Microsoft, CrowdStrike, Alphabet (la empresa madre de Google) y Palo Alto Networks se han unido para ponerles las cosas más difíciles a los ciberdelincuentes. ¿Cómo? Creando un glosario público que organiza el caótico universo de nombres y alias con los que se conoce a los grupos criminales en internet, que no deja de crecer y hasta ahora no estaba centralizado en ningún sitio.
Este “manual del cibercrimen” está pensado para ayudar tanto a investigadores como a hackers éticos a identificar fácilmente qué grupo están enfrentando y qué tipo de actividades suelen llevar a cabo. Muchos de estos grupos tienen varios nombres (algunos oficiales, otros no tanto) lo que complica bastante seguirles la pista. La idea es que, con un solo vistazo, se puedan ubicar sin tener que cruzar múltiples fuentes.
Microsoft lo contó todo en una entrada de su blog, explicando que este nuevo recurso busca “echar una mano a los investigadores de seguridad, que ya tienen que lidiar con una avalancha de datos sobre amenazas”.
Muchos nombres, un solo grupo detrás: Cómo se identifican los ciberdelincuentes en ciberseguridad
En el mundo de la ciberseguridad, no es raro que un mismo grupo de hackers vaya cambiando de nombre con el tiempo, sobre todo a medida que evolucionan sus métodos y objetivos. Esto lo dejó claro Secureworks (ahora parte de Sophos) allá por 2016, cuando decidió dejar de usar el nombre TG-4217 y empezar a llamarlo Iron Twilight, refiriéndose al mismo grupo ruso.
Algo muy común también es que distintos analistas y empresas se refieran al mismo grupo con nombres completamente diferentes. A veces usan combinaciones de letras y números, como APT1 (identificado por Mandiant) o TA453 (nombre que le dio Proofpoint). Otro ejemplo claro es el grupo norcoreano conocido tanto como APT37 como ScarCruft. Misma gente, diferentes etiquetas.
Cada firma de ciberseguridad tiene su propio estilo. Algunas, como CrowdStrike, prefieren nombres más llamativos y fáciles de recordar. Por ejemplo, han nombrado a grupos como Kryptonite Panda (un grupo chino) o Cozy Bear (uno ruso). TrendMicro ha rastreado a Earth Lamia, mientras que Kaspersky se ha enfrentado al misterioso Equation Group.
Esta mezcla de nombres puede parecer confuso, y lo es. Microsoft lo explica bien: cada empresa pone nombres siguiendo su propio criterio, lo que hace difícil saber si se están refiriendo al mismo grupo o no.
Para poner un poco de orden, Microsoft ha adoptado un sistema más estructurado: usa una especie de taxonomía basada en fenómenos meteorológicos. Clasifican a los grupos según cinco categorías principales: patrocinados por Estados, con fines financieros, empresas privadas que hacen ciberataques por encargo (PSOA), campañas de desinformación y grupos centrados en el desarrollo de herramientas.
A cada uno le asignan un nombre de tormenta o evento climático. Por ejemplo, si el ataque viene de China, lo etiquetan como "Tifón". Si es un grupo que busca dinero, su segundo nombre será "Tempestad". Así han pasado de nombres técnicos como Rubidium a otros mucho más creativos como Sangria Tempest o Lemon Sandstorm. ¿Suena más épico, no?
Tabla de Microsoft para poner apodos a los grupos de ciberdelincuentes
No todos están convencidos: algunas dudas sobre el proyecto
Aunque varias empresas de ciberseguridad han recibido la iniciativa con entusiasmo (como Michael Sikorski, director de tecnología en la unidad de inteligencia de amenazas de Palo Alto, quien dijo que esto representa un auténtico "cambio de paradigma") no todos están tan convencidos.
Por ejemplo, SentinelOne no lo ve tan claro. Su director de investigación en inteligencia y seguridad, expresó cierta preocupación con un comentario bastante directo: según él, este tipo de esfuerzos tienden a favorecer a las grandes empresas, que terminan quedándose con el control de todas las investigaciones. “Esto es como polvo de hadas del marketing echado sobre las duras realidades del negocio”, dijo, dejando claro que no compra del todo la narrativa.
Aun así, el proyecto parece estar funcionando. Desde CrowdStrike han comentado que esta nueva forma de estandarizar nombres ya les ha servido para algo muy concreto: unir pistas y descubrir que dos grupos que parecían distintos (Salt Typhoon, según Microsoft, y Operator Panda, según CrowdStrike) en realidad podrían ser el mismo.
