La desinformación incidentes cibernéticos crea una neblina de incertidumbre
Una serie de recientes informes falsos o engañosos sobre incidentesnestá fomentando una atmósfera de creciente desinformación que hace difícil separar los hechos de la ficción.
A medida que evoluciona el panorama del cibercrimen, se intensifica el desafío de navegar en la niebla de la incertidumbre. La creciente frecuencia de informes falsos o engañosos está creando una red de desinformación que a veces hace que sea prácticamente imposible discernir la verdad sobre los ciberincidentes delictivos. Solo en los últimos cuatro meses se ha informado de varios incidentes de alto perfil que resultaron ser falsos o al menos muy diferentes de lo que parecían inicialmente.
A finales de enero, una persona afirmó en un foro de piratería estar vendiendo los datos de más de 48 millones de clientes de Europcar. Sin embargo, la compañía dijo que estos datos eran falsos y que se habían creado mediante inteligencia artificial (IA). En febrero, el grupo de ransomware LockBit resurgió aparentemente en nuevas webs oscuras tras haber sido desmantelado por las fuerzas del orden internacionales. Esta pandilla amenazó con liberar archivos del condado de Fulton (Georgia, Estados Unidos) a menos que se pagara un rescate. Pero esta extorsión resultó ser una mentira y no hubo robo previo.
Las falsas narrativas sobre ataques aumentan
También a finales de febrero, un grupo de actores de amenazas poco conocidos llamado Mogilevich afirmó que había pirateado al gigante de los juegos Epic Games, algo que la empresa negó. La audacia de esta afirmación, hecha por un grupo que Brett Callow, analista de amenazas de Emsisoft, dijo que no es probable que sea un grupo sino "sólo un idiota", y se destacó aún más cuando también afirmaron haber pirateado el Departamento de Finanzas de Irlanda (DFA), lo que negó. Ante estas negativas, Mogilevich admitió que sus afirmaciones no eran válidas y dijo que eran “estafadores profesionales” que buscaban ganar dinero rápido.
A principios de abril, un actor de amenazas llamado DoD ofreció en BreachForums tres gigabytes de datos supuestamente robados de los sistemas de la Agencia de Protección Ambiental de EE. UU. (EPA), alegando que se trataba de una lista de contactos de organizaciones de infraestructura crítica en todo el mundo. La EPA dijo que el Departamento de Defensa había confirmado que nunca había violado la agencia y que los datos publicados ya estaban disponibles públicamente.
A mediados de abril, un nuevo grupo de ransomware llamado RansomHub añadió sal a la herida al publicar en su sitio web oscuro la venta de cuatro terabytes de datos que, según afirmaba, habían sido robados en un devastador ataque de ransomware a Change Healthcare por parte de la alguna vez perturbada pero ahora... grupo reencarnado AlphV/BlackCat.
En ese momento, Change Healthcare se estaba recuperando del desastre aún en curso que el ataque de ransomware tuvo en los proveedores de atención médica y las farmacias en todo Estados Unidos, a pesar de que más tarde se reveló que Change Healthcare había pagado a los atacantes 22 millones de dólares para detener el daño. Aunque los expertos en ciberseguridad creen, pero no están seguros, que las afirmaciones de RansomHub de tener los datos son reales, hay confusión en torno a si RansomHub es en realidad AlphV/BlackCat usando un alias o un afiliado de ese grupo o un grupo nuevo.
La presión para conseguir dinero alimenta las narrativas falsas
Lo que con frecuencia dificulta la comprensión de los hechos que rodean las infracciones son las tácticas que utilizan los piratas informáticos para presionar a las organizaciones para que paguen un rescate rápidamente, a menudo basándose en afirmaciones falsas o exageradas. "Vaya, es casi como si no pudiéramos confiar en que los delincuentes nos dieran una respuesta verdadera", le dice a CSO Troy Hunt, fundador del sitio web de búsqueda de violaciones de datos HaveIBeenPwned.
“Tenemos que reconocer que las personas con las que estamos tratando aquí son criminales y sus motivos claramente no son puros. Construirán cualquier narrativa que necesiten para satisfacer sus propias necesidades”.
"Las pandillas intentan presionar a las organizaciones para que paguen rápidamente", asegura Callow. “No quieren esperar hasta que las organizaciones hayan tenido tiempo de hacer análisis forenses y descubran que no perdieron tantos datos como afirma la pandilla o que los datos no eran tan confidenciales como la pandilla afirmaba. Les conviene intentar forzar los pagos rápidamente, muy a menudo a costa de un farol”.
Callow cree que el problema de la desinformación, una característica duradera del delito cibernético, va acompañado de una mayor agitación en el mundo de los actores de amenazas. "Lo nuevo es el aumento de la tasa de interrupciones, lo que crea un ecosistema más impredecible", le dice a CSO. "El ransomware siempre ha sido impredecible, pero ahora lo es aún más".
Para complicar el problema, están los actos de traición de las bandas de ransomware hacia sus afiliados debido al caos generado por las interrupciones en el cumplimiento de la ley. En el caso de RansomHub, por ejemplo, “Change Healthcare supuestamente pagó 22 millones de dólares a AlphV, que ya estaba algo aturdido por la interrupción de las fuerzas del orden y supuestamente se fue con el dinero sin pagarle al afiliado”, dice Callow. “El afiliado tenía los datos y estaba intentando extorsionar a United Health por segunda vez. Según cabe suponer. También podría haber sido AlphV intentando una segunda ronda de extorsión. Una estafa dentro de una estafa”.
La creciente difusión de información errónea en línea
Lo que alimenta el aumento de la desinformación sobre violaciones de datos es la velocidad a la que se difunden en línea informes falsos de violaciones de datos. En una publicación de blog reciente, Hunt escribió : “Hay un par de cuentas de Twitter en particular que están tomando incidentes que aparecen en una combinación de un popular foro de piratería web transparente y varios sitios web de ransomware de la web oscura y 'sacándolos a la superficie'. por así decirlo. Incidentes que antes podían haber permanecido al margen ahora se sitúan periódicamente en el centro de atención, donde tienen mucha mayor visibilidad”.
"Se está volviendo muy difícil en este momento porque no sólo hay más filtraciones que nunca, sino que hay más cosas en línea que nunca", dice Hunt. "Es simplemente un flujo ininterrumpido de todas estas violaciones de datos que regularmente suman cientos de miles o millones de registros, y eso está ahí arriba en la superficie de la web para que todos lo vean".
Aunque Hunt dice que la mayoría de los incidentes reportados son lo que parecen ser, "eso significa que hay una enorme cantidad de datos flotando por ahí, y todavía hay que hacer toda la diligencia debida y verificarlos".
Algunos medios de prensa contribuyen al problema de la desinformación sobre filtraciones al informar acríticamente incidentes publicados en sitios de filtraciones sin mucha verificación mientras se apresuran a obtener primicias. “Cualquier periodista responsable será lo más cauteloso posible para no correr el riesgo de convertirse, efectivamente, en herramientas de los criminales”, dice Callow. “Siempre es una cuestión de equilibrar la ayuda a los delincuentes con el derecho del público a saber. Y algunos de estos supuestos incidentes son de gran interés periodístico”.
También se puede culpar por la desinformación a los supuestos investigadores de seguridad que continuamente producen informes de incidentes de vulneración. "Pondré entre comillas a los investigadores de seguridad que intentan conseguir seguidores tuiteando detalles de todas y cada una de las violaciones", dice Callow. "Y muy a menudo ayudan a los delincuentes".
Las empresas también difunden información errónea
No son sólo los ciberdelincuentes los que contribuyen a la actual ola de desinformación sobre violaciones. Las empresas, que se resisten a hacer públicos los incidentes cibernéticos que afectan a sus clientes, a menudo inicialmente niegan las violaciones, sólo para ser arrastradas por los periodistas y otras personas con el tiempo desde la negación hasta la admisión.
AT&T, por ejemplo, comenzó recientemente a negar una infracción de 2021 que afectó a 71 millones de sus clientes, solo para finalmente confirmar que la infracción afectó a 73 millones de clientes.
Hunt dice: "Por mucho que digamos que existen infracciones que no son infracciones ni están mal atribuidas, también tenemos el problema de que hay organizaciones que dicen que no hay ninguna infracción, y luego les das tiempo y Son como, oh no, está bien, espera. Hay una brecha”.
"No se trata sólo de que los actores de amenazas tergiversen las cosas", dice Hunt. "Son las organizaciones las que no reconocen que existe una infracción cuando ha ocurrido".
No hay soluciones fáciles al problema
Existen pocas soluciones fáciles al problema de la desinformación aparte de examinar con escepticismo y realizar la debida diligencia con respecto a las infracciones alegadas por los actores de amenazas.
Hunt cree que la verdad siempre está en los datos. “Hasta que no haya evidencia que respalde una afirmación, es sólo una afirmación y seguimos siendo escépticos. La verdad siempre está ahí en los datos. Es sólo cuestión de analizarlo. Creo que a la prensa, especialmente si te estás comunicando con el actor de amenazas involucrado en esto, siempre puedes hacerles la pregunta: ¿puedes demostrar que esto es legítimo? ¿Cuáles son los indicadores aquí que muestran que esto es lo que usted dice?
Y para las empresas que han experimentado infracciones o son objeto de informes falsos sobre infracciones, la luz del sol es el mejor desinfectante.
"Necesitamos sacar todo de las sombras", dice Callow. “Suceden demasiadas cosas en las sombras. Cuanta más luz se pueda iluminar, mejor. Eso sería genial en múltiples sentidos. No se trata sólo de eliminar parte de la influencia que tienen los actores de amenazas. También está brindando a la comunidad de ciberseguridad y al gobierno acceso a mejores datos. Hay demasiadas cosas que no se denuncian”.
"No creo que lleguemos nunca al punto en el que las cosas sean claras y concisas", afirma Hunt. “Para mí, particularmente al ejecutar HaveIBeenPwned, todo lo que quiero es que la verdad surja de los datos. Si una organización ha sido violada, ya sea violada o eliminada, o cualquier otra cosa, entonces deje que esa verdad salga a la luz. Si no lo han hecho, entonces que esa verdad salga a la luz”.
