Colaboración para la respuesta a incidentes internacionales

En la Conferencia RSA 2021, un grupo de expertos analiza la necesidad de una mejor colaboración que frustre el cibercrimen.

NotPetya paralizó a grandes empresas de todo el mundo; por ejemplo, Sony Pictures recibió un ataque como represalia por el lanzamiento de una película y, más recientemente, este mismo ransomware atacó a Colonial Pipeline. No solo es difícil retratar estos delitos en las noticias, también son complicados para las empresas, las autoridades policiales y los responsables políticos a nivel internacional. En Internet no hay fronteras, y los ataques que se originan en un país pueden atacar a objetivos de otros muchos, lo que dificulta la jurisdicción.

La solución yace en la comunicación (mucha comunicación) y la colaboración. No obstante, en la práctica no es tan sencillo.

En la conferencia RSA 2021, el Director de Cibercrimen de la INTERPOL, Craig Jones, el enviado especial de la Confederación por la política extranjera de seguridad del ciberespacio del Departamento Federal de Asuntos Exteriores en Suiza, Jon A. Fanzun, y el presidente de FIRST (Foro de respuesta a incidentes y equipos de seguridad), Serge Droz, participaron en una conferencia sobre la falta de una respuesta de política mundial para arreglar los riesgos en la cadena de valor moderada por la Gerente Sénior de Asuntos Públicos de Kaspersky, Anastasiya Kazakova. El grupo analizó los desafíos particulares y reflexionó sobre los posibles ingredientes de una respuesta mundial.

El consenso general apunta a una mejor colaboración y al intercambio de concienciación de amenazas y de los problemas de seguridad que traspasan las fronteras. No obstante, las jurisdicciones están ligadas a las fronteras territoriales, y las autoridades policiales deben respetarlas, aunque, por desgracia, no podamos decir lo mismo de los criminales.

Droz explica: “A los cibercriminales les encanta la frase “divide y vencerás”, ya que, si estamos divididos, ellos se salen con la suya. Por eso nuestro mayor desafío, por encima de los problemas técnicos, consiste en decidir la mejor forma de trabajar en conjunto”.

Aunque la opinión de Droz suene muy extrema, la colaboración entre fronteras ya ha aumentado en los últimos años. Entidades privadas, equipos de respuesta ante emergencias informáticas (CERT, por sus siglas en inglés), las agencias policiales y los gobiernos ya comienzan a trabajar en conjunto para ayudar a las víctimas. Por ejemplo, el proyecto No More Ransom ha ayudado a muchas víctimas de ransomware a descifrar sus archivos sin necesidad de pagar. Además, recientemente las organizaciones internacionales Europol, Bundeskriminalamt (Alemania), Politie (Holanda), Polisen (Suecia), el Centro Australiano para Contrarrestar la Explotación Infantil, la Policía Federal Australiana y el Servicio policial de Queensland, el FBI y el ICE (EE. UU.) y la Real Policía Montada de Canadá colaboraron  en el desmantelamiento internacional de una red de plataformas de abuso sexual infantil en la dark web.

Estos ejemplos nos brindan esperanza, pero no son suficientes. En concreto, necesitamos que las organizaciones favorezcan la colaboración y comiencen a normalizar la forma en la que vemos el cibecrimen. También necesitamos generar más confianza para habilitar el intercambio de información entre los grupos de interés y las fronteras.

En Kaspersky vemos esta colaboración como un proceso de tres pasos que pueden ayudarnos a prevenir y responder a los ataques sobre la infraestructura crítica:

  1. Los Puntos Nacionales de Contacto (POC, por sus siglas en inglés) facilitan una mayor coordinación con otras autoridades pertinentes en un país, organizando ciberejercicios periódicos y desarrollando procedimientos, herramientas y plantillas transfronterizas (por ejemplo, para evaluaciones de incidentes, solicitudes de asistencia o intercambio responsable de vulnerabilidades).
  2. En caso de ataque, los POC conectan a la organización de la infraestructura crítica atacada con el fabricante de software apropiado, la empresa de ciberseguridad y los CERT de su país.
  3. Después, los POC intercambian rápidamente información sobre la amenaza, la analizan y comparan muestras forenses para corregir el incidente de forma eficiente.

Prevemos que dicha colaboración crecerá y conducirá a un futuro mejor.

Consejos