Por qué notificar un incidente sólo hace más fuerte a la comunidad de la ciberseguridad

Informar de un incidente a las autoridades competentes o a los centros de intercambio de información sobre vulnerabilidades puede ser una experiencia llena de frustración. Se invierte tiempo, energía y recursos en luchar contra una intrusión, al tiempo que se mantiene informados a los responsables de la empresa y a las partes interesadas, y se evita que la información confidencial salga a la luz. Explicar lo sucedido puede parecer otro esfuerzo más y exponerse a posibles situaciones embarazosas cuando los detalles están a la vista de todos.

Pero los legisladores han estado presionando a los ejecutivos de las empresas para que compartan más información sobre incidentes de seguridad y están creando nuevos requisitos en Estados Unidos y en todo el mundo para obligar a la divulgación de dicha información. ¿Por qué?

Por doloroso o contraintuitivo que pueda parecer explicar cómo los ciberdelincuentes hicieron lo que hicieron a su organización, hay algunas buenas razones para informar de las violaciones. Muchos responsables de seguridad afirman que apoyan plenamente los requisitos que obligan a las organizaciones a notificar los incidentes de peligro (IOC) y proporcionar información sobre cómo se produjeron, afirmando que las autoridades pueden utilizar esa inteligencia para ayudar a la comunidad de ciberseguridad a combatir mejor a los malos actores.

Crear una cultura “adecuada”

Para facilitar el intercambio de información sobre incidentes, muchas jurisdicciones están implementando leyes como la Ley de Notificación de Incidentes Cibernéticos para Infraestructuras Críticas de 2022 (CIRCIA) de los Estados Unidos, que cuando esté completamente implementada requerirá que las entidades cubiertas en el sector de infraestructuras críticas informen sobre incidentes y pagos de ransomware dentro de plazos específicos a la Agencia Federal de Ciberseguridad y Seguridad de Infraestructuras (CISA).

En Australia, la Ley de Seguridad de Infraestructuras Críticas de 2018 requiere que las entidades cubiertas informen al Centro Australiano de Ciberseguridad dentro de las 12 horas siguientes a tener conocimiento de un incidente crítico de ciberseguridad. La Ley de Ciberseguridad de 2018 de Singapur también contiene un requisito de notificación para los propietarios de infraestructuras críticas de información y la Directiva NIS2 de la Unión Europea busca "racionalizar las obligaciones de notificación" en los países miembros de la UE.

"Lo que necesitamos es una cultura adecuada de notificación e investigación de todos los incidentes, cuyo objetivo no sea evaluar la culpa (o peor aún, burlarse de las víctimas, como a veces sucede), sino más bien aprender lecciones y mejorar la seguridad para todos", dice Stefano Zanero, profesor de la Universidad Politécnica de Milán, cuya investigación se centra en la ciberseguridad y es miembro de la junta de la Asociación Internacional de Seguridad de Sistemas de Información (ISSA).

En pocas palabras, el proceso de elaboración de informes ayuda a las organizaciones a defenderse a sí mismas y a otras de su sector, afirma Sara Sendek, directora general de Comunicaciones sobre ciberseguridad y privacidad de datos de FTI Consulting. "Ayuda a otros a saber qué buscar, y daría a la CISA una mejor visión de lo que está ocurriendo para que el gobierno pudiera tomar medidas más ofensivas para desarticular estas bandas [de hackers]", dice Sendek, miembro del Consejo Asesor de Investigaciones Cibernéticas del Servicio Secreto de EE.UU. y ex directora de Asuntos Públicos de la CISA.

Múltiples ventajas

Los CISO y sus equipos, los analistas e investigadores, los profesionales de los proveedores de seguridad e incluso algunos funcionarios del gobierno tienen una larga historia de intercambio de información, aunque no porque se les haya ordenado. Más bien, han compartido inteligencia a través de Centros de Análisis e Intercambio de Información (ISAC, por sus siglas en inglés), mesas redondas, conferencias y sus propias redes personales.

Pero los responsables de seguridad afirman que muchos miembros de la comunidad de seguridad se han mostrado menos inclinados a informar oficialmente de incidentes de seguridad a los funcionarios públicos o a las fuerzas de seguridad. Esto supone un obstáculo para las organizaciones y los organismos públicos, afirma Michael Daniel, director general de Cyber Threat Alliance (CTA), una organización sin ánimo de lucro dedicada al intercambio de información. "El nivel de información que llega al gobierno y a las fuerzas de seguridad no es el que debería ser para que el gobierno haga bien su trabajo", afirma.

El FBI proporcionó algunas estadísticas al respecto en enero de 2023, cuando su director, Christopher Wray, anunció que la agencia había desarticulado el grupo de ransomware Hive; en ese mismo anuncio, Wray señaló que sólo alrededor del 20% de las víctimas de Hive se habían puesto en contacto con las fuerzas de seguridad.

Las autoridades gubernamentales y algunos líderes en ciberseguridad están pidiendo a los ejecutivos de seguridad que informen de los incidentes, así como que compartan información de forma más abierta y frecuente, concretamente las tácticas, técnicas y procedimientos (TTP) de los hackers que están observando en sus propias operaciones empresariales. En ese anuncio, Wray habló específicamente sobre el valor de informar de incidentes a las autoridades, agradeciendo "a las víctimas y a los socios del sector privado que trabajaron con nosotros y que ayudaron a hacer posible esta operación".

Compartir es proteger cuando se trata de ciberincidentes

Informar tiene múltiples ventajas, afirma Daniel. Para empezar, informar de los IOC permite a las fuerzas de seguridad y otros organismos gubernamentales ayudar a las organizaciones durante los ciberataques. También permite a las autoridades recopilar datos, incluidos datos forenses y pruebas. Esa información puede utilizarse para alertar a otros sobre las TTP, de modo que puedan defenderse mejor contra ellas y frustrar los ataques, "con lo que se puede reducir potencialmente el impacto de la actividad en curso", insiste Daniel. Estos datos también pueden ser utilizados por las autoridades para contrarrestar las actividades de los piratas informáticos a través de canales diplomáticos, técnicos o de otro tipo, así como para eliminar o perseguir a los malos actores.

Además, los informes ayudan a las autoridades a comprender mejor la ciberdelincuencia y su impacto, un ámbito en el que Daniel y otros afirman que existen estimaciones, pero que "están muy dispersas". Esto, a su vez, lleva a otra razón para adoptar mecanismos de información: una forma de seguir los progresos. Como explica Daniel, los informes ayudan a "establecer la base de referencia de la tasa y el volumen de ciberactividad maliciosa en Internet, de modo que podamos determinar si lo que estamos haciendo es eficaz".

El mundo es digital y está interconectado, señala Dena Kozanas, consejera general asociada y responsable de privacidad de MITRE. "No podemos ser una isla en sí mismos cuando se trata de proteger activos críticos, como los datos, en nuestra sociedad. Cada entidad, ya sea una unidad gubernamental o una organización empresarial, debe pensar en sí misma como parte de una comunidad mayor e interdependiente. Por eso es ahora más importante que nunca fomentar e incluso obligar a notificar los incidentes cibernéticos".

Redes existentes de intercambio de información

Como vicepresidente y CISO de la empresa tecnológica global Insight y antiguo responsable de Seguridad de RSA, una empresa de software de seguridad, Jason Rader se ha reunido durante años con funcionarios del gobierno estadounidense para proporcionarles información. "No era raro que entregara un dossier al gobierno", afirma, señalando que él y sus equipos de investigación informaban a menudo a las agencias gubernamentales de actividades sospechosas que indicaban la inminencia de un ciberataque.

Rader sigue comunicándose con organismos como el CISA y el FBI. Se reúne regularmente con otros CISO y participa en mesas redondas regidas por la regla de Chatham House, según la cual los participantes pueden utilizar la información que se discute pero no pueden revelar detalles concretos. Transmite información a través de su red profesional, compartiendo opiniones sobre eventos de seguridad mediante llamadas telefónicas y similares. Todos estos canales, afirma Rader, le ayudan a él y a otros CISO a transmitir información crítica "en un periodo de tiempo relativamente corto", algo que ayuda a validar las estrategias de seguridad e incluso a detener o limitar los ataques en acción.

Además de los canales descritos por Rader, existen instituciones para recopilar y compartir información de manera más formalizada. Así, aunque los ISAC son un buen punto de partida, existe, por ejemplo, InfraGard, una asociación para el intercambio de información entre el FBI y el sector privado "para la protección de las infraestructuras críticas estadounidenses". Europa y otros países cuentan con entidades similares, como el Centro Nacional de Ciberseguridad de los Países Bajos, que comparte noticias sobre ciberseguridad y facilita múltiples ISAC.

Sin embargo, sus datos sólo se comparten de forma voluntaria, y hasta la fecha eso ha limitado su impacto potencial, dicen algunos expertos. Jeff Pollard, vicepresidente y analista principal de Forrester Research, asevera que: "Hasta ahora, el intercambio de información ha sido voluntario. Tienes correo electrónico, chat, Slack o Discord y listas de correo electrónico de suscripción donde la gente pasa información de manera informal. Tienes estas 'redes de susurros' donde los profesionales comparten [información] cuando ven algo interesante".

Ventajas e inconvenientes de los canales actuales

Cada canal de información tiene ventajas e inconvenientes, beneficios y limitaciones. Por ejemplo, el intercambio individual entre profesionales de la seguridad empresarial puede distribuir rápidamente información relevante, como una nueva técnica de ataque o las acciones de un pirata informático tras una brecha inicial, a aquellos sobre el terreno que puedan utilizar la información de inmediato.

Ese tipo de intercambio entre colegas profesionales puede transmitir más fácilmente el contexto e incluso ofertas de ayuda mutua durante ataques reales. "Cuando se trata de compartir información de forma orgánica, la gente comparte la información que considera más útil. Eso es muy importante porque necesitan esos indicadores técnicos, necesitan conocer las tácticas, técnicas y procedimientos de los adversarios", afirma Pollard. "Lo que me preocupa, cuando se formaliza o se fuerza, es que la información pierda relevancia, o que se comparta demasiada información de modo que resulte menos útil, o que esté anticuada y los adversarios hayan pasado página".

Mientras tanto, las redes de intercambio informales y formales existentes pueden proteger las identidades de las organizaciones que son testigos de las actividades de los hackers que hacen saltar las alarmas, algo que puede ser importante para los ejecutivos y los equipos jurídicos, sobre todo cuando los incidentes son preocupantes pero no comprometen el negocio (y, por tanto, no necesitan divulgarse públicamente ni notificarse oficialmente). Además, los responsables de seguridad afirman que las redes existentes a menudo difunden información que no tendría que revelarse en virtud de las leyes de notificación actuales o futuras -un intento de ataque novedoso, por ejemplo- y que, sin embargo, constituye información valiosa.

Las redes de intercambio actuales no son perfectas

Los expertos también reconocen que las redes actuales de intercambio de información presentan problemas. En primer lugar, las redes, sobre todo las informales basadas en relaciones y conexiones profesionales, excluyen a un gran número de trabajadores de seguridad que podrían beneficiarse de sus conocimientos. Como se pregunta Sendek: "¿No debería tener todo el mundo el mismo acceso a la información para protegerse?".

Además, debido a que entre estas redes es voluntario si se comparte o no y qué se comparte, los CISO y sus equipos ejecutivos y legales pueden no estar dispuestos a revelar detalles críticos, temiendo repercusiones o responsabilidades. "Todo el mundo con el que he hablado está de acuerdo en que compartir información sobre incidentes es lo más sensato para desarrollar la capacidad, la concienciación, la fortaleza y la resistencia de todo el sector", considera Steve Wilson, vicepresidente y analista principal de Constellation Research, con sede en Australia. "Pero abrirse el kimono es difícil".

"Es difícil conseguir el permiso (o incluso la comprensión) de los no especialistas en cibernética de la dirección de una empresa", dice Wilson. "Los detalles de los incidentes, por supuesto, suelen ser muy sensibles desde el punto de vista comercial. Así que se plantea el dilema del prisionero: en principio, los participantes aceptarán compartir información sensible sobre sus propias organizaciones si todos están de acuerdo en hacerlo por el bien común, pero al mismo tiempo todos sospechan que sus compañeros se van a contener". Estas redes también tienden a formarse en torno a sectores, como es el caso de las ISAC, lo que significa que la información puede distribuirse fácilmente en un campo pero no llegar a otros.

Necesidad de datos más completos

En consecuencia, está surgiendo un consenso entre muchos líderes de seguridad que creen que las redes existentes de intercambio de información no son adecuadas para construir el conocimiento colectivo necesario para defenderse mejor de los malos actores. "No lo sabemos todo, y eso es lo que inquieta a todo el mundo", afirma Rader.

Otros señalan también que, aunque los profesionales de la seguridad comparten información, no existe un repositorio centralizado exhaustivo de quién golpea a quién, con detalles sobre el tipo de actor, el tipo de ataque y otra información crítica. Ese es el tipo de información que la profesión de la ciberseguridad podría utilizar para evolucionar y madurar, afirma Charles Harry, profesor de investigación asociado de la Escuela de Políticas Públicas de la Universidad de Maryland, director del Centro para la Gobernanza de la Tecnología y el Sistema (GoTech) de la escuela e investigador asociado principal del Centro de Estudios Internacionales y de Seguridad de Maryland (CISSM).

Algunos datos, por supuesto, existen. De hecho, el CISSM cuenta con la Cyber Events Database, que recopila información de acceso público sobre ciberacontecimientos, desde 2014 hasta la actualidad. (La información en el sitio web señala que "se creó para abordar la falta de datos coherentes y bien estructurados necesarios para tomar decisiones estratégicas sobre cómo invertir recursos para prevenir y responder a eventos cibernéticos"). "Somos la mayor fuente de datos de repositorios del mundo, lo cual es triste, porque estoy haciendo esto con estudiantes universitarios. Es un problema grave", afirma Harry.

Harry es partidario de que los informes sean obligatorios para que los funcionarios dispongan de los datos más completos posibles. "Si nos fijamos en los datos, necesitamos tanto las redes informales, porque son eficaces, como las formales para que el sector avance de forma más metódica".