El ataque de los replicantes

Ambientada en la ciudad de Los Ángeles en noviembre de 2019, 'Blade runner' nos presenta la visión de un futuro lleno de coches voladores, colonias extraterrestres y androides de ultima tecnología que apenas pueden distinguirse de sus creadores humanos, llamados 'replicantes', acosados por policías y cazarrecompensas (los llamados 'bladerunners') como Rick Deckart, el personaje interpretado por Harrison Ford.

Desde este mes, sin embargo, 'Blade runner' ha dejado de ser futurista. El futuro se ha hecho presente. Al menos, desde un punto de vista cronológico. Claramente, y muy a mi pesar, estamos a punto de decir adiós a noviembre de 2019 y seguimos sin tener coches voladores, aunque podríamos decir que Ridley Scott sí acertó en varias predicciones. Por ejemplo, gracias a Alexa o Siri disponemos de tecnología de reconocimiento de voz similares, si no superiores, a las que Deckart usa para controlar un ordenador en la película, y vivimos en una era en la que poderosas corporaciones multinacionales dominan muchos aspectos de la vida diaria, al igual que Tyrell Corporation.

En el mundo de la ciberseguridad también podemos trazar un paralelismo con la trama de 'Blade runner'. En vez de 'replicantes', es decir, robots de apariencia humana que intentan dominar a la humanidad y destruir a sus creadores, tenemos atacantes que utilizan tecnología cada vez más sofisticada, 'malware' y otras herramientas 'software' que imitan cada vez mejor a sus creadores humanos y que son controladas remotamente para fines hostiles. Además, en el mundo de la ciberseguridad el elenco de actores no es pequeño precisamente.

¿Cómo hacen los profesionales de la ciberseguridad para identificar quién es quién en este gigantesco tablero de ajedrez que es Internet? Los 'bladerunners' de la red o cazadores de amenazas estudian las tácticas, técnicas y procedimientos de cada uno de estos actores y los caracterizan para identificar sus ataques. Por ejemplo, el centro de investigación estadounidense MITRE, que asesora al gobierno norteamericano en materias de seguridad, tiene catalogado a fecha de hoy casi un centenar de grupos distintos que incluyen a bandas organizadas de cibercriminales, espías industriales, agencias de gobierno y 'hacktivistas', entre otros.

La sofisticación y 'modus operandi' de cada uno de estos grupos varia de acuerdo con su experiencia, capacidades y financiación, pero mediante el análisis de campañas anteriores a veces es posible extraer patrones de comportamiento que permiten su identificación.

Para ilustrarlo, imagínate que sales de tu casa temprano para trabajar, y después de haberte ausentado durante toda la jornada, vuelves a casa, abres la puerta y…. ¡sorpresa! ¡Todo está literalmente patas arriba! Los cajones revueltos, la ropa en el suelo, las paredes llenas de graffiti, en el espejo del baño alguien ha escrito con pintalabios rojo «Te hemos hackeado» y los asaltantes están compartiendo las fotos de tu casa destrozada en las redes sociales. ¿Sabes quién ha te ha visitado? Un grupo 'hacktivista', por supuesto, que, motivados por fines políticos o simplemente reivindicativos, promulgan sus ideas o protestas aprovechando fallos de seguridad de entidades públicas y privadas por igual.

Rebobinemos la escena. Imagínate que vuelves a salir de casa esa misma mañana. Al caer la tarde, de vuelta a casa, abres la puerta y… en esta ocasión, todo está exactamente igual que lo dejaste. Todo en su sitio, ordenado, limpio… De hecho, parece que incluso las cosas están extrañamente demasiado bien colocadas. ¿Sabes quién ha estado en tu casa? Un grupo avanzado persistente, también llamado APT, por sus siglas en inglés. De hecho, aunque no lo sabes aún, llevan varios meses visitándote, ocultándose en lugares donde no los ves, escuchando tus conversaciones privadas y leyendo todo el correo que pasa por tu buzón. En algunos casos usarán esta información con fines políticos o militares, en otros vaciarán tus cuentas o simplemente venderán esta información a un tercero. Pero con toda probabilidad, para cuando descubras lo que ha pasado, ya sea demasiado tarde.

Aunque estas escenas simplifican una realidad bastante más compleja, sirven para ilustrar algunos de los perfiles de los 'replicantes' o atacantes con los que comúnmente nos enfrentamos en Internet. Existen muchos más y, ciertamente, no todos son avanzados. De hecho, muchos ataques son ruidosos y algunos atacantes llegan a emplear tácticas básicas, herramientas rudimentarias y pueden actuar incluso de manera torpe. Aun así, consiguen alzarse con el botín. ¿Por qué? Normalmente, por excesiva confianza y desconocimiento de las víctimas de cómo opera el atacante y cuál es su motivación.

Afortunadamente, empresas, organismos públicos y ciudadanos contamos cada vez con más información, recursos y herramientas para identificar y defendernos contra estos ataques. Como prueba, durante estos días la ciudad de Valencia acoge CyberCamp 2019, el gran evento de la ciberseguridad que organiza anualmente el Instituto Nacional de Ciberseguridad (INCIBE), y en el que el año pasado tuve el honor de participar como invitado a su paso por Málaga, y que tiene como objetivo promover el avance de la cultura de la seguridad de la información a través de la concienciación, investigación y la promoción y detección de talento. Si no conoces la página web de INCIBE, te recomiendo que te pases por allí y te suscribas a sus boletines semanales.

Al fin y al cabo, necesitamos mas concienciación, más vigilantes, mas cazadores de amenazas. Desafortunadamente, en la realidad, igual que en la ficción, todavía hay muchos más 'replicantes' que 'blade runners'.