Microsoft y Crowdstrike se unen para crear la biblia de la ciberdelincuencia, un listado que reúne nombres y acciones de los delincuentes online

Computer Hoy

Los gigantes tecnológicos Microsoft y Google han creado un glosario público para ordenar el universo de la ciberdelincuencia y descifrar los alias de los criminales.

Microsoft, CrowdStrike, Alphabet (matriz de Google) y Palo Alto Networks han unido sus fuerzas para cercar a los ciberdelincuentes, con un nuevo glosario de uso público destinado a poner orden al extenso catálogo de alias de grupos cibercriminales, que crece por momentos y hasta ahora no estaba recogido en un solo documento.

Esta biblia de la ciberdelincuencia busca servir a investigadores y hackers éticos como base para determinar a qué actores de amenazas patrocinados por estados se enfrentan y cuáles son las acciones que éstos llevan a cabo para que, con un solo golpe de vista, sean capaces de ubicarlos, debido a que muchos de ellos tienen varios apodos no oficiales.

Así lo ha explicado Microsoft en una entrada en su blog, donde ha señalado que, con este glosario, busca "ayudar a los investigadores de seguridad, quienes ya se enfrentan a una cantidad abrumadora de datos de inteligencia de amenazas". 

Asimismo, su vicepresidente corporativo de Seguridad, Vasu Jakkal, cree que esta iniciativa acelerará su "respuesta y defensa colectiva contra estos actores de amenazas", según ha avanzado a Reuters. 

Varios nombres, un solo grupo de amenazas

En el ámbito de la ciberseguridad, es muy común que un grupo de ciberdelincuentes cambie de nombre según vayan evolucionando sus objetivos y sus técnicas de ataque. Esto es algo que demostró Secureworks, que ahora es propiedad de Sophos, en 2016. Fue entonces cuando comenzó a utilizar el nombre de Iron Twilight en lugar de TG-4217, que era como se denominaba antes a dicho grupo de hackers rusos. 

En la misma línea, también es muy habitual que un grupo de piratas informáticos sea referenciado de varias formas diferentes, con nombres que incluyen letras y números al azar, como APT1, advertido por Mandiant, o TA453, descubierto por Proofpoint. Pureba de ello también es el grupo norcoreano APT ScarCruft, conocido como APT37.

Otras firmas de ciberseguridad, como CrowdStrike, han optado por nombres más llamativos, como Kryptonite Panda, para un grupo de ciberdelincuentes chinos, o Cozy Bear, para otro de hackers rusos. En la misma línea creativa se han expuesto Earth Lamia, rastreado por TrendMicro, o Equation Group, ya investigado por Kaspersky.

Esto solo es una muestra de que cada empresa tecnológica llama a los grupos de cibercriminales siguiendo sus propios patrones, tal y como ha sugerido Microsoft, que ha recordado que emplea una taxonomía de nombres alineada con el clima para actores de amenazas.

Teniendo en cuenta que los clasifica en cinco grupos clave (actores de estados-nación, con motivación financiera, ofensivos del sector privado o PSOA, operaciones de influencia y grupos de desarrollo), para formular sus nombres, añade un fenómeno meteorológico como apellido para ubicar a cada uno de estos grupos.

De ese modo, para identifica como Tifón a cualquier campaña delictiva ejecutada por china, mientras que su segundo nombre, Tempestad, indica actores con motivaciones económicas. Con esta inventiva, ha pasado de rastrear acciones fraudulentas con nombres formales y temáticos como Rubidium a otros como Sangria Tempest y Lemon Sandstorm.

También hay reticencias

Si bien algunas de las empresas de ciberseguridad han aplaudido esta propuesta —Michael Sikorski, el director de tecnología de la unidad de inteligencia de amenazas de Palo Alto, ha opinado que esto supone un "cambio de paradigma"— otras se han mostrado menos optimistas.

Es el caso de SentinelOne, cuyo director ejecutivo de investigación de inteligencia y seguridad, Juan Andrés Guerrero-Saade, ha sugerido que las grandes empresas de ciberseguridad acaban acaparando todas las investigaciones. "Esto es polvo de hadas del marketing de marca esparcido sobre las realidades comerciales", ha señalado.

En cualquier caso, parece que el proyecto a por buen camino, ya que desde CrowdStrike han reconocido que esta medida ha ayudado a sus analistas a vincular dos grupos de ciberdelincuentes, como son Salt Thyphoon de Microsoft y Operador Panda de la propia CrowdStrike.

Otros artículos interesantes:

Ver sus artículos

Noelia Murillo

Redactora

Noelia Murillo, redactora de Computer Hoy. Realiza pruebas de producto, reportajes y noticias de actualidad relacionadas con el sector. También te cuenta lo que ha analizado en redes sociales.