Investigadores argentinos presentaron distintas herramientas de ciberseguridad en Black Hat USA, una de las conferencias de ciberseguridad más grandes del mundo. EmploLeaks, una aplicación para buscar filtraciones de datos y DOLOS-T, otra para atraer y detectar ataques, fueron parte de la edición 2024 del evento. Las dos presentaciones fueron en el Arsenal, un espacio donde desarrolladores de todo el mundo dan a conocer sus aplicaciones y hacen demostraciones (demos).
En sesiones cortas de unos 20 minutos, los hackers mostraron cómo funcionan estos programas, focalizados en el área de mitigación de riesgos y la seguridad ofensiva. Una de ellas fue DOLOS-T, una aplicación de “cyber deception”: “Es un tipo de plataforma o tecnología utilizada para engañar a los ciberatacantes, haciéndoles creer que han logrado infiltrarse en un sistema o red, cuando en realidad están interactuando con entornos falsos o señuelos diseñados para detectar y mitigar sus acciones”, explicó a Clarín Federico Pacheco, manager de I+D+i en BASE4 Security, empresa argentina de ciberseguridad.
“Así, extiende el concepto clásico de honeypots para alcanzar otros tipos de entornos y elementos, y mediante la creación de un ciclo de vida de las operaciones de ciber engaño integradas con la estrategia de ciberseguridad”, agregó. Los “honeypots” (pote de miel en inglés) se usan para engañar a los hackers para que ataquen un sistema falso y dejen información valiosa para ser identificados. El año pasado, por ejemplo, la AFIP fue detectada realizando prácticas con estas herramientas.
Pacheco, que en su presentación contó que el nombre de la aplicación juega entre el acrónimo “Deceptive Operations: Lure, Observe, and Secure Tool” y Dolos el Dios griego (y que fue sugerido por ChatGPT), hizo una demostración frente a diversos grupos de asistentes (las sesiones del Arsenal son cortas, pero se repiten apenas terminan).
“DOLOS-T funciona desplegando señuelos y servicios falsos que parecen reales, para detectar amenazas en la infraestructura operativa. Utiliza redirección de tráfico de red para que estos servicios parezcan estar desplegados localmente. Incluye la creación automática de señuelos con datos falsos, un panel de seguimiento de señales falsas, generación dinámica de entornos, recopilación centralizada de logs y mecanismos de mutación para adaptar el entorno según las detecciones”, agregó.
La herramienta funciona mediante un panel que guía al usuario en una interfaz accesible que “ayuda a rastrear y manejar el ciclo de vida de las operaciones de ciberengaño”.
EmploLeaks, búsqueda de filtraciones de datos
Otra de las herramientas que se presentó fue una versión actualizada de EmploLeaks, una plataforma para encontrar bases de datos filtradas de empleados. Si bien ya existen servicios específicos que sirven a este propósito (have i been pwned? es la más conocida -y de hechlo está integrada en EmploLeains- pero también existe MeFiltraron con foco en América Latina), la herramienta apunta a filtraciones en ámbitos corporativos.
“A partir del nombre de una empresa, la tool trata de empezar a buscar a todos sus empleados como para empezar a enumerar, y de ahí tratar de identificar sus redes personales, repositorios de código (en caso que el empleado sea desarrollador) y sus correos personales. El dato más importante es su correo personal, porque lo buscamos en una base de datos muy grande para ver si encontramos alguna contraseña filtrada de esa persona. Si bien, las bases que usamos y encontramos por Internet son públicas, la información no viene ordenada, filtrada ni nada. Nosotros indexamos y clasificamos toda esa información, para que los resultados sean rápidos y fiables”, explicó en diálogo con Clarín Gabriel Franco, investigador de la plataforma de ciberseguridad argentina Faraday.
Para tener una dimensión, algunos relevamientos privados llegaron a detectar 2,8 millones de cuentas filtradas (Surfshark), y empresas de ciberseguridad como Kaspersky encontraron 4,2 millones de credenciales comprometidas a la venta en foros y sitios underground.
“La versión 2.0 trae nuevas funciones, como la posibilidad de guardar una compañía, cargar sus empleados y a partir de eso ir buscando contraseñas filtradas. Lo bueno de esto es que podés tener muchísimos resultados de varias empresas. También, agregamos un módulo que, a partir de los datos que se pueden recuperar de LinkedIn, tratamos de conseguir sus teléfonos y más datos que el usuario suele publicar, por lo que la cantidad de información que hoy devuelve la herramienta es mucho mayor”, agregó.
Además, esta versión 2.0 de la herramienta está integrada con have i been pwned, que es la base para chequear filtraciones más grande del mundo. La herramienta se puede descargar de manera gratuita en GitHub.
Al día siguiente, Franco presentó la plataforma Faraday, que si bien es reconocida en el ambiente por sus investigaciones (el año pasado presentaron una falla de seguridad en una cámara de video muy vendida en América Latina y, en 2022, otra muy grave en routers de Realtek), se dedica a lo que se conoce como gestión de vulnerabilidades. Esto es, la automatización de defensas para evitar ciberataques y filtraciones de datos.
“Faraday es una herramienta de Vulnerability Management que permite concentrar todo tipo de información de herramientas de seguridad en un solo lugar. La ventaja es que al centralizar todo tipo de resultados, Faraday te da una visión general de tu postura de seguridad, priorizando qué deberías mejorar”, dijo Franco.
“Además, la versión gratuita -la que presentamos en el Arsenal- permite la automatización de escaneos con diferentes integraciones de las herramientas más populares. Esto habilita a que un usuario pueda programar diferentes escaneos y hacer, por ejemplo, un análisis de la superficie de ataque en muy pocos pasos”, aclaró. La herramienta tiene un público profesional, no sólo dentro del ambiente de la ciberseguridad sino dentro del rango de los profesionales IT.