Matt Kodama, quien dirige la ciencia de datos en la empresa de ciberseguridad Recorded Future, compara su trabajo con el de trabajar en la trastienda de un restaurante. Su equipo es el que hace las compras, diseña las recetas, cocina y emplata la comida. 

Los componentes con los que trabaja su equipo son piezas de datos que seleccionan de toda la web y que luego analizan para extraer información útil que los clientes puedan usar. Esa información se incorpora luego a la plataforma de software de Recorded Future, que es utilizada por importantes instituciones financieras, gobiernos y muchos otros para rastrear posibles amenazas, tanto en línea como en el mundo real, a sus organizaciones en tiempo real. 

La sala de prensa de Mastercard visitó recientemente la sede de Recorded Future, que pasó a formar parte de Mastercard en diciembre, y tuvo la oportunidad de sentarse con Kodama y escuchar acerca de su trabajo. 

Las siguientes preguntas y respuestas fueron editadas para mayor brevedad y claridad. 

Abarca todo el espectro, a partir de muchos tipos de datos que están disponibles públicamente. En el otro extremo del espectro, hemos descubierto algunas formas inteligentes y sofisticadas de acceder a datos de lugares más difíciles de alcanzar que suelen utilizar los actores de amenazas cibernéticas. 

Para los actores de amenazas, uno de los juegos más importantes en este momento es robar información de las computadoras de personas individuales. Ahora los actores de amenazas tienen sus cadenas de inicio de sesión, sus contraseñas, sus cookies, toda la información sobre el aspecto de su computadora. Con estos datos, ese actor de amenazas puede crear una máquina falsa que se parezca a su computadora y puede hacer que el tráfico del navegador de esa máquina falsa parezca que proviene de su ciudad. 

Si usted es un actor de amenazas que trabaja en el negocio del ransomware empresarial, esta es una información increíble para ingresar a la red que está atacando. La cantidad de archivos de computadoras infectadas como ésta que se ofrecen para la venta es una locura. Es un gran negocio.

Es un mundo loco, loco. Es como un mercado de pulgas. 

Lo que preocupa a muchos clientes es poder descubrir lo más rápido posible que se ha expuesto un inicio de sesión de alto riesgo, como el de su VPN. Pueden tomar medidas de seguridad muy específicas. Si hay una sesión de inicio de sesión, elimínela. Cualquiera que sea la contraseña actual en ese inicio de sesión, restablézcala. Porque es básicamente una carrera: con qué rapidez los actores de amenazas utilizarán esta información versus con qué rapidez los defensores podrán descubrirla y remediarla. 

Todas las computadoras que intentan enviar mensajes a través de Internet necesitan tener estas tablas que dicen: "Si intenta comunicarse con este dominio en línea, envíe un mensaje a esta dirección IP". Es como la guía telefónica de Internet. 

Un análisis realmente básico, pero en realidad bastante efectivo, es simplemente tomar toda esta información y decir: "¿Qué hay aquí hoy que no estaba ayer?" Constantemente se crean nuevas empresas y, por supuesto, muchas de ellas fracasan. Por lo tanto, es muy, muy normal que aparezcan nuevos dominios que no dañen a nadie y luego desaparezcan. Así que no puedo simplemente decirle a todo el mundo: “Oye, este es un nuevo dominio, bloquéalo”. En lugar de eso, podemos recorrer cada uno de esos nuevos dominios e intentar conectarnos a ellos. Y si el certificado de seguridad que me devuelve es un certificado nuevo y parece extraño, esos son certificados riesgosos. 

Al final de toda esta historia, lo que un cliente está intentando hacer es decir: "¿Podría darme una lista muy corta de nombres de dominio que debería poner en mi filtro [Sistema de nombres de dominio] y asegurarme de que ninguno de mis empleados acceda a ese dominio?" Si pueden bloquearlo, ese es el estándar de oro. 

Lo ideal sería que sí. Los malos tienen que configurar su infraestructura antes de poder usarla. La idea es detectar con extrema rapidez cuándo se está instalando infraestructura y luego determinar correctamente qué nueva infraestructura es operada por actores de amenazas y no por todas las cosas normales y benignas.

El problema en el mundo es que hay mucha actividad de malos. Si pudiera darle mágicamente a una empresa un listado de todos los nombres de dominio con muy, muy alta probabilidad de ser de alto riesgo que deberían bloquear, no tendrían controles de seguridad que se ajusten a esa cantidad de dominios. Son demasiadas cosas malas. Los clientes están muy, muy ávidos de cualquier información que podamos darles, no solo sobre si este nombre de dominio es riesgoso, sino también sobre a quiénes están buscando y qué indicios sugieren que están buscando a personas como yo. Porque entonces priorizaría el uso de esa información para mi seguridad frente a, francamente, probablemente el 90% de amenazas similares que se ven casi exactamente igual, pero que van en busca de otra persona. 

Los clientes tienen un problema de optimización muy difícil, como la capacidad limitada de sus controles de seguridad. ¿En qué se van a centrar? Hay demasiado. Y por eso están ansiosos de que les demos información que los ayude con ese problema de optimización.