Matt Kodama, quien dirige la ciencia de datos en la compañía de ciberseguridad Recorded Future, compara su trabajo con trabajar en la parte trasera de la casa en un restaurante. Su equipo es el que compra comestibles, diseña recetas, cocina y sirve la comida. 

Los componentes con los que trabaja su equipo son datos que seleccionan de todo el sitio web, que luego analizan para extraer información útil que los clientes pueden usar. Esa información luego se introduce en la plataforma de software de Recorded Future, que es empleada por las principales instituciones financieras, gobiernos y muchos otros para rastrear amenazas potenciales, tanto en línea como en el mundo real, para sus organizaciones en tiempo real. 

La sala de prensa de Mastercard visitó recientemente la sede de Recorded Future, que pasó a formar parte de Mastercard en diciembre, y tuvo la oportunidad de conversar con Kodama y conocer su trabajo. 

Las siguientes preguntas frecuentes fueron editadas por motivos de extensión y claridad. 

Abarca todo el espectro, desde muchos tipos de datos que están disponibles públicamente. En el otro extremo del espectro, ideamos algunas formas ingeniosas y sofisticadas de acceder a datos de lugares de difícil acceso que suelen ser empleados por los ciberdelincuentes. 

Para los ciberdelincuentes, uno de los juegos más lucrativos en este momento es el robo de información de las computadoras de individuas. Ahora los ciberdelincuentes tienen tus claves de inicio de sesión, tus contraseñas, tus cookies, toda la información sobre cómo es tu computadora. Con estos datos, ese atacante puede crear una máquina falsa que se parezca a tu computadora y hacer que el tráfico del navegador de esa máquina falsa parezca provenir de tu ciudad. 

Si eres un ciberdelincuente que trabaja en el ámbito del ransomware empresarial, esta es información valiosísima para acceder a la red que pretendes atacar. La cantidad de archivos procedentes de computadoras infectadas como este que se ofrecen a la venta es una locura. Es un gran negocio.

Es un mundo loco, loco. Es como un mercado de pulgas. 

Lo que les importa a muchos clientes es si pueden descubrir lo más rápido posible que un inicio de sesión de alto riesgo, como su VPN, fue expuesto. Pueden tomar medidas de seguridad muy específicas. Si hay una sesión de inicio de sesión, mátala. Cualquiera que sea la contraseña que esté actualmente en ese inicio de sesión, restablecerla. Porque es básicamente una carrera: qué tan rápido emplearán esta información los actores de amenazas versus qué tan rápido pueden los defensores descubrirla y remediarla. 

Todas las computadoras que intentan enviar mensajes a través de Internet necesitan tener estas tablas que indiquen: “Si intentas comunicarte con este dominio en línea, envía un mensaje a esta dirección IP”. Es como la guía telefónica de Internet. 

Un análisis realmente básico pero bastante efectivo es simplemente tomar toda esta información y decir: "¿Qué hay aquí hoy que no estaba aquí ayer?" Constantemente se crean nuevos negocios, y luego, por supuesto, muchos de ellos fracasan. Así que es muy, muy normal que aparezcan nuevos dominios y luego no dañen a nadie y luego desaparezcan. Así que no puedo simplemente decirle a todo el mundo: "Oye, este es un nuevo dominio, bloquéalo". En su lugar, podemos revisar cada uno de esos nuevos dominios e intentar conectarnos a ellos. Y si el certificado de seguridad que me devuelve es un certificado nuevo y se ve raro, esos son riesgosos. 

Al final de toda esta historia, lo que un cliente está tratando de hacer es decir: "¿Podría darme una lista muy corta de nombres de dominio que debería poner en mi filtro [Sistema de nombres de dominio] y cerciorar de que ninguno de mis empleados navegue por ese dominio?" Si pueden bloquearlo, ese es el estándar de oro. 

Idealmente, sí. Los malos tienen que montar su infraestructura antes de poder usarla. La idea es detectar cuándo se está instalando infraestructura de forma extremadamente rápida y luego determinar correctamente qué nueva infraestructura está siendo operada por actores maliciosos, en contraposición a todas las infraestructuras normales e inofensivas.

El problema en el mundo es que hay mucha actividad de los malos. Si pudiera darle mágicamente a una compañía una fuente de todos los nombres de dominio de alto riesgo que deberían bloquear, no tienen controles de seguridad que escalen a esa cantidad de dominios. Es demasiado malo. Los clientes están muy, muy hambrientos de cualquier información que podamos darles, no solo este nombre de dominio es arriesgado, sino a quién persiguen y qué indicios sugieren que están persiguiendo a personas como yo. Porque entonces priorizaría el uso de esa información para mi seguridad frente a, francamente, probablemente el 90% de amenazas similares que se ven casi exactamente así, pero persiguen a otra persona. 

Los clientes se enfrentan a un problema de optimización muy difícil, como la capacidad limitada de sus controles de seguridad. ¿En qué se van a centrar? Hay demasiado. Y por eso están ansiosos por que les brindemos información que los ayude con ese problema de optimización.