En los últimos meses estamos observando un impulso a las tecnologías de protección de las identidades, tanto personales como de dispositivos, debido, precisamente, al foco que han puesto los ciberdelincuentes a la hora de aprovechar estas vulnerabilidades. Pero, como suele ocurrir, no todas las estrategias adoptadas por las organizaciones son igual de efectivas.
Una de ellas es la tecnología del engaño, deception tecnology, un concepto que consiste en defender las infraestructuras de la organización poniendo en marcha falsos objetivos para engañar a los atacantes. Normalmente se utilizan honeypots a los que acceden los criminales y donde los equipos de seguridad detectan fácilmente la intrusión, ya que el tráfico legítimo nunca accede a ellos. Se trata, por tanto, de una tecnología muy efectiva… aparentemente, ya que, cuando acercamos la lupa, nos damos cuenta de las debilidades que presenta esta forma de defensa.
La tecnología del engaño confía en los escasos conocimientos del entorno real contra el que se quiere atacar. Estas herramientas se han desarrollado pensando en que los criminales no son conscientes de la superficie de ataque verdadera de la víctima, por lo que parten del hecho de que los atacan sin saber qué buscan ni dónde. Sin embargo, los ciberdelincuentes más inteligentes pueden dar la vuelta al tablero y aprovechar esta tecnología en su propio beneficio.
Según un estudio de CrowdStrike, el tiempo medio que necesita un criminal para acceder a los activos de una empresa y moverse lateralmente por su infraestructura es de tan solo 84 minutos. Esto refuerza la postura de que los delincuentes utilizan técnicas muy sofisticadas y conocimientos muy avanzados para romper las barreras con las que se encuentran y para distraer a los equipos de seguridad mientras consiguen sus objetivos.
Otra limitación adicional para el uso de los honeypots engañosos es que no son tan fáciles de desplegar: se precisa de tiempo, de profesionales bien formados, de esfuerzo y de dinero para ponerlos en marcha y para mantenerlos.
Honeytokens vs honeypots
En el lado opuesto a los honeypots engañosos nos encontramos los honeytokens, con los que una organización puede ser advertida de forma más sencilla ante un ataque. No se trata de un sistema completo, si no de datos o cuentas legítimas que incorporan código que hace saltar alertas si ocurren actividades inusuales, como acceder desde una identidad desconocida. Con estas alertas, el equipo de seguridad puede identificar al adversario y desplegar las políticas de protección que permitan bloquear el honeytoken y las actividades que se realicen desde él.
Utilizar honeytokens es más sencillo que desplegar honeypots, ya que los honeytokens utilizan cuentas y datos legítimos y susceptibles de ser atacados realmente… pero también de ser descubiertos rápidamente. Además, los equipos de seguridad no tienen por qué levantar equipos enteros, lo que reduce el tiempo, los recursos, los esfuerzos y la inversión.
Las herramientas de detección y respuesta ante ataques contra identidades se han convertido en algo esencial para defender las infraestructuras corporativas y los honeytokens pueden formar parte de esta estrategia para hacerla aún más efectiva. La tecnología del engaño no ha demostrado ser una solución eficiente para los problemas de seguridad actuales, más bien al contrario. Por eso es crítico que las empresas contemplen políticas más completas de protección de identidades con detección en tiempo real y capacidades de prevención y visibilidad.
