«Project Atlas», el mapa del cibercrimen para rastrear y detener a los grupos de ransomware


Derek Manky, de Fortinet, contó a Clarín cómo mapean a los ciberdelincuentes más peligrosos del mundo.

Lockbit, Hive, Ransom House, Vice Society, Black Cat y la lista sigue. Las bandas de ciberdelincuentes que usan ransomware, un tipo de ataque que encripta información para pedir dinero a cambio, manejan un alto nivel de profesionalización.

Con páginas en la dark web, sofisticados códigos de encriptación, operadores en todo el mundo y hasta un sistema de “atención al cliente”, estos atacantes tienen un único objetivo muy claro: dinero.

Pero el problema es que seguir “la ruta del dinero” para estudiarlos es muy difícil: suelen cobrar las recompensas en criptomonedas, activos que si bien quedan registrados, no permiten saber a quiénes corresponden.

Ahí es donde entran las estrategias de lo que se conoce como inteligencia de amenazas (“threat intel”, en inglés), es decir, grupos de hackers que se dedican a entender cómo atacan los criminales, qué programas usan y qué técnicas.

Derek Manky, VP Global Threat Intelligence de FortiGuard Labs. Foto Fortinet


Derek Manky, VP Global Threat Intelligence de FortiGuard Labs. Foto Fortinet

“Trabajamos con un marco de lo que se llaman ‘TTP, Técnicas, Tácticas y Procedimientos’ de ataque. Cuando observamos los ataques y los grupos de actores de amenazas, mapeamos todas las diferentes técnicas. Es como el ADN”, cuenta el director de estrategia global de seguridad de Fortinet, Derek Manky, en una mesa redonda del Fortinet Xperts Summit 2022 en Cancún, de la que participó Clarín.

A pesar de que la cantidad de casos está cayendo, los rescates que piden son cada vez más altos. “El volumen de ataques de ransomware, el total de detecciones, está disminuyendo. Pero se volvió más estratégico: menos ataques, con más escala. La cantidad monetaria está aumentando, porque es de más alto perfil y dirigido a empresas grandes y estados”, explica.

Por esto, el experto es parte de lo que se conoce como Project Atlas, un ambicioso mapeo de los grupos de Ransomware en todo el mundo.

Project Atlas, el mapa del cibercrimen

Ransomware, un programa que encripta información para pedir un rescate a cambio. Foto: Shutterstock


Ransomware, un programa que encripta información para pedir un rescate a cambio. Foto: Shutterstock

En la actualidad existe el Convenio de Budapest que, según Manky, “no alcanza” para contrarrestar la situación actual del ransomware.

“Es el único que se ha aplicado, pero no es suficiente para los estándares actuales. Lo que estamos haciendo con el Foro Económico Mundial es que hemos creado una asociación contra la ciberdelincuencia. Tenemos 45 miembros allí ahora mismo y es entre el sector público y el privado”, explicó.

“Uno de los proyectos que hemos creado se llama Atlas, que es un mapa de la ciberdelincuencia. Esto es realmente importante porque nadie sabe, incluso los profesionales de la seguridad, cuántos grupos de ransomware están operando en la actualidad”, agrega.

“Este es un aspecto crítico porque si tenés 5 grupos de ransomware que están usando un recurso compartido, un mismo código fuente del encriptador, y quitás ese recurso compartido, vas a afectar a los cinco y ser más efectivo”, analiza.

Según Manky hay una serie de “puntos de estrangulamiento que sirven para identificar todo lo relacionado con su infraestructura: los vínculos entre la ciberdelincuencia y los grupos, identificar las direcciones de criptografía y cómo están haciendo el lavado de dinero y demás: todo eso lo estamos metiendo en un mapa”.

Además, dentro de las estrategias que usan para mapear al cibercrimen está lo que se conoce como OSINT, Open Source Intelligence o inteligencia de código abierto: todo lo que es accesible mediante redes sociales, páginas web y cuentas (oficiales y no oficiales) que los cibercriminales usan, no solo en la dark web sino en la web “común” (clearnet).

“Te sorprendería la cantidad de información útil que se puede tomar haciendo OSINT. La inteligencia de código abierto es una fuente importantísima de datos que sirven para trackear estas actividades ilíicitas: al no ser clasificado, cualquiera puede acceder. La clave es cómo se organiza esa información, de ahí la importancia de Project Atlas”, cierra Manky.

Sobre Fortinet Xperts Summit

Martín Hoz, vicepresidente regional de ingeniería de Fortinet (Latinoamérica y el Caribe). Foto Fortinet


Martín Hoz, vicepresidente regional de ingeniería de Fortinet (Latinoamérica y el Caribe). Foto Fortinet

Fortinet Xperts Summit es una cumbre anual que realiza Fortinet, una de las empresas líderes en seguridad informática. El evento reunió a expertos en seguridad informática durante 4 días, entre el 24 y el 28 de octubre, y nucleó a la comunidad de Canadá, Latinoamérica y el Caribe.

Allí hubo talleres especializados, charlas, mesas redondas y actualizaciones sobre los debates actuales en seguridad informática. Algunos de ellos, dedicados a periodistas de la región.

Clarín participó de la edición 2022 del evento, realizado en Cancún, México. Las primeras charlas globales (keynotes) estuvieron centradas en actualizaciones sobre firewalls, redes privadas (VPN) y FortiOS (el sistema operativo de la empresa, una distribución de Linux), además de los servicios en la nube.

En gran parte, la estrategia de “zero trust” fue el hilo conductor del evento: Zero Trust Network Access (ZTNA), es decir, asumir que las amenazas en ciberseguridad pueden entrar por cualquier actor, incluso los propios empleados o trabajadores de una entidad.

SL

Mirá también