Guillem Alsina Gonzàlez
En un artículo publicado en SC Media, Paul Wagenseil, estratega de contenido personalizado para la CyberRisk Alliance y anteriormente editor especializado en el mercado de la seguridad para varias publicaciones, defiende el uso del engaño como mecanismo defensivo que permite ganar tiempo para organizar una respuesta coherente y limitar el avance del adversario en operaciones de ciberseguridad.
Wagenseil, que empieza explicando brevemente las operaciones de los aliados durante la Segunda Guerra Mundial para inducir al engaño a las fuerzas del Eje sobre en qué lugar exacto tendría lugar el Día D, recurre a las explicaciones de Lorraine Bellon, responsable de Marketing de Producto de Seguridad en Fastly quien, a su vez, cita a los honeypots, unos supuestos servicios vulnerables cuyo cometido es, precisamente, el de atraer a los intrusos para desviar la atención de los verdaderos recursos importantes, o bien analizar el comportamiento de los ciberdelincuentes.
No obstante, los atacantes han aprendido a detectarlos cuando no ven conexiones reales con otros sistemas o descubren que el supuesto servidor físico es, en realidad, una máquina virtual y, por ello, han dejado de ser tan útiles cómo antaño.
Ya en 2021, la vicepresidenta de Productos de Seguridad de Fastly, Kelly Shortridge, y el directivo de Two Sigma, Ryan Petrich, calificaron los honeypots de obsoletos y poco convincentes, y propusieron la creación de lo que bautizaron cómo «entornos de engaño», consistentes en réplicas aisladas que simulan aplicaciones completas para atraer, confundir y vigilar al adversario.
Una gran aerolínea cliente de Fastly (de la cual su nombre no ha trascendido) ha puesto en práctica este enfoque, creando una versión ficticia de su aplicación web para clientes repleta de vulnerabilidades simuladas y datos falsos, con el fin de observar las técnicas de ataque mientras los delincuentes creen avanzar a través de sus sistemas reales.
Bellon añade que un entorno así dentro de la plataforma de desarrollo, desorienta aún más a los atacantes y, si uno de estos logra acceder, no sabrá si está en un sistema real ni si ha sido descubierto, por lo que cuanto más tiempo permanezca confiado, más información útil podrán recopilar los defensores.
Desde el punto de vista ético, Bellon argumenta que engañar no perjudica a nadie, a diferencia del controvertido hack back (y que podríamos traducir libremente cómo hacking de contraataque), y que se convierte en una táctica legítima de protección, comparándola con los insectos que imitan ramas o con las cámaras de seguridad falsas que disuaden a los ladrones.
No obstante, reconoce que los atacantes pueden llegar a ignorar estos señuelos estáticos, por lo que el sector se ve obligado a evolucionar continuamente sus técnicas de engaño.
La propia Fastly todavía no integra un entorno de engaño completo como el descrito por Shortridge, pero sí aplica la estrategia de ocultar o distorsionar la información que los agresores necesitan para avanzar. Algunos componentes de su protección contra DDoS y de la gestión de bots ya actúan en este sentido.
La última novedad es una «acción de engaño” opcional en su cortafuegos de aplicaciones web. Cuando se detecta un intento de toma de control de cuentas, el sistema intercepta la petición de inicio de sesión, envía datos irrelevantes al servidor de origen y devuelve al atacante un mensaje de credenciales inválidas. El objetivo: frustrarle hasta que abandone y, de paso, capturar sus movimientos. Para el administrador, la funcionalidad se reduce a activar un interruptor dentro de las reglas habituales del WAF.
Fastly automatiza estas contramedidas porque la intervención humana resulta lenta frente a ataques que evolucionan en segundos. Sus responsables admiten que puede haber falsos positivos, pero la velocidad de las defensas automáticas supera con creces la capacidad de reacción manual ante amenazas como los DDoS.
En paralelo, la compañía sigue trabajando en otras formas de confundir, retrasar o cansar al adversario, ya sea mediante tiempos de espera artificiales o enviando contenido basura a los bots que rastrean información para modelos de IA.
Para Bellon, el engaño está llamado a ocupar un papel cada vez más relevante en la seguridad de las aplicaciones, especialmente a medida que los atacantes aceleran su ritmo de adaptación. Las organizaciones que sepan introducir estos señuelos dinámicos dispondrán de unos valiosos segundos —o minutos— adicionales para proteger sus activos reales.
