Los peligros de la ciberseguridad ofensiva

Los gobiernos y las empresas se han dado cuenta de que un enfoque pasivo y defensivo de la ciberseguridad tiene un éxito limitado. En cambio, existe un creciente reconocimiento de la necesidad de un compromiso persistente que se infiltra y degrada los sistemas y la infraestructura de un atacante. También conocidas como piratería informática, las operaciones de ciberseguridad ofensivas se refieren al ataque proactivo a los piratas informáticos para paralizar o interrumpir sus operaciones y disuadir futuros ataques. La ciberseguridad ofensiva tiene la ventaja de detener o adelantarse a los ciberataques antes de que dañen los sistemas de destino o penetren las ciberdefensas. Las operaciones también pueden introducir incertidumbre en un atacante además de influir en su comportamiento.

A pesar de sus méritos, la ciberseguridad ofensiva no está exenta de riesgos importantes. Antes de desarrollar y ejecutar una estrategia de ciberseguridad ofensiva, es esencial que reconozca las diferentes formas en que las cosas pueden salir mal.

ciberseguridad ofensiva

1. Ciclo de escalada

Si bien las operaciones ofensivas pueden parecer prometedoras para disuadir a los adversarios cibernéticos, existe el riesgo real de que se intensifiquen los conflictos cibernéticos a largo plazo. A medida que las operaciones cibernéticas preventivas y de represalia se conviertan en la norma, un número cada vez mayor de actores adoptará esta línea de ataque. A medida que más actores hacen esto, también aumenta el riesgo de daños no intencionales, caos y escalada.

Un ciberataque preventivo puede considerarse en sí mismo un ciberataque no provocado, lo que desencadena un ciclo de represalias y ataques de ojo por ojo en aumento.

2. Supervisión y copia por parte de agentes malintencionados

La piratería no se lleva a cabo en el vacío. Si bien las operaciones ofensivas pueden estar dirigidas a un actor específico, eso no significa que el ataque permanezca oculto a los ojos de terceros. Puede haber otras partes que busquen formas de atravesar el mismo objetivo. Es posible que durante las operaciones cibernéticas ofensivas, estas partes observen los intentos de piratería. De esa manera, pueden obtener inteligencia, consejos y herramientas para ingresar a la red de destino.

El riesgo de que las herramientas de ciberseguridad ofensivas sean robadas o reutilizadas por actores malintencionados no es nuevo ni carece de precedentes. Los debilitantes ataques de ransomware NotPetya y WannaCry de 2017 se basaron en malware robado de la Agencia de Seguridad Nacional.

3. Incertidumbre en la atribución

Cuando ocurre un ataque físico, existen múltiples formas de identificar al agresor. Desde relatos de testigos presenciales hasta registros de CCTV, habrá pruebas sólidas que facilitan saber exactamente quién fue el agresor. En el mundo cibernético, sin embargo, la atribución es más complicada.

Existen medios técnicos para identificar dónde se origina un ataque. Si bien estos han mejorado a lo largo de los años, no es una ciencia exacta cuyo resultado garantice una precisión del 100 por ciento. Las operaciones de bandera falsa podrían dirigir una respuesta cibernética ofensiva al actor equivocado. Piense en un ataque DDoS que secuestra los dispositivos de una organización de terceros. En este caso, la propiedad de los dispositivos no es sinónimo del atacante.

Atacar al actor equivocado podría hacer que lanzaran su propia acción de represalia. Esto solo agrava la situación. Innecesariamente, hace que sus sistemas y datos sean el objetivo de un nuevo adversario.

4. Obstáculos legales

En los Estados Unidos y gran parte del mundo, las operaciones cibernéticas ofensivas se consideran equivalentes a la piratería criminal y se consideran ilegales. Los ciberataques ofensivos serían, por ejemplo, una violación de la Ley de abuso y fraude informático (CFAA).

En 2019, un proyecto de ley fue presentado en el Congreso de los Estados Unidos que buscaba legalizar que las organizaciones lanzaran operaciones cibernéticas ofensivas contra los intrusos de su red. Conocida como la Ley de certeza de defensa cibernética activa o ACDC, limita el enjuiciamiento de delitos de fraude y abuso informático cuando la conducta de la parte es una defensa o una respuesta a una intrusión cibernética. Todavía está en la Cámara, pero, si se aprueba, dará a las operaciones de ciberseguridad ofensivas en Estados Unidos la protección legal de la que carecen actualmente.

5. Sin supervisión

Si bien la Ley ACDC será importante para brindarles a las organizaciones el marco legal para ataques cibernéticos ofensivos, ¿quién determinará que las operaciones son de hecho un acto de autodefensa? Dado que la atribución ya es un desafío, algunas organizaciones pueden usar el disfraz de operaciones ciberofensivas para lanzar un ataque contra un rival o una entidad con la que tienen desacuerdos comerciales. Una ofensiva cibernética podría crear vigilantes cibernéticos que son una ley en sí mismos y usan la Ley ACDC como un manto para sus ataques inmerecidos.

Peor aún, no existe un marco para determinar que la parte que lanza una ofensiva cibernética tiene la competencia técnica necesaria. ¿Cómo se puede asegurar que están atacando al objetivo correcto y que pueden hacerlo sin poner en peligro a partes inocentes, como otras entidades que comparten el mismo servidor en la nube? No hay garantías de que la organización que reacciona comprenda la infraestructura de tecnología de la información de la otra parte.

6. Jurisdicción internacional

Proyectos de ley como la Ley ACDC pueden legalizar el pirateo de las empresas. Sin embargo, esto puede crear problemas cuando la ofensiva de ciberseguridad es internacional. La Ley ACDC propuesta en sí misma solo se aplica a los ciberataques que se originan dentro de los Estados Unidos. Si el ataque se produce más allá de las fronteras del país, entonces la víctima no tiene base legal para piratear.

Pero incluso si la ley propuesta permitiera ofensivas más allá de las fronteras, existiría la cuestión de la legalidad de las acciones dentro del propio país del objetivo. Es posible que una organización se encuentre en problemas legales porque sus acciones se consideran ilegales en otro país. Un atacante podría dificultarle la toma de medidas al actuar desde países donde su respuesta se consideraría ilegal.

7. Daños colaterales

Ataque SolarWinds

Shutterstock

Puede atribuir correctamente un ciberataque a un actor en particular. A veces, esa parte es una entidad criminal. En otras ocasiones, sin embargo, podría estar patrocinado por un gobierno o una empresa legítima. Ahora piense en un ataque que se origina en tales actores. Lanzar una ofensiva cibernética total podría resultar en daños colaterales generalizados. Por ejemplo, los ciudadanos de un país o los clientes de la empresa serían partes inocentes en un ciberconflicto. Una ofensiva debe buscar evitar causarles daño. Atacar a una empresa que forma parte de la infraestructura crítica de un país (por ejemplo, una empresa de energía eléctrica o suministro de agua) debe estar fuera de los límites o calibrarse cuidadosamente.

Las consecuencias de una ofensiva sin límites pueden provocar la muerte, lesiones, la divulgación de información confidencial y otros resultados que perjudiquen a las personas que no conocen ni apoyan el ataque inicial.

La ciberseguridad ofensiva necesita precaución

Tradicionalmente, la ciberseguridad defensiva era el único enfoque que tenían las organizaciones y los gobiernos. Pero a medida que las ciberamenazas sofisticadas se han convertido en la norma, el concepto de operaciones cibernéticas ofensivas ha ganado fuerza. Los ciberdelincuentes organizados y la piratería patrocinada por el estado exigen un tipo de respuesta diferente.

A pesar de sus beneficios, las operaciones de ciberseguridad ofensivas pueden ser ilegales o impredecibles. Las acciones y reacciones pueden salirse de control rápidamente, haciendo que una mala situación sea mucho peor.

Imagen destacada: Pixabay


Vistas de publicaciones:
27


Leave a Reply

Your email address will not be published. Required fields are marked *