Real-time como aliado clave contra el fraude online

Publicado por Eva Moya - 19/02/2018

Se ha publicado recientemente uno de los informes de seguimiento del sector de la ciberseguridad que realiza Ponemon Institute. En el informe se entrevista a varias compañías clientes que utilizan Threat Intelligence para conocer qué elementos consideran más relevantes y si les resultan útiles o no. El informe compara los años 2015, 2016 y 2017.

La conclusión no es muy esperanzadora para el sector, pues casi un 70% de los clientes de estos servicios considera que las alertas no llegan a tiempo y que las mismas, son incomprensibles o no sirven para poder tomar decisiones y mitigar el impacto de la amenaza.

Un resultado como éste, debe llevarnos a una reflexión profunda. En otras ocasiones, hemos hablado sobre el dinamismo de los desarrollos de la industria del cibercrimen. Sin embargo, en el sector solemos centrarnos más en la “dureza” o “innovación” de la amenaza.

Este informe nos recuerda que es el momento de volver a hacer hincapié en dos de los elementos claves del Crime-as-a-Service: la velocidad y adaptabilidad.

real-time-detection-01.jpg

a) De dónde venimos

En una etapa anterior, el cibercrimen no disponía de las habilidades y recursos necesarios para crear amenazas complejas y adaptables a las medidas de seguridad. No hacía falta. El mismo malware daba vueltas al planeta durante semanas y obtenía su recompensa. Esto permitía a las firmas de ciberseguridad realizar una aproximación “blackbox” a través de la cual daba tiempo a identificar la amenaza y poner solución para cortar la propagación.

Por otro lado, bajo este contexto, el Threat Intelligence puede recopilar con cierta velocidad una serie de indicadores de compromiso (IOCs), normalmente basados en información del dispositivo, IPs, emails, etc. además de facilitar información muy útil para bloquear la amenaza. De hecho, en este modelo, la inteligencia colectiva tiene mucho que aportar, ya que permite la creación de repositorios compartidos entre diferentes sectores y/o compañías de un sector. En definitiva, lo que le pasa a una, puede servir para detener la amenaza en otra.

Sin embargo, el comportamiento cibercriminal al que estamos acostumbrados ha cambiado. Y aunque los viejos modelos todavía perviven, poco a poco irán desapareciendo.

real-time-detection-03.jpg

b) Dónde estamos

En esta nueva etapa se han liberado los códigos de diversas amenazas y se han puesto a la venta kits para configurar nuevas campañas de malware sin demasiados conocimientos técnicos. Los nuevos malware son inteligentes y se transforman sobre la marcha para saltar todas las medidas de protección. En la cadena de valor cibercriminal han aparecido nuevos actores, como las plataformas de pago cibercriminal, gestión de muleros, etc. que apoyan a los grupos cibercriminales en la elaboración de campañas muy rápidas y que se adaptan a gran velocidad a las medidas de mitigación implementadas por las compañías.

Gracias a esta nueva coyuntura y a un mercado negro cibercriminal creciente, se observa que las campañas de phishing o malware pueden durar sólo unos pocos días o impactar a lo grande en sólo unas pocas horas.

En este nuevo contexto, los viejos modelos de defensa basados en analizar aquello que ya se conoce, cada vez se alejan más de lo que necesitan las compañías. El gap se hace más grande. En conclusión, Threat Intelligence es un apoyo valiosísimo, pero no puede ser por sí sólo un pilar central, y es lo que demuestra el estudio.

El reto actual del sector es evidente: cómo estar preparado para aquello que no se conoce.

Y aquí es donde entran los nuevos discursos y argumentos que hablan de las nuevas tecnologías basadas en Inteligencia Artificial, como el machine learning o el deep learning. O por ejemplo, el éxito de las soluciones basadas en biometría del comportamiento.

real-time-detection-04.jpg

c) Hacia dónde vamos

Aunque se sigue prestando gran atención a las amenazas, la tendencia actual es proteger al usuario con todo tipo de medidas. En definitiva, si el usuario es quien dice ser y no está siendo manipulado, dará igual con qué amenaza haya sido infectado.

En este sentido, los retos lanzados en los procesos de autenticación, sólo son útiles en el momento en el que el usuario inicia la sesión, pero no durante el tiempo que se mantiene conectado. Amenazas como RAT y ATO, permiten manipular al usuario, una vez que está dentro de su sesión, para que haga lo que el cibercriminal quiera.

La IA facilita a técnicas, como el análisis biométrico del comportamiento, aprovechar toda su potencia en la identificación del usuario durante toda la sesión en Real-Time para confirmar los dos pilares “sagrados” de la lucha contra el fraude online:

Que el usuario es quien dice ser.

Que el usuario no está siendo manipulado. 

 

Deep Learning for Online Fraud Prevention

Temas: deep learning, real time, threat intelligence, fraude online

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

EL TROYANO BRASILEÑO GUILDMA DA EL SALTO

read more

Modus Operandi y Cyberprofiling

read more

Optimización de Hiperparámetros

read more