Guerra no tan asimétrica

Tradicionalmente, unos de las características que más les gusta destacar a algunos analistas sobre la ciberguerra es su carácter eminentemente asimétrico.

Una guerra asimétrica es aquella donde el tamaño, los recursos o la estrategia de los contendientes difieren notablemente

El aspecto que más se suele destacar de esta asimetría es la posibilidad de que un contendiente pequeño pero con una fuerza de hacking de élite pueda dañar de forma importante a un oponente mayor, a pesar de la diferencia de tamaños o recursos.

Inicialmente esto se ha dado por sentado y se han aportado múltiples ejemplos (caso HBGary, caso Target, caso Diginotar) para apoyar esta idea, pero a nosotros nos surgen varias dudas.

¿Realmente un oponente pequeño con pocos recursos e inversión puede llegar a tener capacidades suficientes como para dañar de forma notable a uno mayor?

En algunos casos puede ser así y tenemos ejemplos  que lo apoyan, pero puede que esta no sea la norma.

Si analizamos por ejemplo el catálogo de herramientas de inteligencia de la unidad TAO de la NSA salido a la luz recientemente, veremos hasta que punto pueden llegar las capacidades de una organización con abundantes recursos económicos invertidos en seguridad. Estas capacidades pueden llegar a hacer parecer ridículas las capacidades de organizaciones más pequeñas.

En caso de conflicto, una organización con estas capacidades podría “machacar” fácilmente a un oponente menor en la mayoría de frentes.

Como decíamos en el post anterior, muchas veces el tamaño si importa.

¿Realmente la inversión en ciber seguridad de las grandes organizaciones se corresponde a su tamaño?

Los ejemplos que se ponen para demostrar que la ciberguerra es asimétrica, suelen consistir en casos conocidos donde un pequeño grupo ha infligido un grave daño a una gran organización.

Pero, realmente estas grandes organizaciones estaban invirtiendo en seguridad de acorde a su tamaño.

No tenemos cifras detalladas para valorar esto, pero conociendo el sector es probable que en la mayoría de estos casos, estas grandes organizaciones realmente no estaban invirtiendo en seguridad de acorde a su tamaño, o no lo estaban haciendo de manera adecuada.

La asimetría pues no sería tanta. La mayoría de estos casos no serían por tanto realmente ejemplos de un enfrentamiento entre un “David” y un “Goliat”. En la mayoría de casos, el supuesto “David” estaría haciendo una gran inversión en tiempo y personal especializado (que también son costosos) en su enfrentamiento contra un “Goliat” en horas bajas y con más fachada que otra cosa.

El tamaño sí importa

Hace unos meses se dio a conocer que se había vendido un exploit 0-day para móviles basados en el iOS de Apple por $500.000 dólares. ¿El comprador? Una agencia gubernamental indeterminada.

Ese mismo precio pueden llegar a tener algunos exploits exclusivos para el Internet Explorer de Microsoft.

Si miramos los tipos de vulnerabilidades más cotizadas, veremos un curioso patrón. No son precisamente aquellas que afectan a bases de datos o a software financiero o corporativo, son las que afectan a software típico de usuario: móviles, navegadores, sistemas operativos de escritorio, herramientas ofimáticas, plugins de java o flash, lectores de pdf.

Esto nos da una pista sobre el tipo de ataques que les gusta utilizar a las organizaciones que tienen recursos económicos avanzados para sus actividades de ataque, los pesos pesados de las operaciones ofensivas.

En el otro lado tenemos las técnicas utilizadas por los grupos pequeños, como las empleadas para comprometer inicialmente a Target o a HBgary. Simples inyecciones de SQL llevadas a cabo de manera manual. 

Los “grandes” prefieren los ataques indirectos cuando se enfrentan a un oponente menor. Les gusta infectar PCs o móviles de usuario, utilizando técnicas de intrusión avanzadas y herramientas caras (una edición básica del Finfisher de Gamma o una del Davinci de Hackingteam suelen costar más de $100.000 dólares y dependiendo de las opciones adicionales pueden llegar a multiplicar esta cifra increíblemente).

Mientras tanto los “pequeños” cuando se enfrentan a un oponente mayor suelen utilizar ataques frontales clásicos, realizados con un enfoque artesanal.

Este patrón no es casual y se repite en la mayoría de casos conocidos que hemos podido analizar.

¿Para qué puede servirnos este patrón? Pues por ejemplo para realizar un perfil del atacante en casos de intrusión o para realizar análisis de atribución en el caso de incidentes conocidos.

También nos sirve para diseñar nuestra estrategia defensiva. Si tememos el ataque de un oponente mayor, debemos invertir más en proteger nuestros equipos de usuario. En cambio sí tememos el ataque de un oponente pequeño, debemos invertir más en proteger nuestro perímetro y nuestros servidores.

Por supuesto esto no es una regla fija, pero si un indicador interesante que puede complementar otros análisis.