash, las direcciones IP o los nombres de dominio son sencillos de alterar para evadir bloqueos estáticos, las tácticas y procedimientos operativos son los componentes más complejos de cambiar. «Si una organización logra detectar y neutralizar el comportamiento táctico del atacante en los niveles superiores de la pirámide, obliga al adversario a rediseñar por completo su estrategia», aclara.
Ciclo de la inteligencia de amenazas
La inteligencia de amenazas consiste en recopilar, procesar y contextualizar la información disponible sobre los actores maliciosos para transformarla en conocimiento accionable. Este proceso sigue un ciclo iterativo estructurado en varias etapas orientadas a elevar el nivel de madurez de la seguridad corporativa.
Planificación: Definición de los objetivos de protección en función de la naturaleza de la organización y los activos más críticos.
Recopilación: Obtención de datos provenientes de fuentes abiertas, investigaciones sectoriales e informes globales de inteligencia compartidos entre instituciones.
Procesamiento: Filtrado de la información recolectada para descartar datos irrelevantes y aislar los elementos con valor estratégico.
Análisis y producción: Adaptación de las conclusiones a las necesidades específicas de la empresa, considerando que los riesgos varían significativamente entre el sector financiero, el sector salud o los proveedores de servicios tecnológicos.
Diseminación e integración: Comunicación de los hallazgos a los responsables de la toma de decisiones, traduciendo los aspectos técnicos en términos de gestión de riesgos e impacto de negocio.
Demostración práctica de emulación con herramientas de código libre
La emulación de adversarios complementa las pruebas de penetración tradicionales al reproducir escenarios de amenazas reales basados en grupos de ataque existentes. Durante el evento, se realizó una demostración técnica utilizando Caldera, un software de código libre promovido por la organización MITRE, que se alinea con la matriz de conocimiento MITRE ATT&CK para identificar cada fase del ataque, desde el acceso inicial hasta el impacto final.
Para el ejercicio se emuló el comportamiento de APT-C36, una amenaza persistente avanzada con un historial de actividad dirigido hacia organizaciones en América Latina. El escenario ilustró cómo se inicia el compromiso mediante una campaña de correo electrónico falso que induce al usuario a descargar y extraer un archivo comprimido.
A efectos de la demostración, las soluciones de protección locales de ESET se configuraron en un modo de diagnóstico oculto para permitir la ejecución de las tareas del software de emulación sin ser bloqueadas, facilitando la visualización del panel de control de Caldera. En la simulación se observó cómo el agente instalado en la máquina víctima interactúa con el servidor de comando, ejecutando comandos internos del sistema para recopilar información de manera silenciosa, demostrando el valor de estas pruebas para validar la robustez de los controles defensivos y optimizar las capacidades de detección antes de que ocurra un incidente real.
Fuente: Clelia Santambrogio, Giorgio Baron, CDOL.
