Tiempo y desinformación como recursos críticos ante ataques dirigidos

hacking presidencial

Quería haber publicado esta pieza la semana pasada, pero con todo el revuelo de WannaCry más el Google I/O más el aniversario de esta página, me ha sido imposible. Pero mejor tarde que nunca :).

Ha vuelto a ocurrir.

El hackeo de elecciones está a la orden del día. Es el dorado de la industria del cibercrimen, habida cuenta de lo bien que presumiblemente pagan los clientes por desestabilizar el país de turno.

Ocurrió hace unos meses en EEUU, con una campaña demócrata salpicada constante e inexorablemente por varias crisis reputacionales (EN). ¿En el eje de todo el discurso? Posicionar a Hilary Clinton como el ejemplo vivo del status quo financiero. Alejarla de la plebe, vamos, sacándole los colores en los casos de corrupción de buena parte de su gabinete.

El resultado es por todos conocido. Quien tiene en su bolsillo las llaves de las armas nucleares es Donald Trump. El principio del fin de la democracia estadounidense, como ya hemos comentado en más de una ocasión.

Y todo apuntaba a que en Francia iba a acabar ocurriendo lo mismo. La ultraderecha ascendía posiciones en una histórica campaña donde los partidos tradicionales ni siquiera llegaron a segunda ronda. Al otro lado, Emmanuel Macron, sin un partido a sus espaldas, con una política a medio camino entre liberal y globalista, y con muchas más promesas de las esperables.

El viernes pasado por la noche alguien con los suficientes recursos (tanto técnicos como logísticos) consiguió liberar en la Red casi 9 gigabytes de documentos y correos electrónicos relacionados con la campaña de Macron. El equipo tuvo el tiempo justo para avisar de que la filtración se debía a un ciberataque (FR), pidiendo de paso a los medios de comunicación que fueran “responsables” con el uso de dicha información.

Por ley en Francia está prohibido que los medios cubran noticias referentes a las elecciones las horas antes de que empiecen las votaciones, pero por supuesto las redes sociales se transformaron en un hervidero de bots (EN) martilleando todo el fin de semana la información filtrada. El 5% de las cuentas que utilizaron el hashtag #MacronGate (FR) publicaron el 40% de los tweets. Más claro, agua :).

Por detrás, y aquí entramos en suposiciones, parece que podría estar el grupo Fancy Bear, más conocido como Advanced Persistent Threat 28, con fuertes lazos con la agencia de inteligencia militar del ejército ruso. El mismo que presumiblemente hackeó las elecciones americanas.

No lo digo yo, que conste, sino ambas investigaciones realizadas por Flashpoint Intelligence y Trend Micro (EN). Según parece hay rastros de que algunos de los documentos fueron editados desde ordenadores rusos: Ya sabe que cuando no hay qué rascar en una filtración, quizás la mejor estrategia es tergiversar lo filtrado sutilmente.

Pero lo que más me ha interesado del asunto es cómo un equipo de apenas 18 personas pudo anteponerse a los recursos casi ilimitados a los que tendrá acceso APT28 ahí donde el equipo de Hillary Clinton, con el apoyo de la NSA, fallaron estrepitósamente. La entrevista que le hacían en el New York Times (EN) al Director Digital de la campaña, Mounir, Mahjoubi, es un cántico a la honestidad:

“We went on a counteroffensive. We couldn’t guarantee 100 percent protection from the attacks, so we asked: what can we do? Cyber-blurring was the strategy”

Cyber-blurring, o en otras palabras, desinformación.

Siendo conscientes de que era imposible evitar que acabaran siendo hackeados, apostaron por el único recurso que jugaba a su favor: el tiempo.

Y sabedores de que mientras más demoraran el éxito del hackeo más posibilidades tenían de ganar las elecciones, la estrategia se basó en generar cientos de honeypots (servidores, cuentas de correo, perfiles en redes sociales…) y documentos falsos que “entretuvieran” a los cibercriminales el tiempo suficiente.

En los días previos al cierre de campaña buena parte de estas cuentas falsas fueron hackeadas mediante diferentes técnicas, la mayoría teniendo como base un spear phishing muy elaborado. Y seguramente unas cuantas cuentas reales. De ahí, y mediante diferentes estrategias, los cibercriminales consiguieron las credenciales de acceso de las víctimas, y con ellas, esos casi 9 GBs de información que acabarían difundiéndose en la red.

Pero, y aquí viene lo bueno, la estrategia del equipo de Macron dio su fruto. El ataque se demoró lo suficiente debido a la gran cantidad de objetivos que resultaron ser falsos, y que además ayudaron a que buena parte de ese volcado parta con un halo de suspicacia que lo desacredita: ¿qué porcentaje de los documentos filtrados son reales y cuántos son falsos? A sabiendas que han sido manipulados también a posteriori, ¿de cuáles nos podemos fiar?

Las mecánicas de tergiversación informativa siguen siendo una estrategia más que válida

En este caso aplicado a la información de un partido político, pero en la práctica, como elemento preliminar de defensa en cualquier tipo de organización, sean asociaciones, grandes o pequeñas empresas, e incluso usuarios como usted y como un servidor.

Es algo que llevo literalmente años defendiendo. En un escenario que cada vez se alimenta más de información personal disponible en la red, en ese mismo escenario susceptible a ser corrompido informacionalmente por las burbujas de filtros a las que nos empujan los algoritmos de recomendación masivos, las mecánicas de tergiversación de información, o desinformación, se vuelven la mejor herramienta para paliar, en la medida de lo posible, los efectos negativos de la revolución digital.

Quizás no necesariamente al nivel al que ha llegado el equipo de Macron. Esto, en todo caso, es aplicable solo a objetivos socio-político-empresariales. Pero a cada uno de nosotros, y a nivel macro, nos debería interesar confundir sutilmente a todos esos automatismos que están a día de hoy acotando nuestro campo de visión, y perfilándonos hasta un nivel que empieza a ser preocupante:

  • Extensiones como TrackMeNot (EN), de Chrome, permiten de una manera muy sencilla (la activas, la configuras y te olvidas) que periódicamente y en tu nombre realice búsquedas en Internet para criterios totalmente aleatorios, metiendo ruido dentro del profiling que estos sistemas crean de nosotros, y permitiendo que el día de mañana, cuando hagamos una búsqueda en particular, los resultados no estén tan acotados a nuestros intereses.
  • El desactivar la opción en Facebook de ordenar el timeline por titulares, pasándolo a más recientes (Últimas Noticias > Cambiar a Más Recientes) o el desactivar el reordenamiento algorítmico en Twitter en favor del puramente cronológico (Perfil > Configuración y Privacidad > Contenido > Desmarcar Cronología) nos abre de pronto a un universo de información que quizás no sea exclusivamente de interés nuestro, pero que nos permite tener una óptica más objetiva de lo que ocurre a nuestro alrededor.

Facebook Twitter configuracion

Esto, aplicado a la defensa contra la industria del cibercrimen, se transforma en que ese perfil es ligeramente menos perfilable. Ergo puede ser expuesto a una campaña de phishing más genérica, y por tanto, más susceptible de fracasar.

Nada nuevo para todos aquellos con los que he trabajado, en el pasado o en la actualidad, en presencia digital. Ya no se trata únicamente de que mejoremos con ello nuestras fuentes de información, sino que además tengamos un perfil más robusto de cara a eventuales ataques dirigidos hacia nuestra persona.

Algo que nos afecta directamente a todos, y que indirectamente debería preocuparle a la empresa a la que pertenecemos. La mayoría de ataques de ingeniería social empiezan atacando a la persona para luego pasar al perfil corporativo, que suele ser el más jugoso. Pero esto es ya otro tema que me gustaría tratar en profundidad más adelante :).