Sí, los villanos están llegando allí también; entendiendo que el Big Data debería importar más en sus operaciones, y que engañar los sistemas de detección para categorizar su actividad como “no riesgosa” requerirá de comportamientos más parecidos a los de los humanos, creando un aspecto aparentemente legítimo.
Los cibercriminales ya saben que tienen un problema con el Big Data, y por eso están incrementando su capacidad de “minar” información, usando herramientas adaptadas con sus troyanos tal como “IntelegentBot” y “MoneyPanel”, o incluso el troyano Pony Stealer que ofrece una mejor disección de la información robada. ¡De hecho, las investigaciones de RSA recientemente identificaron una sola operación de recolección de datos (comprometida por troyanos) en un rango de casi 5 millones de records por día!
Sin embargo, los “malos” aún no han maximizado el potencial de su información. Secuencias automatizadas de comandos MitB todavía “disparan a discreción”, independientemente de la conducta legítima de la víctima, siendo fácilmente identificados y bloqueados por diferentes soluciones de seguridad. Para compensar esta situación, los cibercriminales han cambiado sus métodos a un esquema de ataque más manual, pero no escalable.
Entonces, ¿cuál es el próximo paso para los cibercriminales?
Imaginen este (no muy hipotético) escenario: Los cibercriminales empiezan a perfilar a sus víctimas (ellos actualmente ya recolectan mucha información sobre nuestros hábitos de navegación, y pueden conseguir más si es necesario). Al presionar un “botón analítico” se genera, recopila y ejecuta un guión MiTB de víctima específico, imitando nuestro comportamiento a la perfección: los clics en las páginas son lanzados a un ritmo lógico y “humano” y las páginas son visitadas en secuencia, basándose en nuestra información perfilada. Parámetros estáticos, como los agentes de usuarios e identificadores de máquinas son todos simulados. Finalmente, nuestras cuentas de bancos son vaciadas por actividad aparentemente legítima; sin anomalías de comportamiento o desviaciones.
¿Es esto posible? ¿Pueden los cibercriminales beneficiarse de esta forma?
Bueno, debemos operar bajo la suposición de: “¡Sí, ellos pueden!”. Si han copiado muchas otras prácticas de negocios y avances tecnológicos, ¿por qué no adoptar el análisis de Big Data?
Por suerte no hemos llegado a eso, en gran parte porque los cibercriminales están limitados por sus fuentes de información (nuestro computador principalmente), aunque están trabajando activamente para comprometer más nuestros dispositivos móviles. Recopilando datos a partir fuentes limitadas, su inteligencia va a ser también limitada sin importar cuánto rebanen, corten y analicen la información. La cita (ligeramente alterada) de Ronald Coase sirve para resaltar este hecho: “Si torturas la información lo suficiente, ésta confesará”. Limitados por sus fuentes de información, los intentos de suplantación de los cibercriminales no serán perfectos (léase: detectables).
Pero necesitamos prepararnos… ¿Cómo?
Cuando se trata de Big Data vs. Big Data, el ganador será el que tenga fuentes de información más amplias. Entre más información tengamos (sensible al contexto y al tiempo), mejor será nuestra comprensión y, por ende, será más difícil para el “Big Data rojo” engañar o manipular nuestros sistemas, sin importar lo diminuta que sea la “trampa”.
Necesitamos profundizar y ampliar los recursos de nuestro “Big Data azul”. Este será el esfuerzo de las organizaciones – tanto públicas como privadas- para compartir conocimiento, información y percepciones sobre estos tipos de ataques. Aunque hemos sido testigos de muchas de estas alianzas que han surgido recientemente, esta situación va a terminar forzando a aquellos que no han llegado a ver estos desafíos más holísticamente. Las soluciones de seguridad no serán capaces de sobrevivir operando en “modo silo”, especialmente en un enfrentamiento de Big Data.
En este juego perpetuo del “gato y el ratón”, actualmente votamos por que el despliegue de soluciones impulsadas por Big Data es lo mejor que se puede hacer hoy. El ratón eventualmente será alcanzado, y debemos estar listos.
Por Daniel Cohen, Gerente del Desarrollo Comercial para RSA, el grupo FraudAction.