A diferencia de lo que nos muestra el cine, normalmente el robo a un establecimiento no sigue un guión lleno de giros inesperados e ideas brillantes, lo normal es alejarse de ese estereotipo de la “Casa de papel”, y seguir alguna de las técnicas habituales, menos originales, pero cuya efectividad está más que probada: butrón, alunizaje, robo topero, escalomo, tablerista…
Esto es aplicable a prácticamente cualquier cosa que se nos ocurra, surgen tácticas y técnicas para un determinado fin, y con el paso del tiempo una vez se demuestran como las más efectivas, son replicadas de modo continuado y aceptadas casi como un estándar. Por poner un ejemplo alejado de todo lo anterior, en la última final de la Champions se presentaron los 2 equipos muy diferentes: Madrid y Liverpool, pero ambos con sistemas de juego similares: 4-3-3.
En el mundo digital, sucede algo parecido, los ciberdelincuentes utilizan tácticas conocidas, cuya efectividad está más que probada, es decir, no reinventan la rueda y tratan de “ir a tiro hecho”.
Y en estas, suge en 2013 el proyecto denominado Mitre Attack (ATT&CK): https://attack.mitre.org/, una iniciativa sin ánimo de lucro, apoyada por fondos federales, cuyo principal objetivo es clasificar esas tácticas y técnicas habituales, que utilizan los ciberdelincuentes en sus ataques.
Esta clasificación es además muy visual y accesible. Básicamente, presentan en matrices objetivos comunes susceptibles de ser atacados (plataformas Windows, iOS, Android, Linux, Contenedores, Cloud…). Y en cada matriz presentan por columnas, las tácticas utilizadas por los atacantes para ir consiguiendo sus objetivos (acceso inicial, ejecución de malware, escalada de privilegios, acceso a credenciales…). Por último, dentro de cada columna de tácticas, presentan las técnicas habituales para conseguir tal objetivo, por ejemplo, dentro de la columna acceso inicial, indican técnicas como phishing, uso de credenciales válidas…
Desde la URL: https://attack.mitre.org/matrices/enterprise/, es posible acceder directamente a las matrices que han desarrollado, comparando además las diferencias y similitudes entre unas plataformas y otras.
Además pulsando en cada táctica o técnica, es posible ver una explicación detallada de su naturaleza, así como el resto de elementos relacionados.
También es muy interesante el apartado que han dedicado a mitigaciones, orientadas a mejorar la seguridad con objeto de prevenir que una técnica sea ejecutada satisfactoriamente.
Incluso proporcionan un listado de todo el software utilizado por ATT&CK para el modelado de estos comportamientos de ataque (casi 700 programas -casi nada-): https://attack.mitre.org/software/
En resumen, ATT&CK es un buen punto de encuentro, para ver y comprender las metodologías habituales de un ciberataque. De hecho, son este tipo de modelos o similares, los utilizados por los nuevos sistemas de seguridad, tipo EDR (End Point Detection and Response), hoy tan de moda, y que tratan de llegar dónde no llega el antivirus tradicional basado en firmas. Estos sistemas revisan eventos, sucesos o acciones en los equipos protegidos, y los comparan con estas tácticas y técnicas conocidas que hemos visto anteriormente, y si encuentran comportamientos sospechosos generan las alertas y acciones pertinentes.
