De la confianza cero a la confianza negativa
El concepto de confianza cero ha alcanzado en 2023 su madurez a los ojos de la alta dirección, y ya no es algo que solo entienden los equipos responsables de la ciberseguridad.
Sin embargo, esa popularidad a su vez implica un mayor peligro, ya que los criminales buscan la manera de explotarlo, ayudados por los avances en inteligencia artificial.
En 2024 esperamos menos ataques basados en malware, con unos delincuentes intentando aprovechar herramientas informáticas para pasar desapercibidos ante el estricto radar de la confianza cero. Si un agresor consigue acceder a un entorno de confianza cero, por ejemplo utilizando una identidad robada, las empresas necesitan contar con medidas que consigan minimizar el daño que pueda llegar a causar. Es aquí donde suele entrar en juego la tecnología del engaño.
Para los equipos de ciberseguridad, el engaño forma parte desde hace años de las herramientas puestas a su disposición. Sin embargo, esta tecnología está evolucionando y pronto será más fácil de aplicar gracias a la ayuda del aprendizaje automático (ML) y la IA. En los próximos 12 meses, los equipos de ciberseguridad tendrán que revisar este concepto de engaño y plantearse un concepto totalmente nuevo, el de la confianza negativa.
La confianza cero consistía en alejarse del mundo de la conectividad de red y adentrarse en un mundo de acceso con menos privilegios y menor confianza. La idea era que los usuarios solo pudieran acceder a aquellas aplicaciones permitidas por la empresa una vez que su riesgo hubiera sido evaluado por un agente de confianza independiente. En lo que se diferencia la confianza negativa es en cómo minimiza la confianza disponible para ser utilizada por los atacantes, incluso después de pasar por los agentes de confianza cero.
Entonces, ¿qué es lo que hay detrás de esta nueva idea de confianza negativa y qué características tiene un concepto como este?
La IA y el paisaje cambiante de la seguridad
Desde 2001, los responsables de ciberseguridad han venido utilizando la IA y el ML para su protección antimalware y antifraude. Sin embargo, lo que estamos viendo ahora es un uso cada vez mayor de la IA -ya sean modelos lingüísticos, aprendizaje profundo o IA generativa aplicada- por parte de los agresores. Las nuevas técnicas de codificación están haciendo que sea mucho más difícil de detectar desde una perspectiva de día cero, y los grandes modelos de lenguaje están ayudando a los atacantes a localizar vulnerabilidades de seguridad para explotarlas más rápidamente, e incluso probar el resultado para asegurarse de que no es detectable.
Frente a esta situación, los equipos de ciberseguridad tienen que pasar a la acción y empezar a utilizar más la IA generativa en su defensa, en lugar de limitarse al aprendizaje automático. Entonces, ¿cómo nos puede ayudar la tecnología de engaño?
¿Qué es la deception technology o tecnología de engaño?
El engaño o "deception" no es una práctica de defensa nueva, el concepto de "honeypots" y "tarpits" como medio para detectar o desviar intentos de acceso no autorizados existe desde hace años. Pero me atrevería a decir que esta idea siempre fue un poco adelantada a su tiempo.
En esencia, la ciberseguridad implica una competición entre el defensor y el atacante. Para ganar, hay que ser más rápido, disponer de mejores datos y tener más opciones al alcance de la mano. Pero también hay que ralentizar al competidor, hacerle gastar su energía y ponerle obstáculos. La tecnología del engaño se aplica a esto último: su propósito es bloquear las identidades de un posible punto final con credenciales falsas (aplicaciones, archivos y estructuras de datos falsos). En cada paso posible, los atacantes deben enfrentarse a oportunidades de cometer errores, preferiblemente de manera que no delaten la existencia de un señuelo.
En 2009, los laboratorios RSA llevaron a cabo un proyecto para tratar de introducir contraseñas falsas en archivos de contraseñas. La tesis consistía en duplicar el activo que se intentaba proteger para que cualquier atacante no estuviera seguro de cuál era el activo real. Por ejemplo, si había 10 millones de contraseñas guardadas en un archivo, ¿podrían crear 90 millones de falsas para proteger las verdaderas? El proyecto necesitó personas para desarrollar algoritmos de creación de contraseñas falsas (también conocidas como "palabras miel") y luego utilizó granjas de "mechanical turks" para que las adivinaran.
Si el experimento hubiera salido bien, las granjas solo habrían sido capaces de adivinar 1 de cada 10 contraseñas. Desgraciadamente, el porcentaje de aciertos fue mucho mayor. Resultó muy difícil utilizar tecnología de engaño para las contraseñas en aquella época, ya que eran humanos los que creaban los algoritmos, no máquinas.
Mismo juego, distintas reglas
Si avanzamos hasta 2023, las nuevas tecnologías, como la confianza cero y la IA, están transformando el juego del engaño. Proporcionan a las empresas un enfoque más potente, automatizado e inteligente de la tecnología del engaño. Por ejemplo, si la plataforma Zscaler Zero Trust Exchange recibe una puntuación de riesgo de un usuario que parece estar muy lejos, entonces puede crear opciones falsas para este atacante potencial que parecen mucho más creíbles de lo que habrían sido hace unos años. Estas tecnologías pueden incluso crear carpetas y archivos señuelo, y luego alertar a los defensores de que alguien está tratando de acceder a datos seguros cuando se accede al señuelo, enviando una señal digital a los equipos de seguridad de que un intruso está en el sistema. A continuación, los defensores pueden presentar al atacante aplicaciones falsas de aspecto realista y ralentizarlas mientras las desplazan silenciosamente de la red principal a un repositorio digital donde ninguno de los datos es real. Esto es lo que llamaríamos un entorno de confianza negativa para los atacantes.
El objetivo de la confianza negativa es conseguir que los ciberdelincuentes no confíen en un activo y que se preocupen, cada vez que se conecten a una red, de que puedan estar accediendo al archivo equivocado y ser descubiertos. Así, independientemente de los datos o activos que puedan obtener de la red de una organización, no estarán seguros de si los datos son auténticos, lo que restará valor a sus éxitos y, potencialmente, les hará perder el tiempo.
Por el momento, a priori, los escenarios de confianza negativa se están creando en entornos de confianza cero, con señuelos de trazo grueso con la esperanza de atrapar a un atacante. En el futuro, el objetivo es generar un entorno de confianza negativa para un atacante cuando active una alerta y personalizarlo sobre la marcha en función de aquello a lo que esté intentando acceder en ese momento, en lugar de tener que crear todo un sistema con archivos y aplicaciones falsas a las que el atacante nunca pueda acceder. Esto garantiza un engaño más personalizado y, por tanto, más eficaz, que además no desperdicia potencia de cálculo para los equipos de seguridad.
Conclusión
Es necesario seguir haciendo todo lo que siempre se ha venido haciendo en ciberseguridad para minimizar los riesgos. Sin embargo, también se deben poner más obstáculos en el camino de los criminales, presentándoles encrucijadas que les ralenticen y confundan, les preocupen y más. Porque en un mundo de humanos asistidos por IA que atacan defensas asistidas por IA, hay que cambiar el juego y, francamente, hacer trampas para ganar.
Sam Curry, Vicepresidente y CISO de Zscaler