La aceleración de la progresión de las tecnologías en red ha visto un aumento tanto en el número de vulnerabilidades dentro de un sistema como en el número y la sofisticación de las herramientas utilizadas para sacar provecho de ellas. Las empresas que gestionan los datos financieros y personales de millones de clientes, como los bancos comerciales, están estudiando tecnologías como Blockchain para garantizar al cien por cien la integridad de los datos en caso de intrusión. La pregunta es si Blockchain puede combinarse con herramientas de seguridad cibernética basadas en inteligencia artificial para prevenir eventos como el atraco cibernético de la APT38.
Before we dive further into it and analyze capabilities of Blockchain for Cyber Security, let’s take a quick look at what APT38 is and review mechanics of how these types of attacks are carried out.
¿Qué es la APT38?
Un informe reciente de FireEye afirmaba que un grupo, supuestamente apoyado por Corea del Norte, conocido como APT38, es responsable del robo de más de 100 millones de dólares y, dada la magnitud de sus ataques, debería considerarse un grave riesgo.
A lo largo de los años, muchos grupos de hackers maliciosos se han presentado o han sido descubiertos a través de la investigación de sus ataques. Algunos de los más famosos incluyen grupos como Dragonfly, Axiom, Anonymous, Lulzsec, y Lizard Squad. Entre ellos, sus ataques varían, siendo algunos como Lizard Squad más bromistas, mientras que otros como Axiom y Dragonfly son mucho más peligrosos y criminales.
Se cree que la APT38, que debe su nombre a la denominación “Advanced Persistent Threat” (Amenaza persistente avanzada), es una rama de una colección más amplia de piratas informáticos respaldados por Corea del Norte, conocida colectivamente como Lazarus Group (Grupo Lazarus). Los investigadores también encontraron que la forma en que opera APT y las tácticas y procedimientos que utiliza son lo suficientemente distintos de otros actores dentro del grupo como para ser rastreados por separado.
Se ha demostrado que la APT38 está financieramente enfocada con sus ataques y se cree que es una de las formas en que un régimen norcoreano desesperado está buscando secretamente conseguir dinero. Se cree que desde al menos 2014, APT ha sido responsable de actividades en 16 compañías ubicadas en 13 países diferentes alrededor del mundo, algo que sería increíblemente difícil de lograr sin recursos significativos disponibles.
¿Cómo funcionan estos ataques?
Una de las otras teorías principales detrás de la idea de que la APT38 está respaldada por el régimen norcoreano son las características de sus ataques. Mientras que los investigadores afirmaron que había pruebas que sugerían la existencia de un desarrollador de malware compartido entre APT38 y otros grupos norcoreanos identificados, se encontraron distinciones claras entre APT38 y otros actores, incluido el actor conocido como TEMP.Hermit.
La mayoría de los robos del grupo involucran el apuntar a bancos por cantidades significativas de dinero. Los ataques APT38 se caracterizan por la larga planificación del grupo, la adaptabilidad entre los sistemas operativos, los largos períodos de acceso a los sistemas comprometidos antes de que se intente cualquier ataque y la voluntad de destruir completamente los equipos comprometidos en un intento de frustrar a los investigadores y cubrir sus huellas.
Se ha observado que el malware APT38 simplemente se sienta y espera en un sistema comprometido, reuniendo credenciales y absorbiendo toda la información que puede sobre la red en un esfuerzo por encontrar vulnerabilidades. Según algunos expertos, cuando se dirigen a los servidores de SWIFT de los bancos afectados, incluso se sabe que utilizan puertas traseras pasivas y activas para acceder a los datos internos de un sistema.
Blockchain y Seguridad Cibernética
Entonces, ¿qué se puede hacer con respecto a estas amenazas? Los investigadores y desarrolladores de la seguridad cibernética están estudiando actualmente varias formas de hacer frente a este tipo de amenazas. Una de las tecnologías más prometedoras que están utilizando actualmente varias empresas con fines de seguridad cibernética es la tecnología de cadenas de bloqueo.
La tecnología de cadenas de bloques es a menudo uno de los mayores atractivos para aquellos interesados en invertir en áreas como las criptocurrencias, ya que es uno de los pocos lugares en los que las tecnologías de cadenas de bloques han estado en funcionamiento durante más de un par de años. Las cadenas de bloques son esencialmente ledgers distribuidos o bases de datos formadas por bloques de información que se aseguran mediante criptografía y mantienen un registro continuo de todas las acciones realizadas con un objeto o archivo, como por ejemplo una criptocurrencia.
Una de las formas en que la APT38 robaría dinero es engañando a los servidores de SWIFT con solicitudes falsas y canalizando esos fondos a sus propias cuentas. Con un libro mayor inmutable y distribuido que registre todas las transacciones legítimas, como en el caso de la tecnología de las cadenas de bloqueo, esto sería mucho más difícil de hacer, independientemente del tiempo que se haya invertido en recopilar información dentro del sistema comprometido.
La naturaleza distribuida de los libros de cadena de bloques distribuidos significa que ningún sistema o agencia administrativa tiene una copia maestra y todos los que tienen acceso a ella pueden ver las mismas transacciones, ningún individuo o sistema puede cambiar o alterar las entradas en ella. Esta característica inherente a la cadena de bloqueo ha demostrado incluso que en algunos casos funciona como elemento disuasorio de la ciberdelincuencia.
Dado que la seguridad cibernética se está convirtiendo en un aspecto cada vez más esencial para casi todos nuestros sistemas tecnológicos personales, empresariales y públicos, nunca ha estado tan clara la necesidad de contar con medios adecuados para protegernos. Tecnologías como el blockchain pueden ser la respuesta a algunos de los retos que plantean grupos como APT38 e incluso están empezando a mostrar signos de influir en la dirección de los sistemas de ciberseguridad que se avecinan.
