Responder a los ciberataques con un contraataque, o bien limitarse a mitigar los efectos provocados por el ciberataque, denunciando a los autores a las autoridades competentes, pero absteniéndose de contraatacar, ha sido el elefante en la habitación en forma de disyuntiva para el sector de la ciberseguridad del que hasta ahora se ha hablado poco o nada, especialmente fuera del sector propiamente de la ciberseguridad.
Hay varios motivos por los cuales los expertos en ciberseguridad recomiendan no contraatacar a un ciberataque, empezando por la responsabilidad ética; y es que para muchos profesionales del sector no es lo mismo defenderse de un ataque que lanzar un ataque uno mismo, aunque sea como contraataque, ya que ello rebaja a quien contraataca a la misma posición que tomó el atacante.
A esto hay que añadir que al sufrir un ciberataque, la identificación de donde procede no es fácil y, en muchos casos, acaba siendo imposible, así que podemos encontrarnos lanzando un contraataque sobre unos sistemas informáticos de una organización que no ha tomado parte activa en el conflicto, y que han sido utilizados por los atacantes sin conocimiento de los propietarios. Esto es debido a las técnicas de ocultación de direcciones, como el llamado IP Spoofing.
Esto, a su vez, puede comportar problemas legales, ya que si atacamos los sistemas de una organización inocente, pasaremos a ser culpables de ciberataque, con todo lo que ello comporta.
Es por todos estos y otros motivos que la opinión generalizada dentro de la comunidad se ha venido decantando hasta ahora por no contraatacar a un ciberataque, aunque siempre hay voces discordantes. Entre estas últimas encontramos la de Scott Fogarty, CEO de Ridgeback Network Defense, quien, en un artículo publicado por ISACA el pasado día 10 de octubre, denuncia que los años de defensas pasivas han fortalecido a los cibercriminales, y afirma que es hora de repensar las estrategias y confrontar activamente los ciberataques.
Fogarty opina que la actual tendencia en innovación se limita a fortalecer las barreras existentes y a perfeccionar herramientas analíticas, aumentando así la complejidad de los sistemas sin necesariamente mejorar la eficacia, y que dicho enfoque ha saturado a los equipos de seguridad, complicando la tarea de gestionar un arsenal en constante expansión de herramientas defensivas, cada una sumando complejidad y potenciales vulnerabilidades.
A partir de aquí, apuesta por imponer un coste real a los ataques, no mediante medidas regulatorias o legales, sino a través de la arquitectura de las redes de datos, pasando de la pasividad a la confrontación. Este concepto se basa claramente en la estrategia militar.
El CEO de Ridgeback va un paso más allá y, en su artículo, da unas pinceladas técnicas de cómo debería ser este sistema de defensa activa: aprovechar el "espacio oscuro" de la red (puertos e IPs no utilizados que pueden ser reasignados para defensa), buscando frustrar a los cibercriminales en tiempo real, no solo a través de esfuerzos manuales, sino con respuestas automáticas.
Fogarty se muestra convencido de que esta es una transición necesaria para alterar el actual equilibrio de poder en la ciberseguridad, redefiniendo la lucha no como un juego de suma cero, sino como un terreno donde el defensor tiene la ventaja.
Se puede estar de acuerdo o en desacuerdo con esta visión pero, sin lugar a dudas, el artículo expone puntos de interés y sobre los que la comunidad de la ciberseguridad haría bien en reflexionar.
